Spamming, Phishing, Skimming, Malware, Botnetze: Die Cybercrime ist zu einer Alltagserscheinung geworden und wandelt ihre Gestalt unablässig.

Über ihre technischen Grundlagen, Entwicklung und Bekämpfung berichtet der Cyberfahnder seit 2007. Seine wesentlichen Beiträge werden in dem Arbeitspapier Cybercrime zusammen gefasst und sind dazu überarbeitet und ergänzt worden. Das PDF-Dokument umfasst jetzt (24.05.2010) 126 Seiten und mehr als 730 Fußnoten, die mit den Quellen verlinkt sind.

Dem Arbeitspapier geht es nicht um eine rechtliche Auseinandersetzung mit der Kriminalität im Zusammenhang mit der Informations- und Kommunikationstechnik - IKT, sondern um die Bestandsaufnahme wegen ihrer Technik, Methoden und Erscheinungsformen ( Inhaltüberblick).

Der erste Teil ( A.) beschäftigt sich deshalb mit den technischen Schwachstellen und Angriffspunkten, über die ein Hacker oder eine Malware Zugriff auf fremde Systeme erlangen kann. Den Auftakt bildet ein Aufsatz ( A.1), der bereits Anfang 2007 entstand und sich mit den bekannten und hypothetischen Angriffspunkten und Methoden befasst. Soweit ich seinerzeit zum Beispiel auf angreifbare DSL-Router und den Nahfunk hinwies, wurden meine Spekulationen von der Wirklichkeit überholt.

Dem folgt eine Auseinandersetzung mit den Adresssystemen der Telekommunikation und im Internet, die zu Täuschungen, Umleitungen und Abzockereien missbraucht werden können ( A. 2 Nummerntricks). Der jetzt wieder überarbeitete Aufsatz geht auf eine Fassung von 2003 zurück und wurde schon 2008 aktualisiert.
 

Arbeitspapier Cybercrime

Die Aufsätze über A.3 Malware (2008) und A. 5 Botnetze (2007) sind feste und häufig besuchte Bestandteile des Cyberfahnders.

Neu und bislang nicht veröffentlicht ist der Beitrag über den Identitätsdiebstahl und das Phisching ( A.4). Er fußt auf einigen Meldungen im Cyberfahnder, die bislang eher isoliert bestanden haben.

Das Phishing (1) war eines der ersten Themen, die im Cyberfahnder angesprochen wurden. Seinerzeit - Ende 2006, Anfang 2007 - äußerte es sich noch in Spam-Kampagnen, mit denen um Finanzagenten und Zugangsdaten zum Onlinebanking geworben wurden.

Die Methoden des Phishings haben sich seither radikal geändert. Die Täter setzen heute Malware ein und haben den Kontomissbrauch getarnt und automatisiert. Die Aussage des Cyberfahnders, dass es sich um die erste Erscheinungsform der Cybercrime ist, die sich konsequent und ohne legale Ausprägung der Internettechnik bedient, hat sich dadurch bestätigt.

Dabei ist das Phishing nur eine besondere Form des Identitätsdiebstahls. Ihm geht es um die Ausforschung fremder Geheimnisse, um sie für kriminelle Geschäfte, zum Missbrauch fremder Dienstleistungskonten und zur Ausspähung weiterer Geheimnisse zu verwenden. Es geht um Absatzgeschäfte (Hehlerei), kriminellen Gewinn (Warenhäuser, Handelsplattformen) und Geschäftemacherei im großen und kleinen Stil.
 

 
Der zweite Hauptteil ( B.) befasst sich mit den Methoden des Ausforschens von Geheimnissen mit den Methoden der Manipulation und Suggestion, die mit persönlichen Kontakten, allen möglichen Formen der Kommunikation und mit Spionagetechnik verbunden werden.

Das B. Social Engineering baut auf den überlieferten Methoden von Detektiven, Spionen und Trickbetrügern auf. Es kommt bei den Werbetexten von Spam-Mails, beim Phishing mit inzwischen hochwertigen, fehlerfreien und jargonsicheren Schmeicheleien und auf nachgemachten Werbeseiten im Internet ebenso zum Einsatz wie beim Ausspähen von Zugängen fremder Unternehmen, Behörden und anderer Organisationen.

Dabei geht es nicht nur um das Überreden und Übertölpeln leichtgläubiger und unbedarfter Mitarbeiter, sondern letztlich um die Bewertung und Kombination von Informationen: Fünf unwichtige Informationen ergeben eine sensible!

Unter diesem Titel erschien der erste Beitrag erstmals 2009, der jetzt angereichert ist mit Aussagen aus einem Aufsatz aus 2007 (2). Dessen Kernstück ist eine praktische Darstellung, wie aus von außen beobachteten Fakten auf die innere Struktur und Organisation einer Behörde geschlossen werden kann. Das wird jetzt im Teil B. des Arbeitspapiers beschrieben ( B.2 Beobachten und bewerten).
 

Der abschließende Teil des Arbeitspapiers befasst sich mit der Schattenwirtschaft im Internet ( C.). In der Öffentlichkeit ist ihr Bild geprägt von einer chaotisch anmutenden Vielzahl einzelner Krimineller, die hemmungslos in geschlossenen Boards oder offenen Webshops geklaute Daten, Malware und andere kriminelle Dienste zum Kauf anbieten. Ich nenne sie Crämer.

Ihnen widmet sich der jüngst im Cyberfahnder erschienene Aufsatz über den C.3 Basar für tatgeneigte Täter.

Im Hintergrund handeln die Organisierten Internetverbrecher, wie sie von McAfee genannt werden. Das sind die in arbeitsteiligen Gruppen organisierten Malwareschreiber, die Betreiber von Botnetzen und die Schurkenprovider, die abgeschottete Webdienste anbieten: Getarnte Server, anonymisierte DNS-Adressen, Drop Zones und Hostspeicher für illegale Inhalte, anonyme Bezahldienste und schließlich öffentliche Abschottung ihrer kriminellen Kunden gegen Strafverfolgungen und Abmahnungen (Bullet Proof Services). Das bekannteste Beispiel dafür ist das Russian Business Network - RBN - gewesen.

Auf die Organisierten Internetverbrecher trifft das Bild des Basars mit vielen Einzeltätern nicht zu. Sie bilden gewerbsmäßige Strukturen und arbeitsteilige Gruppen, wie sie aus der Organisierten Kriminalität bekannt sind.

Das Arbeitspapier Cybercrime ist eine Bestandsaufnahme und kein Strategiepapier. Das muss außerhalb der Öffentlichkeit und gesondert entwickelt werden.
  

(1) Kochheim, Phishing, 2007

(2) Kochheim, Social Engineering,, 2007