Gastbeitrag „Das Internet ist kein Streichelzoo“: hackerinfo zu Boards, Carding, Market, DropZones und Cashout

Vorbermerkung: Ich habe vorsichtshalber mein WordPress-Passwort auf 17 Stellen verlängert, meinen Tresorschlüssel verschluckt und verlasse morgen mein (Bundes)Land für einige Tage, denn in diesem Artikel kommt hackerinfo zu Wort. Ich halte abseits von Sensationshascherei die Aufklärung über Praktiken der bösen Buben im Netz für wichtig. Manches wird manchem bekannt sein, aber die reale Existenz dieser Szene sollten wir uns wieder einmal deutlich ins Bewusstsein rufen.

ACHTUNG: Die angegebenen Links führen in die  Grauzone des Netzes. Ich habe mich dorthin nur mit beschränkten Nutzerrechten, aufgefrischtem Firefox und aktiviertem NoScript getraut. Ich habe die URLs bewusst nicht verlinkt. Bei Interesse: Vorsichtig vorgehen!

Ab hier O-Ton hackerinfo – und ab und zu ein paar Einlassungen von mir 🙂

Das nachfolgende Thema beschreibt nicht das Tätigkeitsumfeld von Hackern wie mir, sondern vielmehr die sog. Cracker. Cracker sind diejenigen, die gestohlene Daten zu barer Münze machen.
Ich distanziere mich ausdrücklich vom nachfolgenden Personenumfeld im Artikel, also von den Crackern.

Es begann damals mit harmlosen Hackerangriffen und endet nun im lukrativen Millionengeschäft

Die Untergrundwirtschaft ist in den letzten Jahren stark gewachsen. Man kann es an zahlreichen Beispielen festmachen: Wo in den 80er, 90er Jahren die Hacker damit prahlten, dass sie sich mit gefälschten Daten kostenlose Zugänge zu unzähligen Erotikangeboten im Internet verschafft haben,
so brüsten sie sich heute damit, wie viele Kreditkartendaten sie mit ihrem Botnetz bereits gestohlen haben.

Bemerkenswert ist, dass sich diese Daten nun in klingende Münze verwandeln lassen.

Inzwischen hat sich eine große und ausgereifte Untergrundwirtschaft entwickelt. Heute findet man dort alles, was es auch in einer richtigen Wirtschaftsumgebung gibt: Hersteller, Händler, Dienstleister, „Betrüger“ und Kunden. Sein Geld in dieser Schattenwelt zu verdienen, ist für viele nur ein Sprungbrett in die organisierte Kriminalität, obwohl (oder weil?) man zu keinem Zeitpunkt persönlichen Kontakt mit den Geschäftspartnern hat.

In meinem langjährigen Mitwirken im Untergrund habe ich so einige zwielichtige Personen kommen und gehen sehen.

Die folgenden Zeilen geben einen Überblick über die Szene und ihre Strukturen. Dabei zeigt sich ganz eindeutig, dass es sich hier um keine harmlose Minderheit handelt, sondern um gut  organisierte Betrüger und Diebe. Ebenfalls muss klargestellt werden, dass wirkliche Hacker in der heutigen Zeit viel für die  Aufklärung der Bevölkerung tun und mittlerweile ein gewisses Ansehen genießen. Die besagten Cracker  hingegen stehlen Daten, um sie zu ihren eigenen Gunsten gewinnbringend und illegal unter die zahlenden Kunden zu bringen.

Boards & Carding

Der Treffpunkt der Untergrund-Szene sind in der Regel sog. Boards oder aber auch einer der vielen IRC-Chaträume.
Auf diesen Plattformen geht es in erster Linie ums Business, also um Botnetze, Spam, Datendiebstahl etc.
Die Angebotspalette reicht vom Board für Script Kids, die gerne einmal Hacker spielen wollen, bis hin zu einschlägigen Boards, in denen offen mit Kreditkartendaten, gestohlener Ware und vielen weiteren „Waren“ gehandelt wird. Diese werden eindeutig mit einer kriminellen Absicht betrieben.

Unser Cracker denkt sich also:  „Was brauchen wir als Erstes um Geld zu verdienen? Klar, ein Botnet und eine schön ausgekügelte Phishingseite, mit der wir die ahnungslosen Windowskunden aufs Kreuz legen können.“ Das kann man sich auch sparen und kauft die Daten direkt bei einem der Händler.

Teilweise sind diese Händler sogar so dreist und bieten Ihre Dienstleistungen oder Waren sogar bei YouTube an:  http://www.youtube.com/user/CCseller2009

[Anmerkung Datenschutzalltag: Achtung, erster Link. An die eigene Sicherheit gedacht?]

Nun betrachten wir die Website des Verkäufers: http://ccseller2009.110mb.com [Anmerkung Datenschutzalltag: Noch mehr Vorsicht!]. Viel Wert auf einen optischen Anspruch legt  dieser Händler nicht. Er hat auch wohl keine Zeit für ein nettes Design: Was zählt, ist die Ware, also die DumpFiles seiner Master- und Visa Cards. Schauen wir uns auf der Website etwas um. Hier sehen wir auch deutsche Namen. Die Mitbürger haben ihre Daten verloren oder ein Phisher kam dem zuvor 🙂

Nun widmen wir uns anderen Seiten, die sich mit dem Thema beschäftigen.
Ich denke: Jeder Bürger, dem „unfreiwillig“ solche Daten gestohlen wurden, möchte möglichst keine Schlagzeile in der BILD darüber lesen, aber tiefere Einblicke erhalten und den Tätern auf die Website bzw. auf die Finger schauen. Nachfolgend finden Sie also ein paar Beispiele von diverser „Carding Websites“ Carding = Begriff für Handel mit gestohlenen Kreditkarten.

http://carders.10.forumer.com
http://www.ccsellerpro.com
http://www.makemoneykingdom.com
http://www.makemoneykingdom.com/showthread.php?t=32079
http://www.e-websolutions.org/forum/viewtopic.php?topicid=177
http://ghostmarket.net/viewtopic.php?f=12&t=8088&start=0
http://www.hacker.org/forum/viewtopic.php?p=14541&sid=c0211a2c43cb2839e0ea3f5f13311337
http://www.indoforum.org/archive/index.php/t-73291.html
http://www.blackhatworld.com/blackhat-seo/f32-social-networking-sites/ [Anmerkung Datenschutzalltag: Kein Zugang ohne Javascript]

Hier noch ein interessantes Video:
http://www.forumeter.com/video/171629/Sell-CreditCard-CC-CVV-Fressh-100-always-Updated-Recommended

Market

Kurze Zusammenfassung und allgemeine Umschreibung solcher Websites, wie wir sie gerade gesehen haben:  Im sog. Black Market, Dark Market oder einfach nur Market (auf gut deutsch „Marktplatz für alles, was illegal ist“) wird man fündig. Hier stehten z.B. folgende Dinge im virtuellen Schaufenster der Geschäfte: Gestohlene Kreditkartendaten, E-Mail-Adresslisten bis hin zu Botnetzen und vieles mehr. Wer zum Beispiel ein Botnetz kauft oder mietet, kann damit DDoS-Attacken durchführen, mit denen wiederum Webseiten überlastet werden können – und das bis zu dem Maße, dass sie nicht mehr erreichbar sind.
Schaut man sich in den Szene-Foren um, so werden teilweise sogar geklaute MySpace- und auch Twitter-Accounts verkauft oder zumindest gegen ein anderes Kleinod getauscht. Die Betrüger sind daran interessiert, möglichst viele persönliche Daten über das Opfer zu erlangen. Damit können sie dann die Identität des Opfers übernehmen und für ihre Zwecke nutzen.

Ein großer Teil des Handels mit Kreditkartendaten, PayPal- oder Ebay-Zugängen etc. wird über die Marktbereiche auf den Boards abgewickelt. Es gibt auch Boards, auf denen es ausschließlich um den Handel mit gestohlenen Waren geht. Der Ablauf beim Verkauf ist dabei wie folgt: Jemand bietet eine Ware, wie beispielsweise einen oder mehrere Ebay-Zugänge, zum Kauf an.
Dazu gibt er an, wie viel Geld er pro Account verlangt. Manchmal gewährt der Verkäufer sogar einen Mengenrabatt, wenn der Kunde alle oder mehrere Zugänge kaufen möchte. Zusätzlich teilt der Verkäufer fast immer mit, welche Art der Zahlung er akzeptiert. Fast immer melden sich die Interessenten dann mit einer Antwort im Forum oder sie nehmen direkt über die vom Verkäufer genannten Kontaktdaten Verbindung mit ihm auf, um den Kauf abzuwickeln.

Aber wie wird bezahlt? Virtuelles Geld, reales Geld: Hier werden mit dem Szene üblichen Bezahldiensten die Rechnung beglichen, wie zum Beispiel Western Union, Paysafecard, E- Gold oder auch Webmoney etc.

Was gibt es sonst noch zu kaufen auf im sog. Market?
Die Palette reicht von persönlichen Daten wie Name, Anschrift etc. über Bankverbindungen bis hin zu ganzen Datenbank-Dumps mit hunderten oder mehreren tausend User-Daten. Mit Datenbank-Dumps meine ich 1:1 Kopien von Datenbanken von Onlineshops oder auch von Foren, in denen die Benutzerdaten gespeichert sind.

Als Beispiel können wir auch eine Website besuchen, die sich GhostMarket nennt. Werfen wir einen Blick auf deren Angebot: http://ghostmarket.net/viewtopic.php?f=34&t=751
Auch hier finden wir wieder zahlreiche Angebote gestohlener Waren.

Kommen wir nun zu einem weiterem „sehr wichtigen“ Thema.

DropZones

Was stellen wir uns unter sog. DropZones vor?

Es gibt viele Ansätze, wie man am besten den sogenannten Cashout vornimmt. Beim Cashout geht es darum, wie man sein virtuelles Geld in echtes Geld verwandelt, ohne dass es nachvollziehbar ist, woher das Geld stammt. In vielen Fällen werden mit den gestohlenen Kreditkartendaten oder auch der virtuellen Währung, die der Kriminelle für das Versenden von Spam erhalten hat, im Internet Waren gekauft. Um sich bei der Übergabe der Waren nicht erwischen zu lassen, werden die Waren an Dropzones geliefert. Dort stehen Mittelsmänner bereit, die häufig per Spam-Mail als Kuriere oder Logistik-Fachkraft angeheuert wurden, um die Waren unverzüglich weiterzuleiten. [Anmerkung Datenschutzalltag: Solche Mails mit dem Betreff „Arbeit zu vergeben“ o.ä. finden sich inzwischen in fast jedem Postfach: „Fuer unser Unternehmen werden bundesweit Einkaeufer gesucht. Vorkenntnisse nicht erforderlich. Wir arbeiten Sie gruendlich ein. Auch ideal fuer Fruehrentner und Arbeitslose.“]

Dropzones sind daher bei den Verbrechern sehr gefragt, was zur Folge hat, dass in Untergrund-Plattformen diese Dienste vielfach angeboten werden. Der Ablauf folgt stets dem gleichen Schema: Nachdem die Ware bestellt wurde, wird sie an eine Adresse in Russland oder einem anderen Land verschickt. Dort wird die Ware dann an der Post abgeholt und weiter zur eigentlichen Zieladresse versandt. Der Mittelsmann lässt sich seine Leistung gut bezahlen, oftmals auch in der Form, dass für ihn Waren mitbestellt werden.

In der Vergangenheit wurden zudem mehrfach leerstehende Häuser und Wohnungen genutzt, im Untergrund als „Housedrop“ bezeichnet. An eine solche feste Adresse kann man sich auch die Post von Banken schicken lassen. Die dazu notwendigen Adressänderungen sind häufig online möglich. Ebenfalls zum Erfolg führt in der Regel, wenn der Ganove einfach in die Bank geht und einen freundlichen Angestellten bittet, die Adresse zu ändern. Die dazu benötigten gefälschten Dokumente kann er in Untergrundforen günstig erwerben. Verfügt er außerdem über sehr gute Nerven und betrügerische Überzeugungskraft, ist der Weg für Housedrops frei.

Eine weitere, insbesondere in Deutschland sehr beliebte Möglichkeit sind die Packstationen der Post.
Gestohlene Zugangsdaten für solche Stationen können die Kriminellen in den Foren oder in den Shops des Untergrund-Marktes kaufen. Aber auch mit gefälschten Dokumenten können sie dort einen anonymen Packstation-Zugang eröffnen. An diesen Orten kann die Ware dann relativ gefahrlos und anonym abgeholt werden.

Hier mal ein Beispiel zu einer Unterhaltung über DropZones im folgenden Forum:
http://hackbase.cc/showthread.php?t=14402 [Anmerkung Datenschutzalltag: Javascript erforderlich]

Hier schreibt ein User, der sich cR@sh nennt, folgendes:

Hi!
Ich brauche demnächst einige Briefkastendrops, und habe mir gedacht, dass es in großen Mietwohnungen (Wohnsilos) auch mehrere leere Wohnungen geben müsste..

Wie ist eure Erfahrung mit BKDrops dieser Art? Wie kann ich das Abreißen des Zettels verhindern?
(außer Hausmeister bestechen ) Mein bisheriger (noch nicht getesteter) Drop ist in einem Mehrfamilienhaus, das scheinbar schon von jemandem als Drop genutzt wird (2 unbeschriftete Briefkästen sind penibel mit Werbung ausgefüllt )

Als Antwort darauf schreibt der User Revofire:

wohnblocks sind immer gut, da kommste auch mal rein wenn die tür zu ist ( klingeln, schlüßel vergeßen oder so ) mir ist da aber auch schon mein paket geklaut worden

Wie kann ich das Abreißen des Zettels verhindern?
eigentlich garnicht, fällt mir jetzt auch nichts ein, es sei den du hast bissl zeit und beobachtest bissl,
jetzt ist urlaubszeit 😉

das scheinbar schon von jemandem als Drop genutzt wird (2 unbeschriftete Briefkästen sind penibel mit Werbung ausgefüllt ) das muss nichts heißen, die zeitungskids schmeißen da gerne mal ihr zeug rein, damit sie nicht soviel austragen müssen, da gibt es nähmlich so rentner denen langweilig ist die rufen gerne mal an wenn die prospekte im container finden;-)

Es folgten weitere Kommentare und Ratschläge zum Thema „DropZone“, die Sie auf der oben genannten Website näher nachlesen können.

Also liebe Leser: Sie merken spätestens jetzt, dass Sie es hier mit der gut strukturierten und fein ausgeklügelten Internetkriminalität zu tun haben.

Nun nun der Knüller.

Der Preisknüller

… nur um ein paar Beispiele zu nennen. Es gibt aber weitaus mehr Daten und Dienstleistungen. Die Liste der Angebote ist sehr lang, hier nur ein kleiner Auszug:

• Gefälschte Ausweise/Führerscheine, abhängig von Qualität der Fälschung:  50 bis 2.500 Euro
• Bot-Datei – Preis nach Features und Programmierer sowie Größe des Botnetzwerkes: 20 bis 100 Euro
• Bot-Quellcode: 200 bis 800 Euro
• DDoS-Attacke pro Stunde (Um fremde Internetseiten lahmzulegen): 10 bis 150 Euro
• 1 Million Spam-Mails an spezielle Adressaten: 300 bis 800 Euro
• Datenbanken – für den Preis relevant sind genaue Inhalte und Umfang der Datenbank, es geht um den Kauf einer Datenbank: 10 bis 250 Euro
• Kreditkartendaten – Preise richten sich nach  Vollständigkeit der Daten. Nur eine CC-Nummer und
  Datum sind nicht viel Wert. Je mehr Daten mitgeliefert werden, desto höher ist der Preis: 2 bis 300 Euro
• WoW-Account – je nach Umfang der Daten und Level der Charaktere im Account:  5 bis 30 Euro
• PayPal-Account – je mehr Daten vorhanden sind, desto höher ist der Preis:  1 bis 25 Euro
• E-Mail-Accounts mit privaten Mails (Preise variieren je nach Händler): 1 bis 5 Euro

Fazit: Die Masse machts. Wenn man das Geschäft mehrere Monate mit Millionen von Nummern und Datensätzen aktiv betreibt, so kommen stolze Sümmchen zusammen.
Dann verdient der 15jährige Sohn in der Woche mehr als sein Vater in einem halben Jahr.

Meine Fragen als Hacker:

• Wenn ich einen Kriminalbeamten der Polizei nach Begriffen wie „Carding & DropZones“ fragen würde, wüsste der Beamte bescheid?
• Wissen die Banken, die Hauseigentümer etc. über die Machenschaften bescheid (Thema Briefkästen missbrauchen etc)?

Ich denke nicht. In diesem Bereich bedarf es der Prävention, der Aufklärung und Kommunikation sowie der Beratung von Betroffenen. Schützen Sie sich, indem Sie die Infos /(nicht nur) von hackerinfo lesen :-)<Quelle: hackerinfo, seit C64-Zeiten aktiv und heute als Netzwerkadministrator/ IT- Sicherheitsconsult im Bereich mittelständischer Unternehmen tätig.

Nicht nur chinesische Praktikanten und russische „Diplomaten“, auch geldgierige Mitbürger sind auf der Jagd nach Ihren Daten – und vielleicht gar nicht so weit weg. Vorsicht, Information, Selbstschutz und im Zweifelsfall der Mut zur Anzeige sind anzuraten.