Phisher tricksen ihre Opfer immer perfider aus, wie etwa die Welle von perfekt gefälschten Rechnungen des Internetproviders 1&1 zum Jahreswechsel zeigte. Im angehängten PDF-Dokument verbarg sich ein Trojaner. Und einmal angeklickt, wird ein solches Schadprogramm auf dem Rechner aktiv, egal, ob der User einen Virenscanner besitzt. Denn Trojaner sind heute schlau und beschaffen sich ihre Updates – genauso wie die Engines, die Erkennungsprogramme der Virenschutzsoftware - bei Bedarf:
"Und da wird der Schädling auf dem Rechner lokal, mittels nachgeladenem Code, der mit dem Stream wie er in dem Rechner reinkommt, durch die Engine nicht gefunden werden kann, weil es ja nur ein ganz kleiner Bestandteil ist und dann auch an den Hashwerten der Antivirenengines vorbeiläuft, nicht erkannt."
Mirko Manske ist Kriminalhauptkommissar bei der Einheit SO 43 - IuK-Kriminalität beim BKA in Wiesbaden. Im Wettlauf mit den Phishern versuchen die Fahnder, Strukturen und Funktionsweisen aufzudecken. Ist erstmal ein Trojaner auf einem Rechner, agiert er eigenständig. Regelmäßig übermittelt er so genannte Drops – Dateien mit ausgespähten Tastatureingaben und Passwörter –- an einen vordefinierten Server im Internet, die so genannte Drop Zone. Wo aber steht ein solcher Rechner, der sich ganz einfach bei einem Internet-Provider irgendwo auf der Welt mieten lässt? Das allein ist ein Hase- und Igel-Spiel auf High-Tech-Niveau:
Oton Wechsel DNS-Server:
"Es gibt ja Anbieter in Deutschland, die bieten einen scriptgesteuerten Zugang. Das heißt ich kann quasi automatisiert den DNS –Eintrag für eine Phishing-Domain, phishing.postbank.de, im Sekundentakt verändern. Ich setze die Time to live entsprechend weit runter, und so ist die Seite jetzt da, zehn Minuten später da drüben und zwanzig Minuten später auf irgendeinem Server in Thailand."
In Thailand jedoch einen Server zu überprüfen, der im Zweifel schon morgen längst woanders ist, das dauert nach Abschluss des Rechtshilfeverfahrens gut ein halbes Jahr. Bis dahin aber haben die Täter viel Zeit, ihre abgelieferten Daten, die so genannten Drops, auszuwerten. Das geht dann freilich auch wieder um die Ecke, in Deutschland:
"Wir haben uns neulich einen Drop-Server in Erfurt angeguckt, da waren 2,5 Gigabyte Drops! Eine Drop-Datei eines infizierten Rechners hatte im Schnitt drei Kilobyte. Und da sehen wir deutlich weiterentwickelte Software beim Angriff, die zum Beispiel die Spreu vom Weizen direkt trennt. Also: Es wird ein Ebay-Zugriff abgephisht, und anschließend wird über einen Remote-Rechner sofort versucht, sich bei Ebay einzuloggen. Wenn das nicht klappt, schmeißt der Trojaner das, was er mitgeschnitten hat, gleich wieder weg."
Die Täter sitzen laut den Erkenntnissen des BKA vornehmlich in Osteuropa und Russland oder stammen von dort. Die einen programmieren die Trojaner, Viren und Webseiten, auf die die Opfer verwiesen werden, andere liefern Adressdaten und versenden die Spam-Mails als Auftragsarbeit. Ganz am Ende der Kette sitzen diejenigen, die die Konten plündern oder das Geld abholen. Eindeutig zuzuordnen sind sie nicht und letztlich hat oft der, der das Geld von den Konten der Geprellten einstreicht, auch gar kein Programmierwissen. Alles lässt sich in einschlägigen russischen Internet-Boards und Chatrooms kaufen. Aber auch die BKA-Fahnder schauen hier täglich vorbei:
"Da hat eine Firma angeboten: Pass auf, wir liefern Dir initiale Malware. Sag uns, was deine Malware können soll. Und danach bieten wir Dir ein Service-Level-Paket an. Bist du bereit, monatlich 1000 Dollar zu zahlen, dann übernehmen wir eine Nicht-erkannt-werden-Garantie für den Zeitraum von sechs Monaten."
Letztlich aber muss das Geld aus Deutschland nach Osteuropa transportiert werden. Und hier haben die BKA-Fahnder angesetzt: Denn die Phisher werben für den Transfer des Geldes so genannte Finanzagenten an, mit Spam-Mails nach dem Muster: Verdienen Sie Geld, ohne viel dafür tun zu müssen. Die Finanzagenten müssen in Deutschland wohnen, denn eine Auslandsüberweisung direkt vom Konto des Opfers dauert zu lange, die Banken würden dies anhand ihrer Software merken. Wenn ein so genannter Finanzagent indes eine Zahlung erhält, wird er per Mail oder Anruf darüber informiert, hebt das Geld ab, behält eine Provision und zahlt den restlichen Betrag bar bei Western Union oder der Reisebank ein. Das allerdings klappt so einfach nicht mehr, denn, so Kommissar Manske:
"Wir haben Staatsanwälte und Richter sensibilisiert, haben ihnen Anwerbemails gezeigt, und wenn dann ein Ingenieur in Darmstadt für drei erfolgreich weitertransferierte Phishing-Transaktionen dreieinhalb Jahre Knast bekommt, erstinstanzlich, das macht sich natürlich gut! Der Flaschenhals sind die Finanzagenten. Ohne Finanzagenten funktioniert das gesamte System in Deutschland jedenfalls momentan nicht mehr."
Das BKA ist nach eigenen Angaben auch den Drahtziehern am oberen Ende der Kette auf den Fersen, und auch erste Festnahmen gab es schon. Dennoch geht der Wettlauf weiter, auf Kosten derer, die das Internet nutzen. 1000 Online-Identitäten, also Kombinationen aus Name und Passwort, gehen laut BKA in Deutschland täglich verloren.
"Und da wird der Schädling auf dem Rechner lokal, mittels nachgeladenem Code, der mit dem Stream wie er in dem Rechner reinkommt, durch die Engine nicht gefunden werden kann, weil es ja nur ein ganz kleiner Bestandteil ist und dann auch an den Hashwerten der Antivirenengines vorbeiläuft, nicht erkannt."
Mirko Manske ist Kriminalhauptkommissar bei der Einheit SO 43 - IuK-Kriminalität beim BKA in Wiesbaden. Im Wettlauf mit den Phishern versuchen die Fahnder, Strukturen und Funktionsweisen aufzudecken. Ist erstmal ein Trojaner auf einem Rechner, agiert er eigenständig. Regelmäßig übermittelt er so genannte Drops – Dateien mit ausgespähten Tastatureingaben und Passwörter –- an einen vordefinierten Server im Internet, die so genannte Drop Zone. Wo aber steht ein solcher Rechner, der sich ganz einfach bei einem Internet-Provider irgendwo auf der Welt mieten lässt? Das allein ist ein Hase- und Igel-Spiel auf High-Tech-Niveau:
Oton Wechsel DNS-Server:
"Es gibt ja Anbieter in Deutschland, die bieten einen scriptgesteuerten Zugang. Das heißt ich kann quasi automatisiert den DNS –Eintrag für eine Phishing-Domain, phishing.postbank.de, im Sekundentakt verändern. Ich setze die Time to live entsprechend weit runter, und so ist die Seite jetzt da, zehn Minuten später da drüben und zwanzig Minuten später auf irgendeinem Server in Thailand."
In Thailand jedoch einen Server zu überprüfen, der im Zweifel schon morgen längst woanders ist, das dauert nach Abschluss des Rechtshilfeverfahrens gut ein halbes Jahr. Bis dahin aber haben die Täter viel Zeit, ihre abgelieferten Daten, die so genannten Drops, auszuwerten. Das geht dann freilich auch wieder um die Ecke, in Deutschland:
"Wir haben uns neulich einen Drop-Server in Erfurt angeguckt, da waren 2,5 Gigabyte Drops! Eine Drop-Datei eines infizierten Rechners hatte im Schnitt drei Kilobyte. Und da sehen wir deutlich weiterentwickelte Software beim Angriff, die zum Beispiel die Spreu vom Weizen direkt trennt. Also: Es wird ein Ebay-Zugriff abgephisht, und anschließend wird über einen Remote-Rechner sofort versucht, sich bei Ebay einzuloggen. Wenn das nicht klappt, schmeißt der Trojaner das, was er mitgeschnitten hat, gleich wieder weg."
Die Täter sitzen laut den Erkenntnissen des BKA vornehmlich in Osteuropa und Russland oder stammen von dort. Die einen programmieren die Trojaner, Viren und Webseiten, auf die die Opfer verwiesen werden, andere liefern Adressdaten und versenden die Spam-Mails als Auftragsarbeit. Ganz am Ende der Kette sitzen diejenigen, die die Konten plündern oder das Geld abholen. Eindeutig zuzuordnen sind sie nicht und letztlich hat oft der, der das Geld von den Konten der Geprellten einstreicht, auch gar kein Programmierwissen. Alles lässt sich in einschlägigen russischen Internet-Boards und Chatrooms kaufen. Aber auch die BKA-Fahnder schauen hier täglich vorbei:
"Da hat eine Firma angeboten: Pass auf, wir liefern Dir initiale Malware. Sag uns, was deine Malware können soll. Und danach bieten wir Dir ein Service-Level-Paket an. Bist du bereit, monatlich 1000 Dollar zu zahlen, dann übernehmen wir eine Nicht-erkannt-werden-Garantie für den Zeitraum von sechs Monaten."
Letztlich aber muss das Geld aus Deutschland nach Osteuropa transportiert werden. Und hier haben die BKA-Fahnder angesetzt: Denn die Phisher werben für den Transfer des Geldes so genannte Finanzagenten an, mit Spam-Mails nach dem Muster: Verdienen Sie Geld, ohne viel dafür tun zu müssen. Die Finanzagenten müssen in Deutschland wohnen, denn eine Auslandsüberweisung direkt vom Konto des Opfers dauert zu lange, die Banken würden dies anhand ihrer Software merken. Wenn ein so genannter Finanzagent indes eine Zahlung erhält, wird er per Mail oder Anruf darüber informiert, hebt das Geld ab, behält eine Provision und zahlt den restlichen Betrag bar bei Western Union oder der Reisebank ein. Das allerdings klappt so einfach nicht mehr, denn, so Kommissar Manske:
"Wir haben Staatsanwälte und Richter sensibilisiert, haben ihnen Anwerbemails gezeigt, und wenn dann ein Ingenieur in Darmstadt für drei erfolgreich weitertransferierte Phishing-Transaktionen dreieinhalb Jahre Knast bekommt, erstinstanzlich, das macht sich natürlich gut! Der Flaschenhals sind die Finanzagenten. Ohne Finanzagenten funktioniert das gesamte System in Deutschland jedenfalls momentan nicht mehr."
Das BKA ist nach eigenen Angaben auch den Drahtziehern am oberen Ende der Kette auf den Fersen, und auch erste Festnahmen gab es schon. Dennoch geht der Wettlauf weiter, auf Kosten derer, die das Internet nutzen. 1000 Online-Identitäten, also Kombinationen aus Name und Passwort, gehen laut BKA in Deutschland täglich verloren.