Murderboard Kapitel 02: Ermittlungen
Briefe als Fenster zur Welt
Wenn junge Menschen die Welt entdecken dann freuen sie sich oft über Post. Wer hat es denn nicht gern wenn andere an einen denken? Sobald die Liebesbriefe vom Schwarm die Metamorphose in herzlose Schreiben mit Fenster hinter sich gebracht haben erkennen wir: Geld regiert deren Inhalt genau wie in dieser Geschichte.
Leon hat eine Angewohnheit. Beim Gang vom Briefkasten zurück fühlt er gerne die Bedeutung des Inhalts von Briefen mit den Fingern. Im konkreten Fall ist es das Schreiben der Kreditkartenabrechnung. Und es ist auf mehrere gehaltvolle Millimeter angewachsen. Leon hofft auf eine Änderung der Geschäftsbedingungen. Nach dem Öffnen stellt sich allerdings heraus dass es leider eine Aufstellung von Zahlungen ist. Er kann sich kaum an die einzelnen Posten erinnern. Es sind einfach zu viele – und die meisten davon sind nicht von ihm! In der Zahlenkolonne sind verschiedene Beträge angetreten und marschierten im Gleichschritt zur Gesamtsumme. Weder die Posten noch die Firmen die er angeblich bezahlt hat sagen ihm etwas. Langsam kehrt der Verstand zurück. Leon durchsucht seine Geldbörse aber alle Karten sind noch da. Dann greift er zum Telefon und lässt die Kreditkarte sperren.
Die nächsten Tage ist Leon ziemlich beschäftigt damit eine neue Kreditkarte zu beantragen und Zahlungen zu stornieren. Neben dem Studium und seinem Teilzeitjob frisst das verdammt viel Zeit und Nerven. Vor allem Letzteres. Überhaupt zwei Ressourcen die bei uns allen endlich sind und die in Leons Fall an anderer Stelle besser eingesetzt gewesen wären.
Was ist ihm passiert?
Konten und Karten
Die Beantwortung dieser Frage beginnt bei der Verwendung der Kreditkarte. In der analogen Welt überlegt man wann man die Karte wo und zu welchem Zweck benutzt hat. Oft ist das überschaubar und an geographische Orte gebunden. Digital wird das schwieriger weil Online-Händler oft die Möglichkeit bieten Kreditkarten in Nutzer:innen-Konten zu hinterlegen. Dadurch ergibt sich automatisch eine Verknüpfung an die Zugangsdaten dieser Konten. Ist man eingeloggt kann man von dieser Plattform aus Zahlungen tätigen. Meist wird für Online-Accounts ein Login und ein Passwort verlangt. Unter Umständen wird eine E-Mail Adresse als Login verwendet. Im Unterschied zur physischen Kreditkarte muss man nun klären welches Online-Konto für eine Zahlung verantwortlich ist. Wurde das Online-Portal kompromittiert? War das Passwort zu schwach? Oder hat sich jemand Zugang zum E-Mail Konto verschafft?
In Leons Fall sind mehre Möglichkeiten denkbar. Betroffene Konten können Teil eines Datenlecks geworden sein. Mit Pech wissen die Portale die die Daten »verloren« haben noch nichts davon und können ihre User:innen nicht über den Vorfall informieren.
Eine weitere Möglichkeit ist eine Schadsoftware auf den Geräten die verwendet wurden. Findiger Schadcode schaut auf Systemen nach hinterlegten Konten dem Browser-Verlauf in Dokumenten und anderen brauchbaren Daten. Diese werden hinausgeschleust und in den Kommandozentren der Angreifenden analysiert. In der Regel stecken hinter solchen Angriffen ganze Kampagnen die gut vorbereitet und organisiert durchgeführt werden.
Social Media Alter Ego
Social Media Postings bewegen die Welt – besonders wenn Ex-Präsidenten Kurznachrichten zwitscherten. Man kennt ja die eigenen Timelines. Manche suchen sich vertrauenswürdige Quellen folgen ihnen und haben auf diese Art menschliche Filter für Informationen geschaffen die den täglichen Faktenfluss steuern sollen. Vertrauen formt Netzwerke.
Das Handy klingelt. Leon hebt ab.
»Bist Du jetzt total bescheuert? Wieso postest Du so einen Blödsinn! Ich hoffe Du bist betrunken!« kommt es ihm ohne Begrüßung entgegen. Es folgen mehrere Minuten Verständnislosigkeit die nicht aufgeklärt werden können. Einfach aufgelegt. Nach dem dritten Anruf vervollständigt sich das Bild. Sein Twitter-Konto publizierte laut seinen Freunden Dinge die rassistisch und nicht jugendfrei waren. Er macht sich sofort auf die Suche nach der Ursache stellt aber gleich fest dass sein Login nicht mehr funktioniert.
Dieser Vorfall ist nicht fiktiv und ist schon sehr vielen Personen passiert. Die Vertrauensketten in sozialen Netzwerken sind lohnende Ziele speziell wenn eine Klarnamenpflicht noch zur öffentlichen Identifikation führt. Die Zugangsdaten zu den Konten werden meist durch Diebstahl kompromittiert. Schadsoftware sucht gerne nach aktiven Zugängen um Dritten den Zugang zu gewähren. Leons Beispiel ist noch ein harmloser Fall wenn auch sehr peinlich für ihn als Betroffenen. Es geht ja nicht nur um die öffentlichen Nachrichten sondern auch um die direkte Kommunikation (eben die sogenannten »direct messages« bei Twitter, auf Instagram, Mastodon oder artverwandte Botschaften). Woher soll Leon oder auch ich wissen ob jemand mitliest?
Viele Anbieter melden wenn der letzte Login nicht plausibel ist. Manche melden immer wann man sich mit welchem Gerät von wo (geografisch oder netzwerktechnisch) eingeloggt hat. Das hilft nur wenn man diese Informationen auch registriert und Unregelmäßigkeiten auffallen. Empfohlen wird die sogenannte Zwei-Faktor-Authentisierung (oder auch two factor authentication, 2FA). Bei dieser wird der Login von einem zweiten Kanal begleitet der einen Code zur Überprüfung liefert. Das kann eine klassische SMS sein. Es gibt aber auch Codegeneratoren die zeitgesteuert Zahlen liefern die sich alle Minute ändern. Die Generatoren werden mit einem Wert gestartet der im jeweiligen Online-Konto hinterlegt ist. Stiehlt jemand die Zugangsdaten so fehlt (hoffentlich) der zweite Faktor und die andere Person kann sich dennoch nicht einloggen obwohl sie Login und Passwort erbeuten konnte.
Leon hatte keine 2FA für seinen Twitter-Account. Bis zu diesem Tag hatte er gedacht das wäre nur was für Datenschutz-Fanatiker und Leute die etwas zu verbergen hätten.
Schätze der Netze
Meist dreht sich alles um Geld. In der digitalen Welt kommen jedoch noch andere Aspekte hinzu. Die Waren und geldwerte Güter sind hier etwas vielfältiger. Gültige Bankkonten Kreditkarten Zugänge zu E-Mail-Konten oder ähnlichen Ressourcen wie Social Media Präsenzen stellen indirekt Werte da die gestohlen und gehandelt werden. Das Bild auf solche Vorfälle verzerrt sich dabei. Wir als Menschen denken ja gerne »Wieso sind die hinter mir her?«. Oder auch »Ich bin doch viel zu uninteressant für die.« Darum geht es aber nicht immer. Man wird auch zum Ziel wenn man Ressourcen hat die interessant sind. Echte E-Mail-Absender sind natürlich beliebt weil sie die Glaubwürdigkeit der gefälschten E-Mail erhöhen. Selbst Zugänge zu Webseiten sind eine gefragte Ware weil die Kriminellen dort oder auf den Webservern hinter der Webseite Daten für ihre Aktionen ablegen können. Einem Bekannten ist es unlängst passiert dass sein Blog zum Versenden einer Schadsoftware namens Emotet verwendet wurde. Die Datei mit dem Schadcode lag auf seinem Server und aus aller Welt wurde die Datei über Phishing-Mails abgerufen und bei den Menschen die den Link in der Mail geklickt hatten auf den Rechner geladen. Alles wegen eines nicht aktualisierten Plugins im WordPress mit dem er seinen Blog betreibt.
Die Automatisierung multipliziert die Wertschöpfung. So manche Betrugsmail dürfte schon für Amüsement oder Verwunderung geführt haben. Wenn aber bei Millionen von E-Mails nur Bruchteile eines Prozents auf die Masche hereinfallen dann sieht die Bilanz gar nicht schlecht aus. All die Downloads der Emotet-Datei sprechen dafür. Dasselbe gilt für die anderen Bereiche. Natürlich lassen sich gestohlene Kreditkarten sperren und Passwörter von Konten ändern. Dazu muss der Diebstahl allerdings erst einmal auffallen. In der digitalen Welt sind Daten nicht einfach »weg« oder »verschwunden« sondern werden kopiert d.h. man bemerkt den unzulässigen Zugriff nicht sofort. Es fällt frühestens dann auf wenn die kopierten Zugangsdaten aktiv verwendet werden. Und das kann eine unbekannte Anzahl anderer sein die die Daten von irgendwo her haben und sie nun verwenden.
»Follow the money« ist daher nach wie vor gültig. Cui bono? Das Konzept ist nur generell auf Werte ausgeweitet.
Virtuelle Motive
Neben Geld und Rache gibt es noch weitere Beweggründe für digitalisierte Kriminelle. Ein Faktor der schwer zu akzeptieren ist sind schlicht und einfach Ressourcen. Damit ist auch Rechenleistung gemeint. Alles was Zugang zum Internet hat und Code ausführen kann ist ein gutes Ziel. Es wird noch interessanter wenn es schlecht gesichert oder kaum überwacht wird. Nahezu alles was sich »IoT« (»Internet of Things«, vernetzte Dinge wie Zahnbürsten, Kameras, Kaffeemaschinen, Heizungsthermostate oder Personenwaagen etc.) nennt fällt in diese Kategorie. Ein anderes gutes Beispiel ist ein alter Computer (oder ein altes Smartphone). Es darf auch ein Server sein egal ob in der Cloud oder selbst betrieben. Alt ist dabei relativ. Es reicht schon dass er mit Software ohne aktuelle Sicherheitsupdates betrieben wird da kann das Blech selbst noch so neu sein (IoT). Das System hat Speicherplatz kann Programme ausführen und darf das Internet verwenden. Damit ist es interessant weil es als Sprungbrett für weitere Aktionen dienen kann.
Diese Vorgehensweise erlaubt es den Ursprung von Attacken zu verschleiern. Der Ursprung ist selten die direkte Quelle bei Vorfällen. Für Betroffene ist es natürlich kein Trost Beifang zu sein.
Für Ermittlungen ist es wichtig Beziehungen herzustellen. Ist ein Opfer das eigentliche Ziel Mittel zum Zweck oder eine absichtliche Täuschung? Gelegentlich werden auch absichtlich falsche Spuren gelegt um die Zuordnung der Täter:innen in eine bestimmte Richtung zu lenken.
Ermittlungen
Katharina Müller ist Beamtin bei der Polizei. Cybersecurity die Leute mit den flinken Internetanschlüssen und dem vorinstallierten Tor-Browser für die Ermittlungen im sogenannten Darknet. Seit einiger Zeit kommt ihr ein Name immer wieder unter: Leon Dragic. Noch ist sich Katharina nicht sicher ob er Opfer oder nicht doch eher Täter ist. Wobei schon eine Menge Chuzpe dabei wäre wenn er die ganzen Server von denen aus Malware ins Netz verbreitet wird auf seinen bürgerlichen Namen angemietet hätte. Andererseits wäre es auch nicht das erste Mal dass ein Typ glaubt unverwundbar oder unauffindbar zu sein. Aber bisher hat sie sie alle gekriegt. Bei manchen hat es nur länger gedauert. Und die Liste mit Notizen zu Leon wird langsam aber sicher länger.
Der rote Faden
Ein roter Faden bei der Motivation sind die Vorteile. Welchen Nutzen bringt ein kompromittiertes System oder ein Konto? Das ist nicht dieselbe Frage wie »cui bono?«. Die Frage wem nützt ein Angriff wird vielmehr zur Verschleierung eingesetzt. Welchen Nutzen hat ein System an sich? Was kann es sehen sprich worauf hat es Zugriff? Im Falle von IoT-Geräten kann eine Kaffeemaschine möglicherweise eine Menge andere Geräte im selben Netzwerk sehen. Oder was an Daten über dieses Netzwerk geschickt wird. Sie sieht vielleicht auch Mobiltelefone die möglicherweise nicht im selben WLAN eingeloggt sind aber über die Bluetooth-Schnittstelle mit der Kaffeemaschine kommunizieren. Und je nachdem was die Marketingagentur die die App zur Kaffeemaschine gebaut hat noch alles für »Marketingzwecke« braucht sieht sie auch das Telefonbuch auf so einem Mobiltelefon die Fotos auf einer SD-Karte gespeicherte Daten anderer Apps und vielleicht noch die Daten aus den Sensoren des Geräts wie Beschleunigungs- oder Lagesensor.
Der Gedanke an Sichtbarkeit und Zugriffe führt unweigerlich zu Vertrauensketten die selbst ein Ziel darstellen. Freunde von Freunden sind immer interessant weil sie einander vertrauen. Diese Methode wird für E-Mail- oder auch SMS-Betrug in allen Formen und Farben benutzt. Plausible Absender waschen die Nachricht rein. Der Schaden ist nur schlimmer wenn Angreifer:innen vollen Zugriff auf andere Konten haben.
Links
DeepSec Blog
Dann haben die halt meine Daten. Na und?! – Einsteiger:innen-Buch in digitale Selbstverteidigung von Klaudia
Murderboard-Talk von René und Klaudia bei der #pw20
Weitere Teile der Serie
00 – Prequel
01 – Kapitel 01: Spuren
02 – Kapitel 02: Ermittlungen
03 – Kapitel 03: Serienhacker: Organisiertes Verbrechen oder auch »Grand Theft Data«
04 – Kapitel 04: Trojanischer Amtsschimmel oder auch: Staatliches Hacken
3 Kommentare