20 Sep 2012
Phishe fangen
Ich bin nicht ganz sicher warum, aber irgendwie ist seit der Erfindung des Internets alles was mit WWW zu tun hat, mit einer klischeehaften Haltung versehen. Diese Haltung betrachtet das Internet als ein weiteres Spielzeug und die Viren, die mit dem Internet einhergehen, werden im besten Falle als Scherz angesehen und im schlimmsten Falle als Störenfriede. Die Realität sieht aber anders aus, vor allem in letzter Zeit.
Können Sie sich noch an Herbstlaub oder ähnliche Viren erinnern? Ach, wie naiv und unschuldig diese waren im Vergleich zu dem, was noch kommen sollte… Ein paar Jahrzehnte übersprungen und plötzlich begannen die Bösewichte, Daten zu stehlen, Trojaner auf Computern zu installieren, um diese durch Zombie –Netzwerke zu steuern und weitverbreitete Angriffe auszuüben oder Bankkonten zu leeren. Am heutigen Tage sind wir an dem Punkt angelangt, an dem Industrie-, Infrastruktur- und Militärsysteme angegriffen werden. Nettes Spielzeug!
Wir sollten schnellstmöglich diese Klischees hinter uns lassen. Falsche Eindrücke geben der Internetkriminalität einen romantischen Beigeschmack, welcher wiederum die neuen Generationen der Möchtegerncomputerfreaks, die zu Computerkriminellen werden, anzieht, da diese scheinbar nicht begreifen, wie ernst ihre „Scherze“ sind bzw. nicht verstehen, dass sie dafür jahrelang im Gefängnis sitzen könnten.
Es gibt weitere Klischeevorstellungen darüber, dass Computerkriminalität sich auszahlt und dass die Verantwortlichen nie gefasst werden. Romantische Vorstellung! Na gut, es ist wahr, dass vor etlichen Jahren in vielen Ländern Computerkriminalität tatsächlich nicht häufig verfolgt wurde; die Situation ist heute auf jeden Fall eine Andere: die Körperschaften der Kriminalitätsverfolgung haben sowohl die Erfahrung als auch das nötige Know-how erworben und großartige Fortschritte innerhalb der Internetkriminalität gemacht (Internet-CSI z.B.). Außerdem arbeiten sie mit Spezialisten zusammen, was dazu führt, dass ein Hightech Fall nach dem anderen gelöst wird.
Wir sind immer dazu bereit, nationale und internationale Kriminalitätsverfolgungsanstalten zu unterstützen, falls diese uns um Hilfe bitten. Ich denke, dass seine solche Zusammenarbeit äußerst wichtig für den erfolgreichen Kampf gegen Internetkriminalität ist, da die Sicherheitsfirmen diejenigen sind, die das notwendige Wissen besitzen.
Jetzt möchte ich Ihnen ein anschauliches Beispiel darüber geben, wie dies in Russland funktioniert.
Erst vor kurzem haben das Innenministerium der Russischen Föderation (MVD) und die Bundesagentur für Sicherheit der Russischen Föderation (FSB) mit Hilfe des Experten der KL Internetkriminalitätsermittlungseinheit (CIU) ein Kriminalfall im Bereich phishing erfolgreich gelöst. Die Täter wurden identifiziert und verurteilt, Gerechtigkeit siegte und ein weiterer Nagel wurde in den Sarg der romantischen Vorstellung von Internetkriminalität geschlagen. Dies hoffe ich zumindest.
Bei diesem Fall hätte es sich um einen weiteren null-acht-fünfzehn Fall gehandelt, wenn nicht eine wichtige Tatsache anders gewesen wäre: Es war der ersteFall im Bereich phishing in Russland, in dem die Ermittlungen bis zum Ende durchgeführt wurden. Vorher war es unrealistisch zu erwarten, dass ein solcher Fall vor Gericht käme, da im besten Falle die „Vordermänner“ der zuständigen kriminellen Organisation erwischt wurden.
Die Geschichte began im Frühjahr 2010 im Sinne eines typischen phishing-Szenarios:
Ein paar Leute aus St. Petersburg erwarben auf dem Internetschwarzmark eine Malware der Qhost Trojaner-Art. Im Anschluss daran infizierten sie einige Computer und benutzten den Trojaner dafür, die Benutzer auf eine falsche Internetseite umzuleiten. Dort gaben die Opfer unwissentlich die Zugangscodes zu ihren Online-Banking Konten preis. Die Interneträuber hatten dadurch uneingeschränkten Zugriff auf die Bankkonten und hoben viel Geld ab bis sie endlich geschnappt wurden.
Erstaunlich daran ist, dass die Schurken es geschafft haben, die doppelte Authentifizierung und die SMS Textmitteilungen auszutricksen und dies auf verschiedene Arten.
Zum Beispiel wurden angebliche Anrufe an die Opfer von der Bank getätigt, bei denen ein Textcode angegeben werden musste, „um eine falsche Überweisung zu stornieren“. Für einige der betroffenen Banken wurden von den Kriminellen spezielle Felder auf der falschen Internetseite geschaffen, wo diese Daten von verschiedenen Kennzahllisten eingeben mussten; Diese Kennzahlen wurden einige Male nachgefragt (als Grund wurde die vorherige fehlerhafte Eingabe dieser genannt) und dadurch erhielten diese verschiedene gültige Kennzahlen für weitere Operationen.
Die Ermittlung zeigte, dass mehr als 170 Personen in ganz Russland Opfer dieses Betruges wurden und ein Verlust im Wert von ca. 13 Millionen Rubeln entstand (fast eine halbe Millionen Dollar).
Dies ist die offizielle Geschichte. Lass uns jetzt erzählen, was wirklich passiert ist.
Es gibt keinen vergleichbaren Fall. Vorher galt es als unmöglich in Russland, dass jemand für phishing verurteilt wurde. Die armen Behörden hatten keine Erfahrung und kein spezifisches Wissen und für sie war es schon schwer genug herauszufinden, wo man mit der Ermittlungsarbeit im Bereich des phishings anfangen sollte.
Zum Glück wurde beschlossen, dass etwas getan werden musste, um dies zu ändern und an dem Punkt kommen wir ins Spiel. Man bat uns, die Untersuchung der Experten zu übernehmen und eine Analyse zu erarbeiten. Die Banken stellten alle notwendigen Daten für die Ermittlung zu Verfügung und waren durchgehend in die Ermittlungsarbeiten eingebunden, während die Abteilung für Informationssicherheit des FSB die Ermittlungen leitete. Das funktionierte! Der Fall wurde eröffnet and ein Team der Ermittlungseinheit des MVD wurde zusammengestellt.
Ein Fall zu eröffnen ist nicht dasselbe wie eine Fall abzuschließen (zumindest befriedigend abzuschließen). Die meisten der Ermittlungen im Bereich der Internetkriminalität in Russland verlaufen sich im Sand, da die Verantwortlichen nicht die nötigen Fähigkeiten besitzen. Aber in diesem besonderen Coup bekamen die Ermittler eine spezielle zweimonatige Ausbildung in Internetsicherheit und wir und die Banken unterstützten sie so gut wir konnten.
Ein weiterer wichtiger Faktor in solchen Fällen ist die Weiterführung des Falles bis es zu einer Verhandlung kommt. Eben dort werden jedoch oft die meisten Fahler gemacht. So werden die Ermittler oft nicht mehr unterstützt, die Ermittlungen verlaufen sich oder der Fall gerät aus den Fugen. Dieses Mal jedoch war alles anders: Unser CIU Team war immer erreichbar- es gab unzählige Geschäftstreffen, tausende von Seiten mit technischen Analysen der Ermittlungen und einen konstanten Austausch.
Auch wenn es lange gedauert hat, ist der Fall schließlich erfolgreich abgeschlossen worden. Obwohl die Täter ausgesetzte Urteile und nur Geldstrafen bekamen, war der Fall wichtig, da ein Exempel statuiert wurde (Kriminalfälle im Bereich des phishing müssen und sollten bis zum Ende verfolgt werden) und die Ermittler gleichzeitig dank unserer und der Banken Hilfe Erfahrung gesammelt und Know-how erworben haben. Davon abgesehen, was könnte eine deutlichere Ansage für die Internetkriminellen und die nächsten Generationen dafür sein, gefährliche, destruktive und illegale Tätigkeiten sein zu lassen und ihre Fähigkeiten besser zu nutzen im Sinne einer produktiven, positiven und ungefährlichen Beschäftigung.