Abo
  • Services:

Onlinekriminalität: Der Handel mit gestohlenen Daten

Def Con 22 Auch beim Handel mit geklauten Daten sind Kundenservice und eine gute Reputation wichtig. Der Kriminologe Thomas Holt präsentierte auf der Def Con 22 Einblicke in die Welt der Onlineforen von illegalen Datenhändlern.

Artikel veröffentlicht am , Hanno Böck
Kreditkartendaten sind ein beliebtes Handelsgut.
Kreditkartendaten sind ein beliebtes Handelsgut. (Bild: Petr Kratochvil, Wikimedia Commons)

Immer wieder werden Datenbanken mit sensiblen Nutzerdaten im großen Stil geklaut. Und mit Hilfe von Phishing-Mails und Malware werden Nutzern massenhaft Kreditkartendaten, Zugänge zu Onlinebanking-Accounts oder andere persönliche Daten gestohlen. Der Kriminologe Thomas Holt von der Michigan State University hat den Handel mit geklauten Daten in Onlineforen und IRC-Kanälen untersucht. Auf der Def Con 22 gab er einen Einblick in die Praktiken.

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. Sky Deutschland GmbH, Unterföhring bei München

Holt berichtete, dass es sehr unterschiedliche Untergrundmärkte gebe. So seien einige Foren leicht mittels Suchmaschinen auffindbar und die Einstiegshürde gering. Allerdings werde dort auch öfter schlicht betrogen. Es würden häufig Daten angeboten, die zum Großteil ungültig sind oder sogar nur aus Datenmüll bestehen. Darauf weisen Foreneinträge von enttäuschten Kunden hin. Neben diesen von Holt als Ripoff-Foren bezeichneten Handelsplätzen gibt es aber auch hochgradig professionell organisierte Handelsplätze.

Kundenservice für gestohlene Daten

Auch beim Handel mit gestohlenen Daten ist Kundenservice Pflicht. Als Beispiel zeigte Holt eine Anzeige, in der einem Käufer von geklauten Kreditkartendaten versprochen wird, innerhalb von 24 Stunden nach dem Kauf alle Datensätze, die nicht mehr gültig sind, gegen gültige Datensätze zu tauschen. Bei gestohlenen Paypal-Datensätzen erhält der Kunde manchmal gleich einen passenden Zugang zu einem Proxy-Server dazu, da sich die Zugänge oft nur in dem Land problemlos nutzen lassen, in dem sich der originale Inhaber des Accounts befindet.

Anders als vielleicht erwartet, spielen Kryptowährungen wie Bitcoin bislang laut Holt kaum eine Rolle bei der digitalen Datenhehlerei. Vielmehr wurde der Bezahlservice Liberty Reserve verwendet, der jedoch im Jahr 2013 nach Ermittlungen von US-Strafverfolgungsbehörden geschlossen wurde.

Handel über Treuhänder

Die professionell geführten Foren bieten oft Dienstleistungen an, um den Datenhandel zu erleichtern. So sind etwa Escrow-Services üblich, bei denen Daten und Geld zunächst an den Forenbetreiber geliefert werden. Da der Forenbetreiber einen guten Ruf zu verlieren hat, vertrauen Händler und Käufer diesem eher als einem unbekannten Forenmitglied. Nach Abzug einer Gebühr für den Escrow-Service wird das Geld an den Händler und die Daten an den Käufer weitergeleitet.

Ein wichtiger Aspekt des illegalen Datenhandels sind Reputationssysteme. Die funktionieren laut Holt ähnlich wie bei Ebay oder Amazon. Dabei wird eher bei dem Händler gekauft, mit dem Nutzer früher schon gute Erfahrungen gemacht haben. Wer einen Händler kritisiert, muss aber unter Umständen Belege dafür liefern, beispielsweise Chatlogs. Nutzer, bei denen der Verdacht besteht, dass sie Händler grundlos kritisieren, verlieren möglicherweise schnell ihren Zugang.

Testkäufe möglich

In manchen Foren bieten die Moderatoren auch Test-Services für Händler an. Diese sind im Gegensatz zu den Escrow-Services kostenlos. Der Forenbetreiber führt einen Testkauf beim Datenhändler durch, und wenn er mit dem Ergebnis zufrieden ist, werden Foreneinträge, die den entsprechenden Händler kritisieren, gelöscht.

In den Foren werden die Geschäfte üblicherweise nur angebahnt, der spätere Handel findet per E-Mail oder über ICQ-Chats statt. Deshalb sei es auch schwer, den genauen Umfang des Handels zu kalkulieren. Holt geht aber aufgrund von Schätzungen davon aus, dass einzelne Transaktionen durchaus Millionenbeträge für die Händler einspielen.

Infrastruktur angreifen

Einige Betreiber von illegalen Foren seien schon seit über zehn Jahren im Geschäft. Solchen Foren gelten als besonders vertrauenswürdig. Wer so lange tätig ist, dem wird eher zugetraut, professionell zu handeln.

Für Strafverfolgungsbehörden hat Holt den Ratschlag, dass sie sich darauf konzentrieren sollten, die Infrastruktur des illegalen Datenhandels zu stören. Gegen einzelne Händler oder Käufer vorzugehen, sei kaum effizient, wenn jedoch ein wichtiges Forum nicht mehr verfügbar sei, störe das den Datenhandel deutlich mehr.

Kürzlich war die US-Firma Hold Security in die Kritik geraten, die eine Datenbank mit mehr als einer Milliarde Zugangsdaten von russischen Hackern erbeutet haben will. Gegen ein Abonnement von monatlich 10 US-Dollar können besorgte Kunden erfragen, ob sich ihre Daten in der Datenbank befinden. Kritiker monieren, dass Hold Security so ebenfalls mit den gestohlenen Daten handelt. Die US-Firma hingegen spricht von einer "Aufwandsentschädigung".



Anzeige
Spiele-Angebote
  1. (-79%) 8,49€
  2. (-43%) 11,49€
  3. 27,99€
  4. 54,95€

aFrI 11. Aug 2014

Informiert euch mal ihr Lappen! Wer redet hier von AOL? Vielleicht erkennt ihr ja den...


Folgen Sie uns
       


Amazons Echo Plus (2018) - Test

Der neue Echo Plus von Amazon liefert einen deutlich besseren Klang als alle bisherigen Echo-Lautsprecher. Praktisch ist außerdem der eingebaute Smart-Home-Hub. Der integrierte Temperatursensor muss aber noch bessser in Alexa integriert werden. Der neue Echo Plus ist zusammen mit einer Hue-Lampe von Philips für 150 Euro zu haben.

Amazons Echo Plus (2018) - Test Video aufrufen
Pixel 3 XL im Test: Algorithmen können nicht alles
Pixel 3 XL im Test
Algorithmen können nicht alles

Google setzt beim Pixel 3 XL alles auf die Kamera, die dank neuer Algorithmen nicht nur automatisch blinzlerfreie Bilder ermitteln, sondern auch einen besonders scharfen Digitalzoom haben soll. Im Test haben wir allerdings festgestellt, dass auch die beste Software keine Dual- oder Dreifachkamera ersetzen kann.
Ein Test von Tobias Költzsch

  1. Android Google-Apps könnten Hersteller bis zu 40 US-Dollar kosten
  2. Google Pixel-Besitzer beklagen nicht abgespeicherte Fotos
  3. Dragonfly Google schweigt zu China-Plänen

Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

Probefahrt mit Tesla Model 3: Wie auf Schienen übers Golden Gate
Probefahrt mit Tesla Model 3
Wie auf Schienen übers Golden Gate

Die Produktion des Tesla Model 3 für den europäischen Markt wird gerade vorbereitet. Golem.de hat einen Tag in und um San Francisco getestet, was Käufer von dem Elektroauto erwarten können.
Ein Erfahrungsbericht von Friedhelm Greis

  1. 1.000 Autos pro Tag Tesla baut das hunderttausendste Model 3
  2. Goodwood Festival of Speed Tesla bringt Model 3 erstmals offiziell nach Europa
  3. Elektroauto Produktionsziel des Tesla Model 3 erreicht

    •  /