Handelsblatt

MenüZurück
Wird geladen.

24.01.2012

14:03 Uhr

IT-Sicherheit

Online-Spionage wird zur Massenware

VonStephan Dörner

Hacken von der Stange: Wer in fremde E-Mail-Accounts eindringen oder Kreditkarteninformationen kaufen möchte, muss dafür kaum noch Geld zahlen. Wie Hacken zu einer Dienstleistung geworden ist.

Hacker-Dienstleistungen sind günstig zu haben. (Symbolbild) dpa

Hacker-Dienstleistungen sind günstig zu haben. (Symbolbild)

DüsseldorfDie beiden kuwaitischen Milliardäre Kutayba Alghanim und Bassam Alghanim sind Brüder und machten gemeinsam Milliarden - unter anderem mit einem gemeinsamem Elektronik-Handelsgeschäft. Doch über die Aufteilung des Vermögens zerstritten sich die beiden und mittlerweile sind sie regelrecht verfeindet. Um dem jüngeren Bruder eins auszuwischen, war Kutayaba Alghanim nichts zu schade.

Einem Bericht des „Wall Street Journal“ zufolge bediente sich Kutayaba einer schmutzigen Methode. Er stellte die E-Mails seines sechs Jahre jüngeren Bruders online. Den Zugriff auf die persönlichen Daten erhielt er zum Schnäppchenpreis: Ein Privatdetektiv beauftragte über einen Mittelsmann einen Hacker mit chinesischem Konto und zahlte für dessen Dienste wohl gerade einmal 400 Dollar.

Die Schwarzmarkt-Preise der Hacker

Kreditkarteninformationen

Vollständige Kreditkartendatensätze gibt es laut dem IT-Sicherheitsdienstleister Symantec im untersuchten Zeitraum von 2009 bis 2010 ab sieben Cent auf Untergrund-Servern von Cyber-Kriminellen. Dabei war die Preisspanne groß. Die Preise für einen Datensatz bewegten laut Symantec sich zwischen sieben Cent und 100 Dollar. Der Handel mit Kreditkartenssätzen macht sind waren im Untersuchungszeitraum von 2009 bis 2010 die am häufigsten illegal angebotenen Daten. 2009 waren 19 Prozent der illegalen Angebote in den Hacker-Foren Kreditkartensätze, 2010 waren es 22 Prozent.

Online-Banking-Zugänge

Auch der Handel mit Online-Banking-Zugängen spielt eine wichtige Rolle: 16 Prozent der gehandelten Daten waren 2010 Zugangsdaten zu Banking-Accounts, ein Jahr zuvor waren es sogar 19 Prozent. Die Datensätze wurden im Schnitt zu deutlich höheren Preisen angeboten als die Kreditkarteninformationen. 10 bis 900 Dollar erzielt Symantec zufolge ein Datensatz auf dem Schwarzmarkt.

E-Mail-Accounts

Der Zugang zu E-Mail-Account wurden mit Preisen zwischen einem und 18 Dollar gehandelt. 2009 bezogen sich sieben Prozent der illegalen Angebote auf E-Mail-Accounts, 2010 waren es zehn Prozent.

Attack-Programme

Programme zum Attackieren von Websites spielten 2009 noch kaum eine Rolle auf dem Schwarzmarkt: nur zwei Prozent der Angebote bezogen sich darauf. 2010 waren es aber schon sieben Prozent. Die Programme wurden für fünf bis 650 Dollar gehandelt.

E-Mail-Adressen

E-Mail-Adressen zum Versenden unerwünschter Werbung (Spam) sind in Hacker-Foren Dutzendware: Der Preis für E-Mail-Adressen berechnet sich pro Megabyte an Daten. Ein Megabyte enthält Zehntausende E-Mail-Adressen. Für ein Megabyte an Adressdaten zahlten Spammer in Hacker-Foren zwischen einem Dollar und 20 Dollar. 2009 bezogen sich sieben Prozent der Angebote in den Hacker-Foren auf E-Mail-Adress-Listen, 2010 waren es fünf Prozent.

Gefälschte Kreditkarten

Falsche Kreditkarten mit echten Personen-Daten, sogenannte Credit Card Dumps, gibt es Symantec zufolge schon ab 50 Cent zu kaufen. Die teuersten Karten gingen für 120 Dollar pro Stück über den virtuellen Tresen. Das Angebot an gefälschten Kreditkarten ist von 2008 auf 2009 kräftig gewachsen: von zwei auf fünf Prozent der gehandelten Waren. 2010 hielt blieb der Wert bei fünf Prozent stabil.

Komplette Identitäten

Name, Adresse, Geburtstag, Kontoverbindung - solche kompletten Datensätzen einer Person lassen sich von Cyber-Kriminellen beispielsweise für Bestellungen missbrauchen, die nie bezahlt werden. Vollständige Identitäten können die Betrüger in Hacker-Foren kaufen - laut Symantec schon ab 70 Cent. Die teuersten Datensätze wurden für 20 Dollar gehandelt. Das Angebot stieg von 2008 auf 2009 von vier auf fünf Prozent der gehandelten Daten.

Shell-Skripte

Shell-Skripte sind einfache Programme, die bestimmte Aufgaben erledigen. Auch sie können zum Hacken genutzt werden, beispielsweise, indem ein Shell-Programm sämtliche Wörter eines Wörterbuchs als Passwort ausprobiert. Für die kleinen Programme wollten Hacker zwischen zwei und sieben Doller haben. Das Angebot an Shell-Skripten ging von 2009 auf 2010 zurück: von sechs auf vier Prozent der gehandelten Waren.

Die vollständige Liste finden Sie unter www.symantec.com.

85 Cent für einen Kreditkartensatz

„Es ist nicht schwer Hacker zu finden“, zitiert das Blatt Mikko Hyppönen von der IT-Sicherheitsfirma F-Secure. Daten des IT-Sicherheitsspezialisten Symantec bestätigen das.

Symantec zufolge werden Hacker-Tools und Datensätze in einschlägigen Foren schon lange als Dutzendware gehandelt. Demnach gab es Kreditkarteninformationen schon ab sieben Cent, der Zugang zu Bank-Accounts kostete zwischen 10 und 900 Dollar und für ein bis 19 Dollar konnte ein Blick in fremde E-Mail-Accounts geworfen werden. Auch Hacker-Tools sind in den Foren ab fünf Dollar zu haben (siehe „Die Schwarzmarkt-Preise der Hacker“).

In all diesen Fällen handelt es sich um Informationen und Zugänge, die die Hacker zufällig erbeuteten oder Hacker-Tools von der Stange. Aber auch die gezielte Attacke auf einen bestimmten Account sind offenbar nicht mehr unbezahlbar. So berichtet das „Wall Street Journal“ von  der Website Hiretohack.net, die am Dienstag nicht mehr abrufbar war. Die Macher der Website behaupteten, das Passwort jedes E-Mail-Accounts bei den großen Anbietern in weniger als 48 Stunden knacken zu können. Die Dienstleistung sollte ab 150 Dollar kosten – je nach E-Mail-Dienstleister, Passwort-Komplexität und der Dringlichkeit des Auftrags.

Kommentare (2)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

zeroday

24.01.2012, 15:03 Uhr

Das ist genauso ein markt wie jeder ander auch, es gibt nachfrage also ist ein angebot da.
Hackforums.net zb ist eine geld druck maschiene, man nehme ein forum und stelle programmierer ein, den rest sieht man auf dem gut gehenden martplatz - chingching.

Das ist aber zu vernachlässigen wenn man sich die tools anschaut mit denen server kompromitiert werden.
"backtrack" ist so eine tool suite, wer das wissen hat kann damit server "klar machen" und mal so richtig böser junge spielen.
Dabei stellt sich mir schon lange die frage wie lange es denn dauert bis mal ein börsenplatz kompromitiert wird.

Transaktionen werden elektronisch getätigt, sind also angreifbar von dieser seite???


emden09

26.01.2012, 08:39 Uhr

Die Sache stellt sich am Ende ganz einfach dar. Wer kein Geld ausgibt, um seine Programme ordentlich auf Verwundbarkeit zu testen, BEVOR er sie "online" stellt, wird am Ende Geld ausgeben, um die Schäden zu beseitigen, die durch Programmfehler verursacht wurden.

Sogen. "Sicherheitslücken" nämlich sind am Ende ja nichts anderes als Fehler die Programmierer bei der Erstellung der lückenhaften Programme gemacht haben.

Dass es auch anders geht zeigen in diesem Tagen einige große deutsche Konzerne. Über Personalvermittler werben sie gezielt um freiberufliche "Sicherheitsspezialisten", die - so wird betont - ihre eigenen Werkzeuge mitbringen müssen und die Software der Konzerne attackieren sollen. Bezahlt wird in diesem Fall, wie bei jedem Job auf Stundenbasis. Wohlgemerkt nicht nur das Hacken wird bezahlt, sondern auch das Schreiben der Reports über Fehler in der Sicherheit der Software.

In den USA gibt es bei den großen Softwareherstellern schon lange sogen. "Tiger"-Teams, die genau diese Aufgabe verfolgen "Security-Testing". Dass kleinere Hersteller sowie vor allem Konzerne und Behörden außerhalb der USA sich diesen Aufwand in der Qualitätssicherung, im Testing und bei der Fehlersuche bisher sparten, spricht für deren Naivität, nicht aber gegen Sicherheitsexperten. Die Sicherheitsexperten werden, wenn man sie nicht beschäftigt, in Hartz IV verlottern lässt, wie jeder Maurer und jede Friseuse, auf die Idee kommen, sich mit ihren Fähigkeiten am Schwarzmarkt (durch Schwarzarbeit) Geld dazu zu verdienen.

Nein, dies ist kein Plädoyer für Cracking Angriffe auf Großkonzerne. Es ist ein Appell an Konzerne und Behörden, endlich einzusehen, dass Softwaretests mindestens den gleichen Stellenwert haben, wie die Entwicklung der Software, dass proaktive Qualitätssicherung nicht nur bei Zuliefermaterialien und Halbzeug sondern eben auch bei Software ein Aktivposten und nicht nur eine Kostenposition ist.

Ein Verhältnis Entwickler/Tester 50/50 muss angestrebt werden!

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×