Das Darknet ist Anlaufstelle Nummer Eins, wenn es darum geht, an sensible (Unternehmens-)Daten zu kommen. Einschlägige Hacker-Foren verstecken sich jedoch nicht nur im dunklen Teil des Netzes.
Einer der beliebtesten Umschlagplätze für sensible Informationen im Darknet war bislang AlphaBay. Auf der Plattform wurden Geschäfte mit Drogen, Waffen, gefälschten Dokumenten und Kinderpornografie geschlossen sowie mit Informationen wie Steuerformularen und Zugangsdaten gehandelt. Im Sommer dieses Jahres gelang es dem FBI gemeinsam mit Ermittlern aus Kanada und Thailand die kriminelle Vertriebsstruktur auszuheben.
Cyber-Gefahren lauern nicht nur im Darknet. Foto: Kundra - shutterstock
AlphaBay bot Cyberkriminellen aber nicht nur die richtigen Informationen, um Hackerangriffe zu starten. Der Handelsplatz bot seinen Nutzern auch entsprechende Tools und stellt die neuesten Taktiken, Techniken und Prozeduren (TTPs) vor. So konnten Hacker beispielsweise die SMS-Verifizierung von Accounts umgehen, um auch bei mehrstufigen Authentifizierungverfahren einfach und schnell anzugreifen. Auch Konfigurations-Dateien für Tools wie Sentry MBA, die eine Kontoübernahme durch "Credential Stuffing" ermöglichen, standen zum Verkauf.
AlphaBay ist down, die Hack-Gefahr bleibt
Im Darknet gibt es dutzende solcher Marktplätze, die im Kampf um potentielle "Kunden" mit harten Bandagen kämpfen. In der Vergangenheit nutzten weniger bekannte Umschlagplätze beispielsweise Botnetze, um Werbung und Sonderangeboten via Spam-Mail an AlphaBay-Nutzer zu senden und sie so zu einem Anbieterwechsel zu bewegen.
Nicht alle diese Plattformen im Dark Web sind so erfolgreich und leicht zugänglich wie es AlphaBay war. Klar ist jedoch: Mit dem Ende der Plattform ist die Gefahr von Datenleaks und kompromittierten Zugangsdaten für Unternehmen längst nicht vorbei. Die kriminellen Hacker werden sich in Zukunft einfach bei anderen Anbietern bedienen und neue Geschäftsmodelle testen.
Das Darknet in Bildern
Enter the Dark In den 1970er Jahren war der Ausdruck "Darknet" kein bisschen unheilverkündend. Er bezeichnet damals einfach nur Netzwerke, die aus Sicherheitsgründen vom Netz-Mainstream isoliert werden. Als aus dem Arpanet zuerst das Internet wird, das dann sämtliche anderen Computer-Netzwerke "verschluckt", wird das Wort für die Bereiche des Netzes benutzt, die nicht ohne Weiteres für jeden auffindbar sind. Und wie das im Schattenreich so ist: Natürlich ist es auch ein Hort für illegale Aktivitäten und beunruhigende Güter aller Art, wie Loucif Kharouni, Senior Threat Researcher bei Damballa unterstreicht: "Im Darknet bekommen Sie so ziemlich alles, was man sich nur vorstellen kann."
Made in the USA Ein aktuelles Whitepaper von Recorded Future klärt über die Verbindungspunkte zwischen dem Web, das wir alle kennen, und dem Darknet auf. Erste Spuren sind normalerweise auf Seiten wie Pastebin zu finden, wo Links zum Tor-Netzwerk für einige Tage oder Stunden "deponiert" werden. Tor wurde übrigens von der US Navy mit dem Ziel der militärischen Auskundschaftung entwickelt. Die weitgehende Anonymisierung hat Tor schließlich zum Darknet-Himmel gemacht.
Drogen Im Darknet floriert unter anderem der Handel mit illegalen Drogen und verschreibungspflichtigen Medikamenten. "Das Darknet hat den Drogenhandel in ähnlicher Weise revolutioniert, wie das Internet den Einzelhandel", meint Gavin Reid vom Sicherheitsanbieter Lancope. "Es stellt eine Schicht der Abstraktion zwischen Käufer und Verkäufer. Bevor es Seiten wie Silk Road gab, mussten Drogenkonsumenten in halbseidene Stadtviertel fahren und das Risiko eines Überfalls ebenso auf sich nehmen, wie das, von der Polizei erwischt zu werden. Jetzt können die Leute das bequem von zuhause erledigen und müssen dabei kaum mit dem Dealer interagieren. Das hat viele Personen dazu veranlasst, auf diesen Zug aufzuspringen und dadurch sowohl den Verkauf von Drogen als auch das Risiko das durch ihren Konsum entsteht, dezentralisiert."
Bitte bewerten Sie Ihren Einkauf! Das Internet hat den Handel revolutioniert - zum Beispiel durch Bewertungs- und Rating-Systeme. Das gleiche Prinzip kommt auch im Darknet zur Anwendung - nur bewertet man eben keine SSD, sondern Crack. Nach dem Untergang von Silk Road dient mittlerweile The Hub als zentrale Plattform für den Drogenhandel.
Waffen Drogenkonsumenten nutzen das Darknet in manchen Teilen der Welt, um bewaffneten Dealern aus dem Weg gehen zu können. Letztgenannte Zielgruppe kann im dunklen Teil des Netzes hingegen aufrüsten: Bei einer groß angelegten Razzia wurde eine große Waffenlieferung, die von den USA nach Australien gehen sollte, gestoppt. Neben Schrotflinten, Pistolen und Gewehren sind im Darknet unter anderem auch Dinge wie eine Kugelschreiber-Pistole zu haben. James Bond lässt grüßen. Strahlende Persönlichkeiten finden in den Web-Niederungen gar Uran. Zwar nicht waffenfähig, aber immerhin.
Identitätshandel Viele Untergrund-Händler bieten im Darknet auch gefälschte Dokumente wie Führerscheine, Pässe und Ausweise an. Ganz ähnlich wie der Zeitgenosse auf diesem thailändischen Markt, nur eben online. Was sich damit alles anstellen ließe... Jedenfalls ist die Wahrscheinlichkeit ziemlich gering, dass ein Teenie sich im Darknet ein Ausweisdokument beschafft, um das Bier für die nächste Facebook-Party kaufen zu können.
Digitale Leben Raj Samani, CTO bei Intel Security, zeigt sich erstaunt darüber, wie persönlich die Produkte und Services im Darknet im Laufe der Zeit geworden sind: "Der Verkauf von Identitäten geht weit über Karten und medizinische Daten hinaus: Dort werden ganze digitale Leben verkauft - inklusive Social-Media- und E-Mail-Accounts sowie jeder Menge anderer persönlicher Daten."
Auftragskiller Bevor Sie jetzt den Eindruck gewinnen, dass das Darknet ein Ort ist, wo man wirklich jede Dienstleistung kaufen kann: Die allermeisten Leute, die Tötungs-Dienstleistungen anbieten, sind Betrüger. Die nehmen zwar gerne Geld von den willigen Kunden, machen sich die Finger aber weniger gerne schmutzig. Der Betreiber von Silk Road, Ross Ulbricht, ist so einem Betrüger zum Opfer gefallen: Eine Million Bitcoins investierte der halbseidene Darknet-"Pionier" in Auftragsmorde, die nie ausgeführt wurden. Bei einer Crowdfunding-Plattform für Attentate auf Prominente dürfte es sich ebenfalls um ein einträgliches Betrugsgeschäft handeln.
Schnellausstieg Es kommt jetzt vielleicht überraschend, aber die Leute die man so im Darknet trifft, sind in der Regel keine ehrbaren Naturen. Die zunehmende Professionalisierung im Darknet und der psychische Druck, der auf Drogen- und Waffenhändlern im Darknet lastet, führt zu einem neuen Trend: dem Exit-Scam. Hierbei entscheidet sich ein Händler, der bereits Kundenvertrauen aufgebaut hat, seine Aktivitäten zu beenden. Dazu beendet er die Beziehungen zu seinen Lieferanten, nimmt aber weiterhin Bestellungen und Geld von Kunden entgegen. Und zwar genauso lange, bis diese merken, dass sie keine Leistungen für ihr Geld erhalten. Das so entstandene Zeitfenster wird von den Händlern genutzt, um noch einmal so richtig abzukassieren, bevor sie schließlich im digitalen Nirvana verschwinden.
Freiheit? Eines sollte man in Bezug auf das Darknet nicht vergessen: Während wir in diesem Zusammenhang vor allem an Drogen, Waffen und Auftragsmord denken, stellt das Darknet für Menschen in Ländern, in denen Krieg und/oder politische Verfolgung herrschen, oft das einzige Mittel dar, gefahrlos und/oder ohne Überwachung mit der Außenwelt in Kontakt zu treten.
Dabei sollten sich Unternehmen bewusst machen, dass kriminelle Aktivitäten nicht nur im dunklen Teil des Netzes stattfinden. Nach wie vor ist die Strafverfolgung ein schwieriges Unterfangen. In einigen Staaten werden Cyberkriminelle nicht ausgeliefert, zudem sind die Ermittlungen oft lang und komplex, weil mehrere Länder und Behörden beteiligt sind.
Weil weitreichende Folgen für die Cyberkriminellen ausbleiben, besteht für sie auch kein Grund mehr, sich in verschlüsselten Foren im Darknet zu verstecken. Cyberkriminalität ist vielmehr ein generelles Problem des Internets - auch im Open Web.
Hacking-Tools per Onlineshop
Ein Paradebeispiel dafür ist Deer.io. Dieser Onlineshop bietet ganz legal Hosting von Webseiten sowie Design- (basierend auf Wordpress-ähnlichen Vorlagen) und Zahlungslösungen an. Neben diesen harmlosen Angeboten, werden jedoch auch noch andere "Güter" über den Marktplatz vertrieben. Dazu zählen zum Beispiel:
Social Bots, mit denen innerhalb der entsprechenden Netzwerke Spam erzeugt werden soll - oder Accounts und Posts gepusht werden sollen;
Gestohlene Social-Media-Konten, die - im Vergleich zu den Bots - in kleineren Mengen und für einen höheren Preis angeboten werden können;
Coupons für Services, mit denen die Beliebtheit von Accounts und Posts künstlich erhöht werden kann;
Gestohlene Accounts anderer Dienstleister, zum Beispiel von Banken und Zahlungsdiensten oder auch Gutscheincodes und Kundenkarten;
Namen dedizierter Server und Domains.
Kriminelle Aktivitäten finden nicht nur im Dark Web, sondern auch im Open Web statt. Foto: optimarc - shutterstock.com
Ein Forum für kriminelle Hacker kann überall existieren. Ein Sicherheitskonzept, das nur auf die Gefahren des Darknets ausgelegt ist, greift daher zu kurz und ermöglicht kein umfassendes Risikoprofil. Zudem reicht es nicht aus, die Erwähnung von Unternehmens-Assets und -Zielen zu überwachen. Benötigt wird der Kontext, in dem die Informationen gepostet werden.
Data Scientists & Security-Experten im Kampf gegen Hacker-Foren
Ein ganzheitlicher Blick auf mögliche Cyber-Risiken setzt auf eine Kombination aus Technologie und dem Know-how von Sicherheitsexperten. Automatisierte Lösungen zur Datenerfassung können verdächtige Vorfälle in einen zeitlichen Kontext setzen, in Echtzeit verfolgen und lokalisieren - egal ob im Open, Deep oder Dark Web.
Eine Überprüfung vorangegangener Posts anderer Nutzer im selben Thread kann darüber hinaus Aufschluss geben, wie hoch die Gefahr für Unternehmen, Mitarbeiter oder Kunden tatsächlich ist. Entsprechende Lösungen ermöglichen zudem ein genaues Profiling des betreffenden Users, inklusive Informationen wie Name, Aktivitäten und Reputation.
Doch nicht alle Plattformen lassen sich mit solchen Lösungen überwachen. Gilt es, verschlüsselte Marktplätze auf Risiken zu untersuchen, sind Data Scientists und Security-Experten gefragt. Sie können die gesammelten Daten individuell bewerten und Prioritäten festlegen. Mit Hilfe von Analyse-Tools lassen sich mögliche Risikien frühzeitig identifizieren, zeitliche Abläufe von Angriffen abschätzen und präzise Handlungsanweisungen festlegen.
Ein Sicherheitsansatz, bei dem Technologie und menschliche Experten gemeinsam das gesamte Netz untersuchen, liefert nicht nur Informationen darüber, wer, wann und wo erwähnt wird. Er gibt auch Aufschluss über deren Folgen. Diese Breite und Tiefe an erfassten Informationen ist unerlässlich, wenn sich Unternehmen gegen die Bedrohung, die von Marktplätzen und Foren krimineller Hacker ausgeht, schützen wollen.
Crimeware-as-a-service: Darknet-Hits
Botnetze Ein Netzwerk von Rechnern die mit Schadsoftware infiziert wurden, kann von Cyberkriminellen gesteuert werden, ohne dass deren User etwas davon mitbekommen. Im Cyber-Untergrund können (Pseudo-)Hacker Zugang zu bereits infizierten Rechnern – oft auch im Verbund – erwerben. Ab etwa 100 Dollar pro Monat ist die Infrastruktur eines Botnetzes „mietbar“, ein komplettes, fertiges System kostet circa 7000 Dollar.
Browser Exploit Packs In Kombination mit einem Botnetz-Framework erlauben BEPs ihren Käufern, Ransomware oder Malware in großem Stil zu verbreiten. Wie jede fortgeschrittene Malware verfügen auch BEPs über integrierte Module zur Verschleierung, Optimierung und Administration der kriminellen Aktivitäten. Ein komplettes BEP-Package kostet im Untergrund zwischen 3000 und 7000 Dollar.
Phishing-Toolkits Kriminelle Hacker, die eine bestimmte Gruppe oder einfach ganz normale Nutzer attackieren möchten, können im CaaS-Umfeld fertig eingerichtete SMTP-Server, Scam-Webseiten oder hochqualitative Mailing-Listen erwerben – und zwar zum kleinen Preis: Zwischen 15 Dollar und 40 Dollar werden dafür fällig. Populär ist auch die Kombination mit „waffenfähigen Dokumenten“ – also Dateien, die auf den ersten Blick wie Word-Dokumente oder Powerpoint-Präsentationen aussehen, aber Schadcode beinhalten, der bekannte und unbekannte Schwachstellen in Office ausnutzt, um Malware auf dem Rechner der Nutzer zu installieren. Dabei kann es sich um Ransomware oder Remote Access Toolkits handeln – je nachdem welche Zwecke die Computerverbrecher verfolgen. Die Kosten für so einen Office-Exploit liegen zwischen 2000 und 5000 Dollar.
Ransomware Zu den derzeit beliebtesten Hacking-Tools im Cyber-Untergrund gehört die Familie der Erpressungs-Malware. Diese Art der Schadsoftware kann in sehr verschiedenen Komplexitätsstufen entwickelt werden und verheerende Folgekosten verursachen. Untersuchungen von Trend Micro zufolge ist ein anpassbares Crypto-Locker-File schon ab circa 50 Dollar zu bekommen. Allerdings streichen viele Ransomware-Provider in der Regel eine zusätzliche "Provision" ein, deren Höhe sich am verursachten Schaden orientiert - in der Regel liegt diese bei circa zehn Prozent.