1. Zum Inhalt springen
  2. Zur Hauptnavigation springen
  3. Zu weiteren Angeboten der DW springen

Böse Software

Detlev Karg5. Mai 2007

Passwortfischen hat sich zu einer großen Plagen in der virtuellen Welt entwickelt. Die Polizei hat nur begrenzte Möglichkeiten, den Phishern auf die Spur zu kommen. Aber man kann sich vor dem Datenklau schützen.

https://p.dw.com/p/ANU6
Screenshot Citibank US
Allein in den USA entstand im Jahr 2006 ein Schaden von 2,5 Milliarden Dollar durch Phishing

Es gibt nur einen Weg, um sich vor dem Passwort-Klau zu schützen: niemals verdächtige E-Mails öffnen. Denn meist hängt an diesen E-Mails ein Anhang, der es in sich hat, etwa ein kleines Schadprogramm, ein Trojaner. Der ist äußerlich als vermeintliche Rechnung oder persönliches Anschreiben getarnt. Einmal angeklickt, wird ein solches Schadprogramm heimlich auf dem Rechner aktiv und übermittelt unbemerkt persönliche Daten.

Dabei ist es oft egal, ob der User einen Virenscanner besitzt. Denn diese Trojaner-Programme sind schlau. Sie schaffen es sogar, sich automatisch immer wieder zu erneuern, wenn ein Anti-Viren-Programm ihnen auf den Fersen ist. Fast alle PCs sind heute dauerhaft mit dem Internet verbunden. Und ebenso, wie das Anti-Viren-Programm sich seine Updates automatisch bei Bedarf herunterlädt, tut das auch ein Trojaner.

In die Drop Zone

Mirko Manske ist Kriminalhauptkommissar bei der Einheit SO 43 - IuK-Kriminalität beim BKA in Wiesbaden. Hier arbeiten hochspezialisierte Polizisten, die selber auch programmieren können und müssen. Im Wettlauf mit den Phishern versuchen die Fahnder, Strukturen und Funktionsweisen aufzudecken.

Ist erstmal ein Trojaner auf einem Rechner, agiert er eigenständig. Regelmäßig übermittelt er so genannte Drops - Dateien mit ausgespähten Tastatureingaben und Passwörtern - an einen vordefinierten Server im Internet, die so genannte Drop Zone.

Wo aber steht ein solcher Rechner, der sich ganz einfach bei einem Internet-Provider irgendwo auf der Welt mieten lässt? Das allein ist ein Hase-und-Igel-Spiel auf High-Tech-Niveau: "Es gibt Anbieter in Deutschland, die bieten einen scriptgesteuerten Zugang. Das heißt ich kann quasi automatisiert den DNS–Eintrag für eine Phishing-Domain im Sekundentakt verändern", sagt Manske. "Und so ist die Seite jetzt da, zehn Minuten später da drüben und zwanzig Minuten später auf irgendeinem Server in Thailand."

Zu viel Zeit

In Thailand jedoch einen Server zu überprüfen, der im Zweifel schon morgen längst woanders ist, dauert nach Abschluss des Rechtshilfeverfahrens gut ein halbes Jahr. Bis dahin aber haben die Täter viel Zeit, ihre abgelieferten Daten, die Drops, auszuwerten. Das geht dann freilich auch wieder um die Ecke, in Deutschland: "Wir haben uns neulich einen Drop-Server in Erfurt angeguckt, da waren 2,5 Gigabyte Drops!"

Die Täter sitzen laut den Erkenntnissen des BKA vornehmlich in Osteuropa und Russland oder stammen von dort. Die einen programmieren die Trojaner, Viren und Webseiten, auf die die Opfer verwiesen werden, andere liefern Adressdaten und versenden die Spam-Mails als Auftragsarbeit. Ganz am Ende der Kette sitzen diejenigen, die die Konten plündern oder das Geld abholen. Eindeutig zuzuordnen sind sie nicht und letztlich hat oft der, der das Geld von den Konten der Geprellten einstreicht, auch gar kein Programmierwissen. Alles lässt sich in einschlägigen russischen Internet-Boards und Chatrooms kaufen. Malware, böse Software, nennt man so etwas in der Szene.

Dubiose Finanzagenten

Letztlich aber muss das Geld aus Deutschland nach Osteuropa transportiert werden. Und hier haben die BKA-Fahnder angesetzt. Denn die Phisher werben für den Transfer des Geldes so genannte Finanzagenten an, mit Spam-Mails nach dem Muster: Verdienen Sie Geld, ohne viel dafür tun zu müssen. Die Finanzagenten müssen in Deutschland wohnen, denn eine Auslandsüberweisung direkt vom Konto des Opfers dauert zu lange, die Banken würden dies anhand ihrer Software merken.

Wenn ein so genannter Finanzagent indes eine Zahlung erhält, wird er per Mail oder Anruf darüber informiert, hebt das Geld ab, behält eine Provision und zahlt den restlichen Betrag bar bei Western Union oder der Reisebank ein. Das allerdings klappt so einfach nicht mehr, denn, so Kommissar Manske: "Wir haben Staatsanwälte und Richter sensibilisiert."

Dabei ist es schwierig, an die Drahtzieher zu kommen, die meist in Russland und Osteuropa sitzen und die für ihr schmutziges Geschäft wiederum Rechner benutzen, die in China und Südostasien stehen, schwer erreichbar für Polizei aus dem Ausland. Und wer ist letztendlich der Hauptverantwortliche? Auch diese Frage stellen sich die Internet-Fahnder: "Ist der Phisher der, der in das Konto einbricht, oder ist der Phisher der, der der die Dropzone auswertet und dem Einbrecher die Zugangsdaten gibt? Wir wissen nicht, ob es diese hierarchischen Strukturen gibt, das oben einer drüber sitzt, der noch den kompletten Überblick über alles hat, oder ob das nicht ein Netzwerk ist."

Das BKA ist nach eigenen Angaben nun einigen Drahtziehern am oberen Ende der Kette auf den Fersen, und auch erste Festnahmen gab es schon.