Die häufigsten Cyber-Angriffsformen in Österreich

23. September 2015 /
Cybercrime-Report 2014, www.bundeskriminal.atcms/BK/publikationen/Cybercrime.aspx Cybercrime-Report 2014, www.bundeskriminal.atcms/BK/publikationen/Cybercrime.aspx

Gestern hat das Bundeskriminalamt (BK) den jährlichen Cybercrime-Reports 2014 veröffentlicht. Das Fazit: Cybercrime ist und bleibt ein äußerst dynamisches und hochinnovatives Kriminalitätsphänomen, das Ermittlungsbehörden ständig vor neue Herausforderungen stellt. Das war auch 2014 so. Trotzdem konnten die Anzeigen im Bereich der Cyber-Kriminalität gegenüber dem Vorjahr um 10,8 Prozent auf 8.966 Anzeigen gesenkt werden (2013:10.051). Die Anzahl der reinen IT-Delikte (sog. Cybercrime im engeren Sinn) stieg 2014 leicht an. Darunter versteht man Straftaten, die mit Hilfe der Technologien des Internets begangen werden, wie zum Beispiel der widerrechtliche Zugriff auf ein Computersystem. Weitere Zahlen, Daten und Fakten im Cybercrime-Report 2014 des Bundeskriminalamtes, die Zusammenfassung des Berichts im News-Bereich vom BK.

Die häufigsten Cyber-Angriffsformen in Österreich. 2014 konnte in Österreich eine Häufung von folgenden Angriffsformen beobachtet werden:

Kriminelle als Microsoft-Mitarbeiter
Zur Vorgehensweise: Bei einem Microsoft-Windows-Kunden geht ein Telefonanruf ein. Der Anrufer stellt sich als Mitarbeiter von Microsoft vor. Er spricht zumeist in relativ schlechtem Englisch und gibt an, dass das Computersystem des Kunden mit Schadsoftware infiziert und deshalb gefährdet sei. Dadurch sei Microsoft auf den Kunden aufmerksam geworden. Der Mitarbeiter bietet an, die Viren und Trojaner vom Computer des Kunden kostenlos zu entfernen. Damit der vermeintliche „Microsoft Mitarbeiter“ sich mit dem Gerät des Kunden verbinden kann, wird der Kunde aufgefordert ein „Remote-ZugriffsTool“ für Fernwartungen herunterzuladen und zu installieren. Oftmals wird auf die kostenlose Software „Team Viewer“ verwiesen. Nach Installation der Software und Bekanntgabe eines Zugriffs-Codes für das Remote-Tool an den angeblichen „Microsoft Mitarbeiter“, kann dieser uneingeschränkt auf die Daten des Computersystems zugreifen. Während der angeblichen „Bereinigung“ des Systems lenkt der „Microsoft Mitarbeiter“ den Kunden immer wieder durch unwichtige Erklärungen ab und zeigt angebliche Fundstellen von Schadsoftware. Dazwischen bleibt der Bildschirm mehrfach schwarz, wodurch für den Kunden nicht ersichtlich ist, wo und nach welchen Daten der Eingreifer auf der Festplatte sucht. Nach erfolgter „Bereinigung des Systems“ bzw. nachdem der Täter die für ihn relevanten Daten auf dem System zu sich übertragen hat, wird zumeist darauf verwiesen, dass eine Lizenz abgelaufen ist und diese bei sofortiger Erneuerung sehr günstig verlängert werden kann. Die angebotene Lizenz zum Preis von zehn bis 30 Euro für den weiteren Schutz des Systems soll dann vom Kunden sofort bezahlt werden. Dafür wird ein fertiges Formular zur Verfügung gestellt. In den meisten Fällen bittet dann der „Microsoft Mitarbeiter“ den Kunden die Bezahlung durch die Eingabe von Kreditkartendaten oder Online-Banking durchzuführen, um dabei seine Bankdaten auszuspähen, sollte er die entsprechenden Daten nicht ohnedies schon durch einen vorherigen Zugriff auf das Computersystem des Kunden gefunden haben. In den meisten Fällen hat sich gezeigt, dass die angeblichen Abbuchungsbeträge in der Höhe von zum Beispiel 29 Euro schlussendlich auf dem Kreditkartenkonto mit 129 oder 229 Euro ausgewiesen und abgebucht wurden. Es kann zusätzlich davon ausgegangen werden, dass durch den vermeintlich hilfsbereiten „Microsoft Mitarbeiter“ auch Schadsoftware installiert wurde, wodurch weiterhin sensible persönliche Daten in das Internet übermittelt werden oder ein uneingeschränkter Zugriff über die installierte Remote-Software für den Täter möglich ist. Meist kann der Computer nur mehr durch professionelle Hilfe wieder funktionsfähig gemacht werden. Das „Herauslocken von Zugriffsdaten“ wird als „Social Engineering“ bezeichnet.

 

Ransomware – finanzielle Bedrohung für Firmen? Bild: Crypto-Wall, Web_Cybercrime_2014, bmi.gv.at
2014 wurden speziell im Bereich der Landespolizeidirektion (LPD) Tirol zahlreiche Fälle mit sogenannter Ransomware bekannt. Betroffen waren neben Privatpersonen auch einige kleinere Unternehmen. Die Zahl der betroffenen Computer dürfte tatsächlich weitaus höher liegen, da erfahrungsgemäß nur ein Bruchteil der betroffenen Personen bzw. Firmen Anzeigen erstatten. Die verschiedenen Varianten dieser Erpresser-Software werden überwiegend als manipulierte E-Mail-Anhänge getarnt bzw. mit speziell präparierten Webseiten auf den Computer des Besuchers installiert (Drive-By-Download). Anschließend durchsuchen sie das infizierte System inklusive der internen und externen Datenträger und Netzwerkfreigaben und verschlüsseln auf dem Zielsystem vorhandene Dateien nach vorgegebenen Mustern, wie zum Beispiel Word- und Excel-Dateien, E-Mails, Datenbanken, etc. Die neueren Versionen dieser Schadsoftware verwenden dabei meistens zwei Verschlüsselungsdurchläufe mit sehr langen zufälligen Passwörtern und löschen danach die ursprünglichen Dateien mit speziellen „WipeProgrammen“, sodass ein Wiederherstellen auch für professionelle Datenretter unmöglich wird. Abschließend werden auf den befallenen Computern eigene Startseiten installiert, in denen auf die Verschlüsselung und Löschung (wipe) der Daten hingewiesen wird.

Die Täter bieten an, die Verschlüsselung durch Zahlung eines Geldbetrags über verschlüsselte Kanäle aufzuheben. In den meisten Fällen können auch durch die Zahlung des Geldbetrages die verschlüsselten Daten nicht mehr hergestellt werden. Die Kommunikation zwischen den infizierten Systemen mit den „Befehlsservern“ der Erpresser erfolgt dabei unter anderem über das Tor- bzw. das I2P-Netzwerk. Eine Rückverfolgung der Kommunikationswege ist nahezu ausgeschlossen. Die Schäden für die betroffenen Privatpersonen bzw. Unternehmen belaufen sich auf bis zu mehrere Zehntausend Euro. Nicht mehr vorhandene Kundendaten, fehlender Schriftverkehr und gelöschte Buchhaltung etc. können die Betroffenen oft an den Rand einer Insolvenz bringen. Neben den allgemeinen Sicherheitshinweisen zum Verhalten im Internet kann in solchen Fällen nur ein funktionierendes, fortlaufend durchgeführtes Backup auf externe bzw. abgekoppelte Systeme helfen.

Notfall-E-Mails
Bei diesem Cyber-Angriff werden die E-Mail-Accounts einer Person durch Hacking- oder Phishing-Attacken übernommen. Die Absicht der Täter ist es, an die Daten des E-Mail-Adressbuches ihrer Opfer zu gelangen und im nächsten Schritt an diese Kontakte eine „Notfall-E-Mail“ zu senden. Hier wird üblicherweise auf eine finanzielle Notlage im Urlaub oder auf einer Reise im Ausland verwiesen. Sie geben an, dass ihnen Geld und oder Dokumente gestohlen wurden und bitten um eine Überweisung eines Geldbetrages für die sofortige Bezahlung der noch offenen Hotel- oder Flugrechnung, da ihnen sonst eine Heimreise nicht möglich ist. Die Rückzahlung des geborgten Geldbetrages wird sofort nach Rückkehr zugesagt. Die Überweisung soll meist über einen vom Täter vorgeschlagenen Money-Transfer-Dienst erfolgen, da hier eine Rückverfolgung des Geldflusses nahezu unmöglich ist. In den meisten der bekannten Fälle werden die Passwörter der übernommenen E-Mail-Accounts vom Täter geändert, so dass kein Zugriff mehr durch den eigentlich Berechtigten erfolgen kann. Danach werden die kompletten Kontaktdaten gelöscht und analog zur E-Mail-Adresse ein weiterer E-Mail-Account bei einem anderen Dienstanbieter erstellt. Der weitere E-Mail-Verkehr zwischen den Opfern und dem Täter findet nun über die neue E-Mail-Adresse statt, die alte Adresse dient zum Teil nur noch als Relay-Station. Große Free-E-Mail-Anbieter zeigen sich mittlerweile bereit, die „übernommenen“ E-Mail-Accounts für den eigentlichen Inhaber wiederherzustellen. Voraussetzung dafür ist unter anderem, dass ein eindeutiger Besitz an den Daten und der Rechtmäßigkeit nachgewiesen werden kann, zum Beispiel durch Zusendung einer Kopie eines Reisepasses oder Personalausweises. Dazu dient insbesondere die doppelte Absicherung des Accounts zum Beispiel durch Passwort und hinterlegter Rückrufnummer.

Betrügereien auf Verkaufsplattformen
Im Juli 2014 erstattete eine österreichische Firma eine Anzeige, dass ihr Onlineportal gehackt worden sei. Es stellte sich heraus, dass das Online-Bezahlsystem gehackt und die eingehenden Beträge auf ein Konto der Täter umgeleitet wurden. Es entstand ein Schaden im fünfstelligen Euro-Bereich. Mehrere Tatverdächtige wurden ausgeforscht, zwei konnten festgenommen werden. Im Zuge der Ermittlungen wurde festgestellt, dass von diesen Personen nicht nur Webseiten gehackt, sondern auch „Willhaben.at-Betrügereien“ durchgeführt wurden. Bisher konnten 15 Geschädigte aus dem gesamten Bundesgebiet identifiziert werden. Die Hacker gingen dabei arbeitsteilig vor: Das „Anbieten der Waren auf Willhaben.at“ wurde von einer Tätergruppe durchgeführt, während die Kontoöffnung bzw. das Abheben der Geldbeträge von einer anderen Gruppe erfolgte. Die Aufteilung der erbeuteten Gelder erfolgte ebenfalls durch verschiedene Internetdienste. Die Tätergruppen kannten sich nicht persönlich und die Kommunikation erfolgte via Chat im Internet. Bei der Auswertung der sichergestellten Datenträger wurde festgestellt, dass durch die Tatverdächtigen auch von einer Vielzahl von Geschädigten die Bank- und Kreditkartendaten mittels Phishing erlangt und mit diesen Daten auch Waren von verschiedenen Online-Shops zum Weiterverkauf bestellt worden waren.

Meldestelle „Against Cybercrime“
Im Mai 2011 wurde als Ansprechstelle für die Bürger unter der E-Mailadresse against-cybercrime@bmi.gv.at die Meldestelle für Cyber-Kriminalität eingerichtet. Dort werden verdächtige Wahrnehmungen im Internet entgegengenommen. Im Jahr 2014 wurde in der Meldestelle ein 24/7-Betrieb eingerichtet, um zeitnahe wichtige und dringende Mitteilungen entgegenzunehmen und Sofortmaßnahmen veranlassen zu können. Die kontinuierliche Steigerung der gemeldeten Verdachtsfälle setzte sich auch im Berichtsjahr fort. So wurden in der Meldestelle des C4 im Jahr 2014 9.497 E-Mails bearbeitet und über 900 telefonische Anfragen beauskunftet. Nach wie vor liegt der Schwerpunkt der Anfragen auf Phishing- und Spam-Mails (mehr zu Phishing im 0676 Blog im Beitrag „Achtung: Phishing-Mails im Umlauf – nicht öffnen!“.

Eine deutliche Steigerung gab es bei Meldungen über versuchte Betrugsfälle auf Online-Plattformen, bei Ein- und Verkäufen im Internet – zumeist bei Kfz- oder Immobilienangeboten. Der gängige Modus Operandi des Bestellens/Nichtbezahlens geht hier in Richtung der Vortäuschung von gefälschten Bezahlbestätigungen durch PayPal- und Amazon-Konten. Weiters konnte eine erhöhte Anzahl von Meldungen über sogenannte „Fake-Webshops“ und „B2B-Shops“ und damit zusammenhängende Betrugs- und Urheberrechtsverletzungen registriert werden. Neben den laufend auftretenden Deliktsformen war 2014 durch das massive Auftreten von Anrufen von – wie schon oben berichtet – angeblichen „Microsoft Mitarbeitern/Technikern“, der Verständigung von über 40.000 in Österreich betroffenen E-Mail-Accounts nach einem in Deutschland vorgefallenen „Datenklau“ sowie von schwerwiegenden Fällen von „Ransomware“ wie Crypto-Wall und Crypto-Locker geprägt. Vermehrt musste auch Unterstützung für andere Dienststellen im Zusammenhang mit Vorfällen und Mitteilungen aus dem Internet geleistet werden, wie zum Beispiel die Ausforschung von IP-Adressen im Falle von Suizidankündigungen, der Meldung von Gewaltvideos im Internet, der Verständigung von Betroffenen bei inkriminierten Webseiten und Domänen und mehr.

Anzahl der Hinweise an die Meldestelle against-cybercrime@bmi.gv.at seit ihres Bestehens im Jahr 2011. Cybercrime 2014, bmi.gv.at

Anzahl der Hinweise an die Meldestelle against-cybercrime@bmi.gv.at seit ihres Bestehens im Jahr 2011. Cybercrime 2014, bmi.gv.at

 

 

 

 

 

 

 

 

 

Zusammenarbeit im Kampf gegen Internetbetrug 
Das Internet bietet den Tätern Anonymisierungsmöglichkeiten, eine größere Reichweite und eine schnelle Vorgehensweise unter Nutzung ständig wechselnder falscher Identitäten. Vielfach agieren die Täter aus dem Ausland und verschleiern ihre Spuren, wodurch eine Nachverfolgung für die Strafverfolgungsbehörden in Österreich deutlich erschwert wird. Die Aufklärungsarbeit erfordert neben der Tatortarbeit am Computer des Opfers auch die konsequente Verfolgung der Geldspur durch die Polizei. Das Ziel der Täter ist das Geld der Opfer. 2014 wurde daher die Zusammenarbeit der Spezialisten innerhalb der Polizei weiter ausgebaut. Experten aus den Bereichen Betrugsermittlung, der IT-Forensik und der Finanzermittlung verschränken ihr Wissen und eröffnen damit neue Ermittlungsansätze zur Ausforschung von Tatverdächtigen. Zusätzlich ist eine zuverlässige internationale Kooperation entscheidend, um die Gelder der Opfer zu sichern und die Täter im Ausland ausforschen zu können.

Leichtsinniger Umgang mit Passwörtern 
Vom 1. bis 20. März 2014 kam es in Kärnten zu einem Fall von Datenbeschädigung und widerrechtlichem Zugriff auf ein Computersystem, im Zuge dessen ein Schaden von über 20.000 Euro entstanden ist. Beim Beschuldigten und beim Opfer handelt es sich jeweils um große Firmen, die mit dem Handel von Lkw-Teilen, dem Verkauf und der Reparatur von Lkws in Kärnten marktbestimmend sind. Während des oben angeführten Zeitraumes verschaffte sich der anfangs noch unbekannte Beschuldigte über ein Warenwirtschaftssystem des Markenherstellers im Ausland durch Verwendung fremder Passwörter unberechtigten Zugriff auf die Preislisten des konkurrierenden Unternehmens und änderte diese. Der Zugriff erfolgte dabei unter Verwendung fremder oder alter zurückgesetzter Zugangsdaten. Ziel des Täters war es, das Vertrauen der Kundschaft in das konkurrierende Unternehmen zu schädigen und so selbst mit dem eigenen Unternehmen mehr Aufträge zu lukrieren und die Marktposition zu verbessern. Im Zuge der Ermittlungen im Unternehmen des Opfers sowie in Zusammenarbeit mit den IT-Administratoren des Lkw-Herstellers konnte letztendlich die IP-Adresse des Beschuldigten ermittelt werden. Im Zuge der Hausdurchsuchung konnten beim Inhaber der IP-Adresse maßgebliche Dokumente sichergestellt werden. Letztendlich wurden unter der Tastatur des Beschuldigten sogar rechtswidrig erlangte Passwörter aufgefunden, die den Beschuldigten zum Eingeständnis der Tat bewegten. Dieser Fall hat einmal mehr die Wichtigkeit im Umgang mit Passwörtern und deren Aufbewahrung gezeigt.

Der 51-seitige Cybercrime-Report 2014 des Bundeskriminalamtes ist mit vielen weiteren Informationen und Zahlen unter www.bundeskriminal.atcms/BK/publikationen/Cybercrime.aspx downloadbar.

Verfasst von
Sie ist Pressesprecherin von T-Mobile Austria und Hauptredakteurin des 0676 Blogs. Sie interessiert sich seit der Jugend für Telekommunikation, Technologie und Mobilfunk.

Kommentieren

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.