Betrüger, die Betrüger in Foren für Internetkriminalität betrügen: In den Darkweb-Foren herrschen rauhe Sitten.

Autor: Dr. Jakob Jung

Keine Ehre unter Ganoven: Auf kriminellen Marktplätzen lauert hinter jeder Ecke ein Betrug, wie Sophos aufzeigt. Bereits 2009 wies Microsoft darauf hin, dass die Schattenwirtschaft voller Unehrlichkeit ist, und 2017 berichtete Digital Shadows über eine von Marktplatznutzern erstellte Datenbank von „Rippern“ (Betrügern, die Kriminelle betrügen). Im Bericht über Genesis Market hat Sophos mindestens eine betrügerische Imitation von Genesis festgestellt, die darauf abzielt, naive Möchtegern-Cyberkriminelle (und möglicherweise unerfahrene Sicherheitsforscher und Journalisten) von ihrem Geld zu trennen.

Aber im Allgemeinen wurde dem Thema nicht viel Aufmerksamkeit geschenkt. Warum sollte es auch? Wenn Betrüger auf Kriminelle abzielen, ist das doch umso besser, oder? Immerhin greifen sie sich gegenseitig an und nicht Organisationen oder die Allgemeinheit.

Aber es könnte mehr dahinterstecken könnte, und die Forscher von Sophos haben ein paar Wochen damit verbracht, in drei bekannten Cybercrime-Foren zu recherchieren, wie Betrüger Betrüger betrügen. Dabei haben sie fünf überraschende Dinge herausgefunden.

  1. Cyberkriminalität ist ein großes Geschäft – ein eigenständiger Wirtschaftszweig. In den letzten 12 Monaten haben Cyberkriminelle allein in diesen drei Foren über 2,5 Millionen US-Dollar durch Betrug verloren. Das Problem ist sogar so alt und bekannt, dass Forenadministratoren spezielle Schlichtungsräume eingerichtet haben, in denen Nutzer Betrug, Angriffe und Abzocker melden können.
  2. Geld ist nicht das einzige Motiv, und es sind nicht nur niederrangige Bedrohungsakteure beteiligt. Persönliche Streitigkeiten, Rivalitäten und der Wunsch, den Ruf anderer zu zerstören (oder manchmal auch zu verbessern), können zu Betrügereien führen. Und es handelt sich nicht nur um Kleinkriminelle. Prominente Bedrohungsakteure wurden gesehen, die entweder des Betrugs beschuldigt wurden oder selbst Opfer von Betrügereien wurden.
  3. Die Angriffe gehen über die übliche Abzocke und Flucht hinaus. Gefunden wurden Empfehlungsbetrügereien, gefälschte Datenlecks und Tools, Typosquatting, Phishing, Alt-Rep-Betrügereien (die Verwendung von Sockenpuppen, um die Reputationswerte künstlich aufzublähen), gefälschte Bürgen, Erpressung, imitierte Konten und hinterlistige Malware. Wir fanden sogar Fälle, in denen sich Bedrohungsakteure rächten, indem sie die Betrüger betrogen haben, die sie betrogen hatten.
  4. Es gab Beispiele für langfristigen, groß angelegten Betrug. Eine der größten Überraschungen ergab sich bei der gefälschten Genesis-Website. Mit etwas detektivischer Arbeit haben die Sophos neunzehn weitere Websites aufgedeckt, die alle von derselben Person oder Gruppe erstellt wurden, die alle kriminelle Marktplätze imitieren und die alle darauf abzielen, Benutzer dazu zu bringen, eine Aktivierungsgebühr von 100 Dollar zu zahlen. Es steht nicht mit Sicherheit fest, wer hinter all diesen Seiten steckt, aber es wurden vorläufige Verbindungen zu einem Drogenhändler entdeckt, der auf mehreren Dark-Web-Seiten aktiv ist.
  5. Betrugsberichte sind eine ergiebige und noch nicht ausreichend erforschte Quelle für Informationen. Bedrohungsakteure sind sich bewusst, dass kriminelle Foren überwacht werden, und setzen daher oft gute operative Sicherheitsmaßnahmen ein. Wenn sie selbst Opfer eines Verbrechens sind – nun, nicht so sehr. Da die Forenregeln Beweise zur Untermauerung von Betrugsvorwürfen verlangen, veröffentlichen geschädigte Bedrohungsakteure oft bereitwillig Screenshots von privaten Gesprächen und Quellcode, Kennungen, Transaktionen, Chatprotokollen und detaillierten Berichten über Verhandlungen, Verkäufe und Problemlösungen.

Diese versteckte Subökonomie ist nicht nur eine Kuriosität. Sie gibt uns Einblicke in die Forumskultur, in die Art und Weise, wie Bedrohungsakteure kaufen und verkaufen, in ihre taktischen und strategischen Prioritäten, in ihre Konkurrenten und Allianzen, in ihre Anfälligkeit für Täuschungen – und in spezifische, diskrete Informationen über sie.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner