Eigentumsdiebstahl in Computernetzen, Teil 2

Einleitung

Der erste Teil der vorliegenden Analyse befasste sich mit Angriffen, die auf die Computer von Endanwendern gerichtet sind. Es wurde näher beleuchtet, welche konkreten Daten sich bei den Online-Kriminellen einer gesteigerten Nachfrage erfreuen, wodurch diese zu ihren Taten motiviert werden, und es wurden Fakten und Statistiken angeführt, die Attacken dieser Art charakterisieren.

Im zweiten Teil der Analyse sollen Angriffe von Kriminellen auf Organisationen genauer untersucht werden. Diese Art von Attacken lassen sich in zwei Kategorien unterteilen, nämlich in Angriffe auf die Organisationen selbst und in zielgerichtete Attacken auf deren Kunden. Zur Untermauerung der Ernsthaftigkeit dieses Problems wird eine Vielzahl von Statistiken ins Feld geführt.

Zielgerichtete Attacken auf Kunden

Angriffe auf Kunden eines Unternehmens bedeuten für dieses vor allem einen drohenden Vertrauensverlust seitens der Klientel. Der Kunde erwartet von dem System, das er nutzt, dass es zuverlässig ist und ihn bei der Lösung anfallender Aufgaben unterstützt. Er erwartet sicherlich nicht, dass es Anlass zu Bauchschmerzen und zur Sorge um die Sicherheit seiner Daten gibt.

Nach wie vor geht es bei Attacken auf Kunden in den meisten Fällen um Diebstahl. Wie so ein Diebstahl in der virtuellen Welt vor sich geht, welche Schadprogramme zu diesem Zweck eingesetzt werden und wie der User sich vor diesen Schadprogrammen schützen kann, darüber wurde ausführlich im ersten Teil der Analyse berichtet. An dieser Stelle soll lediglich noch einmal kurz auf die Vorgehensweise bei Diebstählen von virtuellem Eigentum eingegangen werden.
Zurzeit vollzieht sich ein Verbrechen dieser Art in mehreren Etappen, wobei es dem jeweiligen Betrüger im ersten Schritt gelingen muss, die Registrierungsdaten eines Kunden zu knacken, um so in der Folge Zugang zu den entsprechenden Ressourcen zu erhalten. Um an die Kundendaten zu kommen, werden z.B. Phishing-Mails versendet, die das Opfer auf Sites von Cyberkriminellen locken, oder aber der Computer des Anwenders wird mit einem Schadprogramm infiziert, das dem Betrüger alle nötigen Daten übermittelt, ohne dass das Opfer Kenntnis davon nimmt. Hat der Betrüger die Registrierungsdaten des Kunden zu seiner Verfügung, verschafft er sich im zweiten Schritt Zugang zu den entsprechenden Ressourcen, um dann genau das virtuelle Eigentum stehlen zu können, auf das er es abgesehen hat.

In den allermeisten Fällen geht es hier um finanzielle Bereicherung. In Abbildung 1 ist ein Histogramm zur Anzahl von Finanzunternehmen dargestellt, deren Kunden mit dem Ziel attackiert wurden, sie ihres Geldes zu berauben.


Abb. 1. Anstieg der Anzahl von Finanzunternehmen , deren Kunden von Informationen stehlenden Schadprogrammen attackiert wurden.
Quelle: Kaspersky Lab

Aus den in Abbildung 1 angeführten Daten ist ersichtlich, dass die Zahl der Opfer von Online-Kriminellen Jahr für Jahr ansteigt. Hinzu kommt, dass die Anzahl der Angriffe auf Kunden bestimmter Banken, elektronischer „Geldwechsler“ oder von Bezahlsystemen im gleichen Maße wächst wie deren Popularität steigt.
Verschiedene Organisationen, darunter in erster Linie Banken, waren derart gebeutelt von den unaufhörlichen Angriffen auf ihre Kunden, dass sie Mitte 2005 mit der Einführung von Schutzmaßnahmen begannen, um das Abschöpfen von Geldmitteln der Kunden zu erschweren, insbesondere wenn es im Vorfeld zu einem Sicherheitsleck gekommen war. Als Beispiel sei hier die zweistufige Authentifizierung angeführt. Einige Unternehmen begrenzten sogar die Höhe und Häufigkeit von Zahlungen. Auf den Homepages vieler Banken erstrahlen in leuchtenden Farben Warnungen vor betrügerischen Aktivitäten. Ein Ausschnitt aus einer solchen Warnmitteilung ist in Abbildung 2 dargestellt:


Abb. 2. Banken und Finanzinstitutionen veröffentlichen auf iIhren Homepages häufig Mitteilungen über Cyberverbrechen zur Warnung ihrer Kunden

Wie lange diese Maßnahmen die Anwender schützen werden, wird sich zeigen. Aber schon jetzt lässt sich eine positive Entwicklung aufgrund der ergriffenen Maßnahmen feststellen: Im ersten Halbjahr 2006 sank erstmals innerhalb von drei Jahren der Anteil von „Finanz-Schadprogrammen“ (d.h. Malware, die der zielgerichteten Attacke auf Kunden von Finanzsystemen dient) an der gesamten Anzahl von Schadprogrammen, was durch die in Abbildung 3 aufgeführten Daten bestätigt wird.


Abb. 3. Rückgang des Anteils von Finanz-Schadprogrammen an der Gesamtanzahl neuer Schadprogramme.
Quelle: Kaspersky Lab

Online-Kriminelle suchen ständig nach neuen Möglichkeiten, die sich ihnen durch in den Weg stellenden Hindernisse zu umgehen. Ungeachtet dessen, dass der Anteil von Schadprogrammen, die sich gegen Kunden des Finanzsektors richten, unwesentlich kleiner geworden ist, wächst die absolute Zahl dieser Art von Malware jedoch weiterhin, da auch die Menge der Schadprogramme insgesamt immer größer wird.

Überdies ist im Laufe des letzten Jahres auch die Anzahl der Schadprogramme merklich gestiegen, die in der Lage sind, Kunden verschiedener Bezahlsysteme gleichzeitig anzugreifen (siehe Abb. 4). Ein Beispiel hierfür ist das Programm Trojan-Spy.Win32.Banker.asq, das sich für ca.150 Systeme gleichzeitig interessiert, darunter paypal, caixabank, die Postbank und viele andere weltweit agierende Organisationen.


Abb. 4. Anstieg des Anteils von Schadprogrammen, die gleichzeitig mehrere Unternehmen angreifen, an der Gesamtzahl neuer Finanz-Schadprogramme. Quelle: Kaspersky Lab

Eine derartige Taktik erhöht natürlich die Anzahl der potentiellen Opfer, da es wesentlich schwieriger ist, im Netz auf den Kunden eines bestimmten Bezahlsystems zu stoßen als auf den Kunden eines Systems bei einer Auswahl von vier verschiedenen.

Dieser Teil des Artikels beschäftigt sich deswegen so ausführlich mit Angriffen auf Kunden des Finanzsektors, weil diese bedeutend weiter verbreitet sind als Attacken auf Kunden von Unternehmen anderer Branchen. Allerdings ist der Opferkreis wesentlich größer, da jedes –auch nicht im Finanzsektor tätige- Unternehmen, welches die Bezahlung seiner Dienste online anbietet, potentiell interessant für Betrüger ist. So haben die Analytiker von Kaspersky Lab Schadprogramme ausfindig gemacht, welche die Kunden von Firmen aus der Tourismusbranche, dem Transportwesen, von Pfandleihhäusern und Internetshops sowie eine Reihe anderer Unternehmen angreifen.

Leider gibt es zurzeit keinerlei Tendenzen, die Anlass zur Hoffnung gäben, dass Schadprogramme zur Umsetzung derartiger Verbrechen auf dem Rückzug seien. Die Hinweise für die Anwender zum Schutz vor Angriffen dieser Art aus dem ersten Teil des Artikels sind auch für diesen Abschnitt aktuell und gültig.

Angriffe auf Unternehmen

Sehr häufig werden Unternehmen zu Opfern von Betrugsdelikten und Erpressungen in der virtuellen Welt. Das am weitesten verbreitete Online-Verbrechen, das sich gegen Unternehmen richtet, ist aber nach wie vor der Diebstahl vertraulicher Daten.

Diebstahl

In der letzten Zeit missbrauchen Betrüger zunehmend persönliche Kundendaten jeglicher Art, wie z.B. E-Mail-Adressen, Sozialversicherungsnummern, Zugangsdaten für Online-Spiele und sogar PIN-Codes, die – wie sich herausgestellt hat – von vielen Organisationen in deren internen Datenbanken gespeichert werden. Der Absatz gestohlener Datenbanken stellt heutzutage keine größere Schwierigkeit dar, da in diesem Bereich eine enorme Nachfrage besteht. Der Geldsegen, der sich daraus für die Betrüger ergibt, motiviert diese wiederum, in ihrem verbrecherischen Tun fortzufahren.
Russland ist ein Beispiel dafür, welches Ausmaß der Datenklau sogar an so schwer zugänglichen Orten wie Steuer- und Zollbehörden annehmen kann. Auf dem Schwarzmarkt kann man problemlos Kredit-Historien russischer Bürger, Datenbanken mit Zolldeklarationen, mit Kfz-Registrierungen, mit Mobiltelefonbesitzern inklusive deren Adressen und sogar Datenbanken der Passbehörde käuflich erwerben. Der Umfang der zum Kauf angebotenen Daten ist bisweilen so groß, dass sie auf keinem optischen Datenträger Platz finden und auf Festplatte verkauft werden. Der Preis für gestohlene Informationen variiert zwischen einigen Dutzend und mehreren Tausend US-Dollars, je nach Wert und Aktualität der Informationen.

Man sollte aber nicht meinen, dass solche Informationen nur in Russland gestohlen werden, denn Daten dieser Art erfreuen sich auch in anderen Ländern großer Nachfrage: die diesjährigen Skandale um gestohlene Kreditkarten- und Sozialversicherungsnummern in vielen westlichen Ländern zeugen davon. Einer dieser Vorfälle ereignete sich in Großbritannien, bei dem MasterCard-Daten von 2000 Kunden eines großen Kaufhauses entwendet wurden.

Die Käufer solcher Daten sind meist Kriminelle, die die Informationen nun nicht mehr in der virtuellen, sondern in der realen Welt zu ihren verbrecherischen Zwecken nutzen.

Eine wichtige Rolle bei der Durchführung von Diebstählen interner Datenbanken spielen Mitarbeiter, die Zugang zu den entsprechenden Informationen haben und die die geltende Moral für sich nicht als bindend betrachten – sogenannte Insider. Immer häufiger entdecken die Analysten von Kaspersky Lab Spionageprogramme, die mit Hilfe von Insider-Wissen geschrieben wurden. So wurde z.B. Malware aufgedeckt, bei deren Programmierung interne Logins und Passwörter sowie Informationen über die Formatstrukturen der internen Datenbanken der im Visier stehenden Organisation verwendet wurden. Sich gegen Diebstähle zu wappnen, die von Insidern unterstützt werden, ist zwar höchst problematisch, aber dennoch nicht unmöglich.

Kann man den Endanwender bis zu einem gewissen Grad durch eine Reihe von simplen Ratschlägen schützen, die die Wahrscheinlichkeit merklich herabsetzen, dass dieser sein virtuelles Eigentum verliert, so gilt für Unternehmen der Einsatz eines komplexen Schutzsystems inklusive Antivirenprogramme, Netzmonitore, Spam-Filter und eines Systems zur Überwachung und zum Audit der Infrastruktur des Unternehmensnetzwerkes als obligatorisch.

In der letzten Zeit ist die Zahl der Infizierungen von Endanwendern über das Web deutlich angestiegen, wobei nach einem einfachen Schema vorgegangen wird: Die Online-Kriminellen hacken eine beliebte Website und hinterlassen dort ein Schadprogramm, woraufhin sich dieses Programm auf die Computer der User dieser Site lädt, ohne dass diese davon Kenntnis nehmen. Daher sollten Organisationen (oder Unternehmen) unbedingt ein Antivirusprogramm mit einer Webkomponente oder aber ein separates Produkt zur Überprüfung des Web-Inhalts auf Schadprogramme installieren.

Leider lässt sich an dieser Stelle aufgrund der immer schwieriger werdenden Situation nur das Fazit ziehen, dass die Zahl der Online-Diebstähle weiterhin ansteigen wird.

Erpressung

Wenn sich das Interesse der Online-Betrüger in der Hauptsache auf den gewöhnlichen User konzentriert, so verhält es sich mit Erpressungen in der virtuellen Welt genau umgekehrt – denn dieser Art von Verbrechen fallen in den meisten Fällen Organisationen zum Opfer.

Die am häufigsten eingesetzte Methode sind DDoS-Attacken, die – wie auch Angriffe ähnlicher Art – bestimmte Forderungen zur Folge haben, welche innerhalb einer gesetzten Frist erfüllt werden müssen (was natürlich die Zahlung einer bestimmten Summe bedeutet), wenn das Opfer die Blockade seines Zugangs zu den eigenen Netzressourcen vermeiden will. Bei Angriffen solcher Art gewährleistet das Internet dem Erpresser recht problemlos einen Schutz seiner Anonymität.

Internetshops, Online-Wettbüros und andere netzaffine Organisationen, denen mit der Blockade des Zugangs zu ihren Ressourcen der Verlust bedeutender Summen droht, sind zu beliebten Zielen von Cyberkriminellen geworden.

Die steigende Zahl derartiger Angriffe auf Organisationen steht in engem Zusammenhang mit der Bereitschaft vieler Opfer sich freizukaufen. Möglicherweise ist es in der gegebenen Situation tatsächlich einfacher nachzugeben und die Forderungen der Erpresser zu erfüllen, indem man bezahlt. Allerdings zeigt eine von IBM durchgeführte Studie, dass die willigen Zahler weitaus häufiger Angriffen ausgesetzt sind als diejenigen, die sich weigern, die gestellten Forderungen zu erfüllen.

Doch DDoS-Attacken sind nicht die einzige Taktik im Repertoire der Erpresser. Im ersten Teil wurde näher auf Schadprogramme eingegangen, die die Daten auf den Computern der Opfer verschlüsseln. Die Autoren solcher Programme fordern dann zur Wiederherstellung der „in Geiselhaft genommenen“ Dateien eine bestimmte Summe. Häufig werden Organisationen zu Opfern solcher „Erpresser-Programme“. Der Endanwender kann wohl auf die Hilfe von Antivirenanbietern warten, doch Organisationen können es sich kaum leisten, Zeit verstreichen zu lassen, wenn sich die Daten, von denen der reibungslose Ablauf des Alltagsgeschäfts abhängig ist, plötzlich selbst chiffrieren. Daher kommen sie in vielen Fällen den Forderungen der Erpresser nach, wodurch diese wiederum zur Entwicklung immer neuer Versionen von Erpresserprogrammen motiviert werden.

Sonstiges

Die vorangegangenen Abschnitte konzentrierten sich im Wesentlichen auf den Verlust von virtuellem Eigentum, doch verfügen Organisationen auch über Wertgüter, die sich nicht mit materiellen Maßstäben messen lassen. Denn wie hoch lässt sich z.B. der finanzielle Verlust beziffern, der durch die Beschädigung des guten Rufes eines Unternehmens entsteht?

In den letzten Jahren nimmt das Hacken von Informationsportalen zum Zweck der Infizierung ihrer Besucher mit Schadprogrammen in erschreckendem Tempo zu. Dabei beschränken sich Angriffe dieser Art nicht etwa auf kleinere Firmen, sondern auch große kommerzielle und staatliche Organisationen fallen den Kriminellen immer häufiger zum Opfer: so wurden auf Sites der Microsoft Corp. Schadprogramme eingeschleust ebenso wie auf verschiedene Sites einer staatlichen Behörde und anderer Organisationen. Häufig zeugen solche Vorfälle davon, dass die Unternehmen – auch wenn sie über die bestehenden Risiken bestens aufgeklärt sind – der IT-Sicherheit nicht die nötige Aufmerksamkeit entgegenbringen.

Es gibt Fälle, bei denen Hacker Unternehmensserver knacken und auf diesen dann spezielle Schadprogramme zum Versand von Spam installieren. Im Folgenden versenden diese Programme dann die unerwünschten Nachrichten im Namen des gehackten Opfers – selbstverständlich ohne dessen Wissen. Am Ende eines solchen Angriffs steht der Vertrauensverlust der Anwender und Kunden gegenüber dem Unternehmen. Der gute Ruf ist beschädigt und das Unternehmen steht vor der schwierigen Aufgabe, das Vertrauen der Kunden wiederherzustellen.

Fazit

Bestehende Tendenzen weisen leider ausschließlich darauf hin, dass die Zahl der Angriffe und die Vielfalt der von Betrügern eingesetzten Schadprogramme weiterhin steigen werden.

Der Kreis der Online-Kriminellen befindet sich in ständiger Entwicklung und wird fortwährend durch hochqualifizierte Spezialisten erweitert, so dass immer raffiniertere Methoden zur Durchführung von Angriffen entwickelt werden. Jahr für Jahr wächst die Zahl der Opfer, die Attacken erfolgen in immer kürzeren Abständen und erfassen auch die neuen Player auf den Finanzmärkten. Den betroffenen Unternehmen drohen finanzielle Verluste, die Beschädigung ihres guten Rufes und Störungen der IT-Infrastruktur.

Allein die richtige Einstellung zur IT-Sicherheit und der Einsatz der nötigen Schutzmechanismen können helfen, mit dieser schwierigen Situation fertig zu werden. Antiviren-Software, Spamfilter, Netzmonitore, Systeme zur Überwachung der Aktivitäten und zum Audit der Netzinfrastruktur des Unternehmens sind unumgänglich, denn nur ein komplexer Ansatz bietet effektiven Schutz gegen die immer weiter um sich greifende Online-Kriminalität.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.