Interview mit einem kriminellen Hacker

"Mit einem Botnetz Geld zu verdienen ist einfacher als Zähneputzen"



Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.
Phishing, Identitätsdiebstahl, Onlinebetrug, Cyberspionage: Die Sicherheitsrisiken im World Wide Web sind vielfältiger geworden. Was die Kriminellen antreibt, die hinter diesen Aktivitäten stecken, erklärt einer von ihnen im Interview.
Kriminelle Hacker verdienen sich dumm und dämlich - dies hier ist nur ein Symbolfoto und zeigt nicht den befragten "Adam".
Kriminelle Hacker verdienen sich dumm und dämlich - dies hier ist nur ein Symbolfoto und zeigt nicht den befragten "Adam".
Foto: Photosani - shutterstock.com

Robert Hansen, Produktmanager beim Web-Application-Security-Anbieter WhiteHat Security hat ein Interview mit dem ehemaligen "Blackhat" Adam, einem ehemals kriminellen Hacker, geführt und im Unternehmensblog veröffentlicht. Wir haben das Interview übersetzt und stellen es dem deutschsprachigen Publikum hier zur Verfügung. Vielen Dank an dieser Stelle an WhiteHat Security für die Erlaubnis, das Gespräch veröffentlichen zu dürfen.

Information vorweg: Dieses Interview thematisiert kriminelle Aktivitäten aus der Perspektive eines (Ex-)Kriminellen, der heute als Security-Berater und Penetrationstester arbeitet. Wir möchten über die real existierenden und täglich weltweit stattfindenden Cybercrime-Aktivitäten aufklären, jedoch keinesfalls zu illegalen Handlungen aufrufen oder diese durch dieses Interview positiv bewertet sehen.

Angriffsmethoden und schnelles Geld

HANSEN: Welche besonderen Hacker-Fähigkeiten gestehen Sie sich selbst zu?

ADAM: Meine besondere Expertise liegt im Social Engineering. Ich glaube, es ist ziemlich offensichtlich, dass ich ein Blackhat ("böser Hacker") bin, daher habe ich auch "Social Engineer" auf meiner Visitenkarte stehen. Mein zweites Spezialgebiet ist der Aufbau von Botnetzen. Hier lässt sich das meiste Geld verdienen - mehrere Tausend Dollar am Tag! Ganz einfach mit vollautomatischer Angriffs-Software, die den Schwarzmarkt derzeit dominiert. Darüber hinaus kümmert sich mein Team um einfache Angriffsmethoden wie SQL-Injection (SQLi), Cross-Site Scripting (XSS) der einfachen und der fortgeschrittenen Art, Cross-Site-Request-Forgery (CSRF) sowie DNS Cache Poisoning/DNS Spoofing. Ich beherrsche auch diverse Programmiersprachen - Python, Perl, C, C++, C#, Ruby, SQL, PHP, ASP, um nur einige zu nennen.

HANSEN: Beschreiben Sie uns Ihr "erstes Mal", als Sie das Gesetz gebrochen haben. Warum haben Sie es getan und wie haben Sie es für sich selbst gerechtfertigt?

ADAM: Das liegt viele Jahre zurück. Erinnern kann ich mich da an meine Schulzeit, als ich ungefähr 14 Jahre alt war. Unsere Admins waren sehr fit in Security-Fragen. Ich war in der Schulbücherei und wusste, dass die Admins Remote-Zugriff auf jeden Schul-PC hatten - genau wie der Bibliothekar. Die Bücherei war nämlich der Ort, wo die Klassenarbeiten bewertet und die Noten vergeben wurden. Auch wenn ich nie ein Genie war, waren meine Noten doch immerhin durchschnittlich. Ich fragte mich immer schon: "Warum nicht Einsen für die Hälfte der Arbeit bekommen?" Also habe ich mich eingelesen und bin auf das Thema "Keylogger" gestoßen. Auch wenn es mir seltsam vorkam, dass ich mir mit einer Software selbst Topnoten verpassen konnte, war es faszinierend. Ich habe es gemacht. Ich habe auf dem Bibliotheksrechner einen Keylogger installiert und die Dateien mit einer Remote-Administrationskonsole auf andere PCs kopiert. Ergebnis: zwei Wochen Schulverweis.

HANSEN: Wo haben Sie Ihre "Hacking-Künste" erlernt?

ADAM: Mit Büchern, über GoogleGoogle und Leute, mit denen ich über IRC (Internet Relay Chat) oder Foren geschrieben habe. Anders als in der heutigen Zeit, haben wir noch Informationen ausgetauscht, miteinander gesprochen und uns gegenseitig geholfen. Niemand wurde ausgelacht, weil er etwas nicht wusste. Alles zu Google auf CIO.de

HANSEN: Warum fanden Sie den "Blackhat Way of Life" so attraktiv?

ADAM: Wegen des Geldes. Ich fand es lustig, wie sich mit Fernsehen schauen und auf dem Notebook herumtippen in wenigen Stunden so viel verdienen ließ, wie ein normaler Arbeiter in einem ganzen Monat nicht schafft. Es war viel zu leicht.

Über die Opfer und deren Leichtsinn

HANSEN: Ab wann fühlten Sie sich als "Blackhat", als "Hacker"? Gab es ein ausschlaggebendes Ereignis?

ADAM: Das ist schwierig zu sagen. Meine Kumpels und ich bezeichneten uns selbst nie als "Blackhats", das war uns zu sehr James Bond. Wir sahen uns mehr als Menschen, die einen bestimmten Weg des Geldverdienens entdeckt hatten. Uns war es auch egal, wo andere uns einsortierten. Es war alles einfach nur leicht und lustig. Wer ich wirklich war, wurde mir erst in dem Moment klar, als einer meiner "Real Life"-Freunde Opfer von Kreditkartenbetrug wurde. Da habe ich gemerkt, dass es echte Opfer gibt und diese Leute nicht nur Nummern sind, mit denen sich Geld machen lässt.

HANSEN: Wie viele Rechner haben Sie in Ihrer Hacker-Hochzeit unter Kontrolle gehabt?

ADAM: Ich habe zwei getrennte Botnetze betrieben. Das DDoS-Botnetz umfasste öffentliche Rechner und solche in Büros. Diese sind schließlich den ganzen Tag eingeschaltet und bringen gute Verbindungsgeschwindigkeiten. Zudem findet dort kein Online-Banking statt. Dafür hatte ich mein um einiges wertvolleres Karten-Botnetz. Da waren die Rechner von BankenBanken, Immobilienmaklern, Supermärkten und Privatrechnern zu finden. Hier habe ich Kundendaten abgegriffen und hatte somit eine dauerhafte, unendlich große Versorgung mit Kreditkartendaten und Spam-Munition. Das DDoS-Botnetz umfasst derzeit noch rund 60.000 bis 70.000 Bots, die meisten im Westen der USA. Das Carding-Botnetz hatte mit 5000 bis 10.000 deutlich weniger, die meisten in Asien. Die größte Zahl an Bots, die ich jemals gleichzeitig kontrolliert habe, lag bei 570.000. Top-Firmen der Branche Banken

HANSEN: Wieviel Geld haben Sie den ungefähr nach Abzug aller Kosten im Jahr übrig gehabt?

ADAM: Ich kann Ihnen nicht die Einzelheiten erzählen, aber nach dem 11. September 2001 haben wir Millionen verdient.

HANSEN: Und im vergangenen Jahr?

ADAM: Soweit ich es im Kopf habe, rund 400.000 bis 500.000 Dollar. Das letzte Jahr war durchwachsen. Die Leute sind vernünftiger geworden, sie patchen häufiger. Was das laufende Jahr angeht, haben wir bereits drei Viertel des genannten Betrags zusammen.

HANSEN: Hatten Sie, als Sie angefangen haben, ein bestimmtes Ziel oder einen bestimmten Geldbetrag im Kopf, den Sie erreichen wollten?

ADAM: Das werde ich von den Leuten in den Hackerforen oft gefragt. Bis vor vier Jahren habe ich mir nie Ziele gesetzt. Ich habe damals aus Spaß angefangen, aber auch um Aufmerksamkeit zu bekommen und um einfaches, sehr einfaches Geld zu verdienen.

HANSEN: Wie genau verdienen Sie mit Ihrem Botnetz Geld?

ADAM: Mit einem Botnetz Geld zu verdienen ist einfacher als Zähneputzen - besonders in der automatisierten IndustrieIndustrie. Jede Crew besteht aus mehreren Mitgliedern - dem Botmaster, dem Rechercheur, dem Reverse-Engineering-Experten, dem Verteiler, dem Social Engineer, dem Verkäufer und dem "Fudder" (einem Spezialisten, der Malware so geschickt in Dateien versteckt, dass Virenscanner sie nicht entdecken können, Anm. d. Red.). Die Leute, die Zero-Days verkaufen, verkaufen die Hälfte ihrer Zeit ausschließlich Zero-Days. Ihre Käufer sind Botmaster ohne eigenes Team. Unsere Crew hat ein Tool entwickelt, das den Bot-Cache nach Facebook- und Twitterkonten durchsucht und die jeweiligen Facebook-Interessen prüft (beispielsweise Justin Bieber). Anschließend werden Alter, Name, Wohnort geprüft - alles automatisch. Ein Beispiel: Bot Nummer 2 ist bei FacebookFacebook eingeloggt. Der Kontobesitzer mag Justin Bieber, ist 14 Jahre alt, weiblich und lebt in den USA - das ist wichtig, um die richtige Sprachauswahl treffen zu können. Unter diesen Voraussetzungen spuckt der Bot eine vorgefertigte Liste mit Links aus und wählt dort beispielsweise die Schlagwort-Kombination "Justin Bieber sex tape video". Alles zu Facebook auf CIO.de Top-Firmen der Branche Industrie

Mit Zero-Days Websites zu unterwandern und dort iFrames einzubinden, ist hingegen recht altbacken, langweilig und nicht immer sehr effizient - es sei denn, Sie schaffen es auf eine große und populären Website, dann lohnt sich das. Zero-Days in Websites mit solchen in Programmen wie Java zu verbinden, um Rechner mittels Drive-by-Download zu kapern, ist da schon wesentlich besser - besser jedenfalls als den Nutzer dazu zu bringen, eine bestimmte Datei herunterzuladen. Viele Nutzer wissen ja nicht einmal, dass ihre E-Mail-Adressen über ihre Facebook-Profile öffentlich einsehbar sind und sich wunderbar an Spammer verkaufen lassen. Das Abgreifen lässt sich natürlich automatisieren und damit Geld verdienen.

Nichts einfacher als das

HANSEN: Wie einfach ist es für Sie, eine Website zu kompromittieren?

ADAM: Anfänger suchen einfach nach "inurl:money.php?id=" - dann werden sie schon fündig. Da das aber besonders auf großen Sites nicht immer funktioniert, ist schon etwas mehr Recherche nötig. Ich schaue gerne Finanznachrichten im Fernsehen. Die dort vorgestellten Startups sind schnell erfolgreich, haben aber selten Admins, die wirklich Ahnung von Sicherheit haben. Also sind sie verwundbar. Häufig patchen Sie ihre SQL-Datenbank, haben aber ihr DNS nicht im Griff, was den Schutz vor Cache Poisoning angeht. Ein geräuschloser Einbruch in deren Datenbank ist in weniger als einer Stunde vollzogen.

HANSEN: Wie einfach ist es, ein fremdes Nutzerkonto zu übernehmen - nur mithilfe von Whois-Informationen und anderen frei zugänglichen Datenquellen?

ADAM: Whois war einst unerlässlich zum Informationensammeln. Mittlerweile holen sich alle die Daten über Facebook, Twitter etc. Damit lassen sich beispielsweise Amazon-Konten schnell übernehmen und mit fremden Kreditkarten shoppen gehen. Das erfordert lediglich ein Telefonat mit dem Kundenservice für das Zurücksetzen des Passworts. Auch wenn Amazon nach eigenen Angaben diese Art Identitätsdiebstahl schon vor zwei Jahren unmöglich gemacht hat, sind deren Mitarbeiter doch immer noch sehr vertrauensselig und wollen nicht viele Daten zur Verifizierung haben. Also Amazon, trainiert eure Angestellten!

HANSEN: Welche Art Website übernehmen Sie am liebsten? Welche lassen sich am einfachsten zu Geld machen? Oder greifen Sie ausschließlich nach dem Zufallsprinzip an?

ADAM: Meistens greife ich ins Blaue hinein an. Doch einmal habe ich eine Ausnahme gemacht, weil mir ein Unternehmen keinen Rabatt geben wollte. Daraufhin haben wir alle Kreditkartennummern der Kunden online gestellt. Eine Branche, die ich sehr gerne attackiere, ist die Security-Branche, also beispielsweise Hersteller von Antiviren-Software. Aber auch Klamottenläden während des Sommerschlussverkaufs oder Porno-Seiten machen Spaß. Gerade Klamottenshops sind sehr einfach zu hacken, weil sie erstens nie eine Zwei-Schritt-Authentifizierung fordern und zweitens technisch ziemlich unterbelichtet sind. Die Unternehmen engagieren jemanden, der die Website aufsetzt, kümmern sich aber anschließend selbst um deren Betrieb. Sie verwenden kein HTTPS und sind sehr anfällig für SQL-Injection-Attacken. Als Hacker gibt es nun zwei Möglichkeiten: Kreditkartendaten abziehen und verschwinden oder Website übernehmen und einen iFrame einbinden, der den Drive-by-Download eines Banking-Trojaners initiiert.

Was ich an Porno-Seiten so toll finde, ist, dass deren Betreiber nie prüfen, wo die geschalteten Werbeanzeigen hinführen. Als Angreifer lädst du da einfach nur eine "Anzeige" hinein, die eine gut ausgestattete Frau beim Facebook-Surfen zeigt. Sobald jemand draufklickt, sind wir wieder beim Drive-by-Download. Der besondere Kick: Wer mehr persönliche Daten seines Opfers braucht, verweist mit so einer Anzeige auf eine Seite, wo sich die entsprechenden Facebook-Informationen abfragen lassen. Damit lässt sich anschließend wunderbar weiteres Social Engineering betreiben.

Zur Startseite