Abo
  • Services:

Onlinekriminalität: Der Handel mit gestohlenen Daten

Def Con 22 Auch beim Handel mit geklauten Daten sind Kundenservice und eine gute Reputation wichtig. Der Kriminologe Thomas Holt präsentierte auf der Def Con 22 Einblicke in die Welt der Onlineforen von illegalen Datenhändlern.

Artikel veröffentlicht am , Hanno Böck
Kreditkartendaten sind ein beliebtes Handelsgut.
Kreditkartendaten sind ein beliebtes Handelsgut. (Bild: Petr Kratochvil, Wikimedia Commons)

Immer wieder werden Datenbanken mit sensiblen Nutzerdaten im großen Stil geklaut. Und mit Hilfe von Phishing-Mails und Malware werden Nutzern massenhaft Kreditkartendaten, Zugänge zu Onlinebanking-Accounts oder andere persönliche Daten gestohlen. Der Kriminologe Thomas Holt von der Michigan State University hat den Handel mit geklauten Daten in Onlineforen und IRC-Kanälen untersucht. Auf der Def Con 22 gab er einen Einblick in die Praktiken.

Stellenmarkt
  1. Schuler Pressen GmbH, Erfurt
  2. Symgenius GmbH & Co. KG, Düsseldorf, Bad Gandersheim

Holt berichtete, dass es sehr unterschiedliche Untergrundmärkte gebe. So seien einige Foren leicht mittels Suchmaschinen auffindbar und die Einstiegshürde gering. Allerdings werde dort auch öfter schlicht betrogen. Es würden häufig Daten angeboten, die zum Großteil ungültig sind oder sogar nur aus Datenmüll bestehen. Darauf weisen Foreneinträge von enttäuschten Kunden hin. Neben diesen von Holt als Ripoff-Foren bezeichneten Handelsplätzen gibt es aber auch hochgradig professionell organisierte Handelsplätze.

Kundenservice für gestohlene Daten

Auch beim Handel mit gestohlenen Daten ist Kundenservice Pflicht. Als Beispiel zeigte Holt eine Anzeige, in der einem Käufer von geklauten Kreditkartendaten versprochen wird, innerhalb von 24 Stunden nach dem Kauf alle Datensätze, die nicht mehr gültig sind, gegen gültige Datensätze zu tauschen. Bei gestohlenen Paypal-Datensätzen erhält der Kunde manchmal gleich einen passenden Zugang zu einem Proxy-Server dazu, da sich die Zugänge oft nur in dem Land problemlos nutzen lassen, in dem sich der originale Inhaber des Accounts befindet.

Anders als vielleicht erwartet, spielen Kryptowährungen wie Bitcoin bislang laut Holt kaum eine Rolle bei der digitalen Datenhehlerei. Vielmehr wurde der Bezahlservice Liberty Reserve verwendet, der jedoch im Jahr 2013 nach Ermittlungen von US-Strafverfolgungsbehörden geschlossen wurde.

Handel über Treuhänder

Die professionell geführten Foren bieten oft Dienstleistungen an, um den Datenhandel zu erleichtern. So sind etwa Escrow-Services üblich, bei denen Daten und Geld zunächst an den Forenbetreiber geliefert werden. Da der Forenbetreiber einen guten Ruf zu verlieren hat, vertrauen Händler und Käufer diesem eher als einem unbekannten Forenmitglied. Nach Abzug einer Gebühr für den Escrow-Service wird das Geld an den Händler und die Daten an den Käufer weitergeleitet.

Ein wichtiger Aspekt des illegalen Datenhandels sind Reputationssysteme. Die funktionieren laut Holt ähnlich wie bei Ebay oder Amazon. Dabei wird eher bei dem Händler gekauft, mit dem Nutzer früher schon gute Erfahrungen gemacht haben. Wer einen Händler kritisiert, muss aber unter Umständen Belege dafür liefern, beispielsweise Chatlogs. Nutzer, bei denen der Verdacht besteht, dass sie Händler grundlos kritisieren, verlieren möglicherweise schnell ihren Zugang.

Testkäufe möglich

In manchen Foren bieten die Moderatoren auch Test-Services für Händler an. Diese sind im Gegensatz zu den Escrow-Services kostenlos. Der Forenbetreiber führt einen Testkauf beim Datenhändler durch, und wenn er mit dem Ergebnis zufrieden ist, werden Foreneinträge, die den entsprechenden Händler kritisieren, gelöscht.

In den Foren werden die Geschäfte üblicherweise nur angebahnt, der spätere Handel findet per E-Mail oder über ICQ-Chats statt. Deshalb sei es auch schwer, den genauen Umfang des Handels zu kalkulieren. Holt geht aber aufgrund von Schätzungen davon aus, dass einzelne Transaktionen durchaus Millionenbeträge für die Händler einspielen.

Infrastruktur angreifen

Einige Betreiber von illegalen Foren seien schon seit über zehn Jahren im Geschäft. Solchen Foren gelten als besonders vertrauenswürdig. Wer so lange tätig ist, dem wird eher zugetraut, professionell zu handeln.

Für Strafverfolgungsbehörden hat Holt den Ratschlag, dass sie sich darauf konzentrieren sollten, die Infrastruktur des illegalen Datenhandels zu stören. Gegen einzelne Händler oder Käufer vorzugehen, sei kaum effizient, wenn jedoch ein wichtiges Forum nicht mehr verfügbar sei, störe das den Datenhandel deutlich mehr.

Kürzlich war die US-Firma Hold Security in die Kritik geraten, die eine Datenbank mit mehr als einer Milliarde Zugangsdaten von russischen Hackern erbeutet haben will. Gegen ein Abonnement von monatlich 10 US-Dollar können besorgte Kunden erfragen, ob sich ihre Daten in der Datenbank befinden. Kritiker monieren, dass Hold Security so ebenfalls mit den gestohlenen Daten handelt. Die US-Firma hingegen spricht von einer "Aufwandsentschädigung".



Anzeige
Spiele-Angebote
  1. 26,99€
  2. 3,99€
  3. 99,99€

aFrI 11. Aug 2014

Informiert euch mal ihr Lappen! Wer redet hier von AOL? Vielleicht erkennt ihr ja den...


Folgen Sie uns
       


Always Connected PCs angesehen (Windows 10 on ARM)

Mit einer neuen Plattform will Microsoft noch einmal ARM-basierte Geräte als Notebook-Alternative auf den Markt bringen. Dieses Mal können auch zahlreiche alte Programme ausgeführt werden.

Always Connected PCs angesehen (Windows 10 on ARM) Video aufrufen
Indiegames-Rundschau: Mutige Mäuse und tapfere Trabbis
Indiegames-Rundschau
Mutige Mäuse und tapfere Trabbis

Grafikwucht beim ganz großen Maus-Abenteuer oder lieber Simulationstiefe beim Mischen des Treibstoffs für den Trabbi? Wieder haben Fans von Indiegames die Qual der Wahl - wir stellen die interessantesten Neuheiten vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Zwischen Fake News und Mountainbiken
  2. Indiegames-Rundschau Tiefseemonster, Cyberpunks und ein Kelte
  3. Indiegames-Rundschau Krawall mit Knetmännchen und ein Mann im Fass

God of War im Test: Der Super Nanny
God of War im Test
Der Super Nanny

Ein Kriegsgott als Erziehungsberechtigter: Das neue God of War macht nahezu alles anders als seine Vorgänger. Neben Action bietet das nur für die Playstation 4 erhältliche Spiel eine wunderbar erzählte Handlung um Kratos und seinen Sohn Atreus.
Von Peter Steinlechner

  1. God of War Papa Kratos kämpft ab April 2018

Digitalfotografie: Inkonsistentes Rauschen verrät den Fälscher
Digitalfotografie
Inkonsistentes Rauschen verrät den Fälscher

War der Anhänger wirklich so groß wie der Ring? Versucht da gerade einer, die Versicherung zu betuppen? Wenn Omas Erbstück geklaut wurde, muss die Versicherung wohl dem Digitalfoto des Geschädigten glauben. Oder sie engagiert einen Bildforensiker, der das Foto darauf untersucht, ob es bearbeitet wurde.
Ein Bericht von Werner Pluta

  1. iOS und Android Google lanciert drei experimentelle Foto-Apps
  2. Aufstecksucher für TL2 Entwarnung bei Leica

    •  /