Trojaner-Jagd Cyber-Verbrecher gehen IT-Forschern in die Falle

Hacker, Cracker und Phisher: Cyber-Kriminelle klauen mit Hilfe von Spionageprogrammen Daten im Netz. Doch IT-Forscher der Uni Mannheim zeigen jetzt in einer Studie, wie es ihnen gelungen ist, die Betrüger mit einem präparierten Computer auszutricksen.

Wie dringt man in die oft hochautomatisierten Netzwerke von Hackern, Crackern und Phishern ein? Am besten ebenso hochautomatisiert, dachten sich Thorsten Holz, Markus Engelberth und Felix Freiling vom Laboratory for Dependable Systems der Uni Mannheim, alle drei Experten für Netzwerksicherheit.

Um ihre These zu überprüfen, legten sie von April bis Oktober 2008 einen Köder im Internet aus: einen schutzlosen, aber präparierten Computer. Sie konnten nicht wissen, wie erfolgreich ihr Experiment sein würde. Mit dem Fliegenfänger machten sie reiche Beute. Sie fanden die Datenverstecke und Hintertürchen zahlreicher Netzkrimineller. Die Ergebnisse ihrer Fallstudie  liegen nun vor.

In 33 Gigabyte Rohtext - das entspricht 48 CDs - fanden die drei Forscher Spuren von 173.000 Opfern in 175 Ländern. Fast 12.000 davon kommen aus Deutschland. Die Daten umfassen 10.775 Zugänge zu Online-Banking-Konten, 5600 komplette Kreditkarten-Datensätze, 149.000 E-Mail-Passwörter und Zehntausende Login-Daten für andere Websites, zum Beispiel soziale Netzwerke - Daten-Diebesgut bisher unbekannten Ausmaßes.

Trojaner-Horden aus dem Banditen-Baukasten

Ihren Datenhunger stillen die Betrüger mit Hilfe von Trojanern, die sie Tausenden arglosen Nutzern auf den Rechner schleusen: mit infizierter Software, mit besonders präparierten Websites, mit Spam-Mails. Die Trojaner belauschen den Nutzer, schicken Tastatur- und Surfprotokolle an einen geheimen Speicherort im Netz, die "Dropzone". Hacker-Software wertet die Daten aus, extrahiert Passwörter, Kreditkartennummern und Banking-Daten. Die Cyber-Verbrecher können diese Daten auf dem Internet-Schwarzmarkt weiterverkaufen oder für den Online-Einkauf auf fremde Rechnung verwenden.

Dieses Geschäft gibt es schon seit Jahren. Neu ist, dass sich offenbar immer mehr klassische Verbrecher mit geringem technischen Know-how ins Netz wagen. Sie kaufen über dunkle Kanäle Trojaner-Bausätze, buchen sich ein paar Millionen Spam-Mails dazu und brauchen dann nur noch die Daten von den Dropzones abzuschöpfen.

Normalerweise sind diese Dropzones durch ein Passwort geschützt. Viele kriminelle Anfänger-Hacker versäumen jedoch, auch die Hintertür ihres Diebesgutlagers zu versperren - und spielten so den Mannheimer Experten in die Hände. Die kamen mit simplen Tricks Gigabyte-weise an Daten: Sie probierten oft erfolgreich den Zugang über Standard-Serververzeichnisse, stießen da auf die sensiblen Daten. Thorsten Holz, Doktorand am Laboratory for Dependable Distributed Systems der Uni Mannheim, zeigt sich vom Fund überrascht: "Wir haben nicht gedacht, dass das so einfach ist."

Mit Honig fängt man Hacker

Um das sagen zu können, mussten die Mannheimer aber erst die Trojaner hereinlegen, ihnen quasi die Anschrift ihrer Dropzone abluchsen. Das bewerkstelligten sie mit einem sogenannten Honeypot (einer "Honigfalle") - einem präparierten Computer, den sie auf Surfreise schickten, bis er sich mit einem Trojaner infizierte. Was der Trojaner nicht bemerkte: Der Computer, den er befiel, stand unter genauer Beobachtung.

Daten, die der Trojaner aus dem Netz empfing oder verschickte, Dateien, auf die er zugreift, die er verändert, all das sehen die Forscher. Von April bis Oktober 2008 fanden die Mannheimer so rund 2000 verschiedene Trojaner-Dateien, entdeckten 350 Dropzones. Auf 73 dieser Web-Speicher hatten die Experten uneingeschränkten Zugriff. Dort fanden sie das Diebesgut: die Online-Protokolle der Banking-Trojaner.

Solche Trojaner beobachten, wo im Netz sich ein Nutzer gerade aufhält, welche Tasten auf der Tastatur er gerade drückt ("Keylogger"). Betritt der Nutzer eine Online-Banking-Seite, protokolliert der Schädling jeden Schritt mit, zweigt Zugangsdaten, PIN- und TAN-Codes ab.

Schad- und Spähsoftware

Browser, die Formulardaten zur Bequemlichkeit des Nutzers abspeichern und automatisch auf Websites eintragen, kommen dem Trojaner besonders zupass: In so einem Fall muss er nur noch eine zentrale Datei auslesen, in der alle Login-Namen und Passwörter des Nutzers abgespeichert sind. Zusammen mit den anderen Log-Daten lädt er diese dann in die Dropzone. Das alles läuft vollkommen automatisch ab.

Australische Experten sichten digitales Diebesgut

Viel technischer Verstand ist dafür nicht mehr nötig. Auch, weil so ein Trojaner-Baukasten mit 2000 bis 3000 Euro recht günstig ist, eröffnet sich klassischen Kriminellen damit ein neues Betätigungsfeld. Für den Trojaner-Experten Thorsten Holz ist das ein Zeichen, dass klassische und digitale Kriminalität miteinander verschmelzen - Cyber-Kriminelle sind längst nicht mehr die Avantgarde der Banditen. Das heißt auch: Nicht mehr lang, und selbst die dümmsten Cyber-Banditen wissen, wie sie ihre Online-Taten besser vertuschen können.

Und was passiert mit all den Daten, dem digitalen Diebesgut, das die Mannheimer fanden? Das übergaben sie dem Computer Emergency Response Team (CERT) in Australien, das sich auf Banking-Themen spezialisiert hat. Die Australier kümmern sich um die Daten und sprechen die Opfer und betroffenen Firmen gezielt an. Schon melden sich dort Firmen, fragen nach Daten, aus denen hervorgeht, wie die Cyber-Banditen ihre Online-Systeme ausspionieren.

Für deutsche Nutzer von Online-Banking-Systemen gibt es wenigstens eine gute Nachricht. Online-Banking in Deutschland ist verhältnismäßig sicher: Solange Betrüger keine TAN-Liste in die Hand bekommen, haben sie praktisch keine Chance, Online-Konten leerzuräumen. Als besonders sicher gelten Mobile-TAN-Verfahren; manche Banken verschicken TANs mit kurzer Haltbarkeit per SMS. In manchen Ländern ohne TAN-System reicht dagegen schon die Standardkombination aus Zugangsnamen und Passwort. Ein Geschenk an Cyber-Banditen.

Die Wiedergabe wurde unterbrochen.