Schwarzmarkt
27.11.2015, 06:56 Uhr
So viel kosten unsere Daten im Dark Web
Online PC ist ins Dark Web abgetaucht. Gestohlene Kreditkarten-Infos kosten auf dem Schwarzmarkt, je nach Kontostand, zwischen 45 und 200 Dollar. Besonders begehrt sind deutsche, österreichische und Schweizer Karten.
Kriminelle gehen in die Cloud. Hacking-as-a-Service und Cybercrime-as-a-Service haben Hochkonjunktur. Der Kaufpreis für gestohlene Finanzdaten, Online-Accounts oder Gesundheitsdaten hängt dabei von Angebot und Nachfrage, aber auch vom voraussichtlich realisierbaren Mehrwert der entwendeten Informationen ab.
Es mag makaber klingen, aber auch Cyber-Kriminelle versuchen mit allen Mitteln, ihr Image als "seriöser Geschäftsmann" in der Schattenwelt (Dark Web) aufzupolieren und zu suggerieren: Die angebotenen Daten sind tatsächlich ihr Geld wert.
In den reichen Industrieländern der DACH-Region, zu der Deutschland, Österreich und die Schweiz gehören, dominieren Finanzdelikte durch Banking-Trojaner. Die gefürchtete Ransomware, bei der Gerätedaten verschlüsselt und nur gegen ein "Lösegeld" wieder freigegeben werden, treibt in Italien, dem Vereinigten Königreich, Nordamerika und in den skandinavischen Ländern ihr Unwesen.
Aber nicht in der Schweiz. Die Eidgenossen müssen sich vor allem vor Schnüffel-Software in acht nehmen, die Zugangsdaten zu Banking-Accounts und Kreditkartennummern etwa beim weihnachtlichen Online-Kauf ausspioniert. Ohne dass es der Käufer rechtzeitig bemerkt.
Was unsere Daten auf dem Schwarzmarkt kosten
Für ein komplettes Set (Fullzinfo), das alle Details zur Kreditkarte und dessen Inhaber liefert, bezahlen Käufer auf dem Schwarzmarkt 45 US-Dollar. Dazu gehören neben dem vollständigen Namen die Rechnungsadresse, die Zahlungskartennummer, das Ablaufdatum, die Sozialversicherungsnummer, der Mädchenname der Mutter (ein beliebtes Passwort), das Geburtsdatum und die CVV2. Der CVV2 ist der dreistellige Sicherheitscode, der auf der Rückseite der Kreditkarte steht und bei Online-Käufen angegeben werden muss. Mit diesen Komplettinformationen können Cyber-Kriminelle jeden erdenklichen Unsinn treiben und ihre Opfer um beträchtliche Summen erleichtern.
Fehlen Informationen, dann reduziert sich der Kaufpreis entsprechend. Am preiswertesten sind software-generierte Zahlungsdaten, die aus einer gültigen primären Kontonummer, dem Ablaufdatum und einer CVV2 bestehen. Die sind mit einem Kaufpreis von fünf bis acht Dollar (USA) geradezu ein Schnäppchen. Hier kommt es jedoch auf die Reputation des Verkäufers an. Einige Verkäufer betreiben aufwändige Marketing-Massnahmen, in dem sie ihre Waren auf Youtube bei potenziellen Kunden bewerben. Kein Indiz für Seriosität: Kunden sollen sich schon darüber beschwert haben, dass sie die erworbenen, gestohlenen Informationen gar nicht erhalten haben, schreibt McAfee in seinem Report "Das heimliche Geschäft mit Daten".
Vorsicht am Geldautomaten
Sogenannte Dump-Tracks aus Europa erzielen einen durchschnittlichen Verkaufspreis von 190 Dollar. Kreditkarten-Dumps beziehen sich auf Informationen, die elektronisch von Magnetstreifen auf der Rückseite von Kredit- und Geldkarten kopiert wurden. Etwa durch manipulierte Geldautomaten (ATMs).
Der Magnetstreifen enthält zwei Datenspuren. Track 1 speichert alphanumerische Infos wie den Name des Kunden, Track 2 numerische Daten wie die Kontonummer, das Ablaufdatum, den CVV1 und weitere Angaben des ausstellenden Instituts. Die gestohlenen Daten werden auf Dummy-Karten aufgespielt. Damit lässt sich dann von jedem ATM Geld abheben.
Die Preise für einen solchen Kreditkarten-Dump orientieren sich ganz marktwirtschaftlich am Kontoguthaben. Für Guthaben zwischen 5.000 und 8.000 Dollar müssen interessierte Käufer zwischen 200 und 300 Dollar berappen. Verkäufer unterstreichen ihre "Seriosität", indem sie auf ihre soziale Validierung, also auf positives Feedback anderer Käufer verweisen.
Identitätsdiebstahl, lukrativ für dubiose Geschäftsleute
Neben Finanzdaten, der in der DACH-Region bevorzugten Ware, bieten Cyber-Kriminelle auch Zugangsdaten zu Systemen in vertrauenswürdigen Unternehmensnetzwerken zum Verkauf an - der Schlüssel zur Industriespionage. McAfee hat ein Angebot dokumentiert, wo potenziellen Käufern der Zugriff auf Bank- und Flugliniensystemen in Europa, Asien und den USA angeboten wird. Durch Screenshots von Systeminterna versuchen die Ganoven, ihre Glaubwürdigkeit zu demonstrieren: "Die Daten sind echt, wir haben das System wirklich gehackt", so die Botschaft.
Man glaubt es kaum - auch kostenlose Online-Konten sind für Kriminelle von Interesse. Ein Hotel-Treuekonto mit 100.000 Punkten - Treuekonten werden von allen grossen Hotelketten angeboten - kostet etwa 20 Dollar. Ein etabliertes Konto mit einer guten Historie könne sehr viel kosten, schreibt McAfee. Es dient dem Käufer dazu, seine Reputation, die zum Beispiel durch schlechte Geschäftspraktiken oder Betrügereien gelitten hat, zu verschleiern. Eine neue Geschäftsidentität kann sich deshalb durchaus lohnen. Die 20 Dollar Kaufpreis sind gut investiertes Geld.
Für weniger hohe Ansprüche werden Online-Auktionskonten für verschiedene Kontotypen auch in Paketen zu je 100 Stück angeboten. Apropos Identität: Gesundheits- und persönliche Daten waren im abgelaufenen Quartal die am zweithäufigsten gestohlenen Datentypen, schreibt der Technologieanbieter Trend Micro. Unter den bekannt gewordenen Diebstählen aus dem Healthcare-Bereich war der Angriff auf das "UCLA Health System" der prominenteste. 4,5 Millionen Patienten wurden kompromittiert. Ein potenzieller Käufer der entwendeten Datensätze wäre -- die Pharmabranche.