Was mit geklauten E-Mail-Adressen passiert

Der US-amerikanische Online-Schuhhändler Zappos informierte im Januar 2012 seine Kunden, dass ihre Namen, E-Mail-Adressen, Rechnungs-und Lieferadresse, Telefonnummern und die letzten vier Ziffern ihrer Kreditkartennummern durch eine Datenpanne in fremde Hände gelangt sein könnten. Tröstlich, dass das Unternehmen gleichzeitig mitteilen konnte, "kritische Kreditkarten- und andere Zahlungsdaten" seien nicht betroffen gewesen. Dass sie auf ihrer nächsten Kreditkartenabrechnung mysteriöse Abbuchungen entdecken werden, brauchen die 24 Millionen Kunden, deren Daten möglicherweise gefährdet waren, also nicht zu fürchten. Dennoch: Schon mit den bloßgelegten Daten könnten Cyberkriminelle einiges anfangen.

Die wahrscheinlichste Folge der Datenpanne werden mehr in erster Linie lästige Spam-Mails sein, doch lassen sich mit Angaben wie Name und Adresse auch gezielte und damit gefährliche Phishing-Mails kreieren. Der Absender tarnt sich als vertrauenswürdige Person oder Organisation, um den Empfänger zum Klicken auf einen Link zu verleiten - flugs nistet sich MalwareMalware auf seinem Rechner ein, oder ein unbedarfter Nutzer gibt vertrauliche Informationen wie Passwörter, Kreditkarten- oder Sozialversicherungsnummer preis. Alles zu Malware auf CIO.de

Geld verdienen mit Spam-Mails zu Potenzmitteln

Personenbezogene Daten sind die Währung der digitalen Schattenwirtschaft. HackerHacker, die diese Daten besitzen, können sie an eine Vielzahl von Kunden verkaufen, darunter Identitätsdiebe, das organisierte Verbrechen, Spammer und Botnetz-Betreiber - sie alle können mit diesen Daten noch mehr Geld verdienen. Alles zu Hacker auf CIO.de

Spammer beispielsweise verschicken an eine Liste neu erhaltener E-Mail-Adressen Angebote für Potenzmittel. Geld verdienen sie, wenn ein Empfänger auf die in der E-MailE-Mail verlinkte Seite klickt und die darauf platzierte Werbung angezeigt wird. Und Identitätsdiebe verwenden E-Mail-Adressen, um Phishing-Mails zu verschicken, die Menschen zur Eingabe ihrer Bankkonto- oder Kreditkartennummer verleiten sollen. Alles zu Mail auf CIO.de

Rod Rasmussen, Präsident und CTO von Internet Identity, einem Anbieter von Sicherheitslösungen fürs Internet aus dem US-Bundesstaat Washington, sagt, dass Cyberkriminelle untereinander mit persönlichen Informationen handeln, um ein vollständigeres Bild von einem Individuum zu erhalten. "Die Idee dahinter ist, mehr Informationen über Menschen zusammenzustellen, um mehr Schaden anzurichten." Angaben wie Namen, Kreditkartennummer, PIN, E-Mail-Adresse oder Telefonnummer stammten oft aus verschiedenen Quellen.

Kreditkartennummern für weniger als einen Dollar

Ein Name oder eine E-Mail-Adresse hat den Wert von Bruchteilen eines Cents bis zu einem US-Dollar - je nach Qualität und Aktualität der Daten, sagen Sicherheitsexperten. "Es sind so viele Daten im Umlauf, dass Sie schon viele haben müssen, um damit im Untergrund Geld zu verdienen", sagt Rasmussen. Selbst Kreditkartennummern würden für weniger als einen US-Dollar gehandelt.

Das klingt zunächst nicht besonders ertragreich. Doch wer eine Masse an Datensätzen zur Hand hat, für den lohnt sich das Geschäft. Beispiel Zappos: Sind Hacker tatsächlich an Daten von mehr als 24 Millionen Kunden gelangt und verkaufen davon nur fünf Millionen E-Mail-Adressen für fünf Cent das Stück, verdienen sie daran 250.000 Dollar.

Botnetz für 1.000 Dollar die Stunde vermieten

Noch mehr Geld verdienen Botnetz-Betreiber. Angenommen, Sie besitzen ein Botnet aus 100.000 Computern: Für 1.000 Dollar die Stunde können Sie es an Spammer vermieten, sagt Stu Sjouwerman, Gründer und CEO von KnowB4, einem Anbieter von Internet-Sicherheitstrainings aus Florida. Er rechnet vor: Kauft jemand die 24 Millionen Datensätze von Zappos, verschickt Malware an alle E-Mail-Adressen, kann er ohne viel Mühe ein riesiges Botnetz aufbauen - selbst wenn nur jeder Fünfte sich infiziert, entsteht ein Netz aus fünf Millionen ferngesteuerten Rechnern. "Ein solches Netz können Sie sogar für 5.000 Dollar pro Stunde zum Spam-Versand vermieten", sagt Sjouwerman.

Alles, was Cyberkriminelle brauchen, um ihr Werk zu beginnen, ist eine persönliche E-Mail-Adresse. Sie genügt, um Postfächer mit Spam zu überschwemmen. Für Identitätsklau oder Kreditkartenbetrug braucht es zusätzlich ein Passwort, eine Kreditkarten- oder Sozialversicherungsnummer, sagt Rasmussen. An diese sensibleren Daten gelangen Kriminelle oft per Phishing-E-Mails oder indem sie Malware per E-Mail verschicken, sagt Sjouwerman. Manche Schadprogramme installieren sogenannte Key-Logging-Software, die die Eingabe von Benutzernamen und Passwörtern aufzeichnet.