Auf der Website des Marktplatzes wurde ein BKA-Sicherstellungsbanner veröffentlicht

[datensicherheit.de, 21.03.2024] Laut einer aktuellen Meldung des Bundeskriminalamts (BKA) hat die Generalstaatsanwaltschaft Frankfurt am Main (Zentralstelle zur Bekämpfung der Internetkriminalität / ZIT) zusammen mit dem BKA am 20. März 2024 die in Deutschland und Litauen befindliche Server-Infrastruktur des weltweit agierenden illegalen Darknet-Marktplatzes „Nemesis Market“ sichergestellt und diesen damit geschlossen. Zeitgleich seien digitale Vermögenswerte in Höhe von 94.000 Euro in Form von sogenannten Krypto-Währungen beschlagnahmt worden. Diese Maßnahmen fanden demnach im Rahmen parallel geführter Ermittlungsverfahren und in enger Abstimmung deutscher, US-amerikanischer und litauischer Strafverfolgungsbehörden statt. Auf der Website des Marktplatzes wurde laut BKA am 21. März 2024 ein Sicherstellungsbanner veröffentlicht.

Abbildung: BKA

Sicherstellungsbanner auf auf dem Darknet-Marktplatzes „Nemesis Market“

BKA, ZIT sowie FBI, DEA und IRS-CI kooperierten bei den Ermittlungen

Den in einer konzertierten Aktion durchgeführten Maßnahmen seien aufwändige Ermittlungen vorausgegangen, „die seit Oktober 2022 vom BKA, der ZIT sowie FBI, DEA (Drug Enforcement Administration) und IRS-CI (Internal Revenue Service Criminal Investigation) geführt werden“.

Bei „Nemesis Market“ handele es sich um eine über das „Tor“-Netzwerk erreichbare Darknet-Plattform. Gegen die Betreiber dieser Darknet-Webseite bestehe insbesondere der „Verdacht des gewerbsmäßigen Betreibens krimineller Handelsplattformen im Internet“ und „Straftaten gegen das Betäubungsmittelgesetz“.

BKA meldet Ermittlungsstand – fast 20 Prozent Verkäuferkonten aus Deutschland

Auf dem 2021 gegründeten und in der Folge schnell wachsenden „Nemesis Market“ seien zuletzt weltweit über 150.000 Nutzer– und über 1.100 Verkäuferkonten registriert gewesen, davon nach aktuellem Ermittlungsstand fast 20 Prozent Verkäuferkonten aus Deutschland.

Das auf diesem Marktplatz erhältliche Warenangebot habe Betäubungsmittel, betrügerisch erlangte Daten und Waren sowie eine Auswahl an Dienstleistungen aus dem Bereich Cybercrime – wie Ransomware, Phishing oder DDoS-Angriffe – umfasst.

BKA kündigt weitere Ermittlungen gegen kriminelle Verkäufer und Nutzer dieser Plattform an

Die sichergestellten Marktplatz-Daten seien nun Grundlage für weitere Ermittlungen gegen kriminelle Verkäufer und Nutzer dieser Plattform.

„Die Abschaltung und Strafverfolgung sind ein weiterer Schlag gegen im Darknet agierende Akteure der ,Underground Economy’ und demonstrieren die Wirksamkeit der internationalen Strafverfolgung im Digitalen Raum.“

[datensicherheit.de, 11.10.2023] Kriminelle Hacker sollen laut Medienberichten eine große Menge interner Daten der Hotelkette Motel One veröffentlicht haben – darunter umfangreiche Übernachtungslisten der vergangenen Jahre mit Millionen von Namen, einschließlich des Hotelgründers, Dieter Müller. Motel One gilt als eine der größten Hotelketten Europas. Nun wurde diese Opfer einer Ransomware-Attacke, bei der die Hacker versucht haben sollen, Geld zu erpressen. Die Hacker-Gruppe „ALPHV“ veröffentlichte demnach die erbeuteten Daten im sogenannten Darknet – darunter etwa 24 Millionen Dateien und etwa sechs Terabyte an Informationen, darunter Text- und Datenbankdateien, „Excel“-Tabellen und PDF-Dateien. Die Verbraucherkanzlei Dr. Stoll & Sauer rät nach eigenen Angaben Verbrauchern generell, die möglicherweise Opfer eines Datenlecks geworden sind, zur kostenlosen Erstberatung im Online-Check.

Ransomware-Angriffe nehmen derzeit zu – Motel One nur ein Beispiel

MotelOne habe den Vorfall nach einem Bericht der „Süddeutschen Zeitung“ vom 6. Oktober 2023 gemeinsam mit IT-Sicherheitsexperten untersucht und am 30. September 2023 öffentlich bestätigt, Ziel eines Hacker-Angriffs gewesen zu sein.

Die Hacker hätten Adressdaten von Kunden und Kreditkartendaten abgegriffen. Das Unternehmen habe aber betont, dass der Geschäftsbetrieb zu keinem Zeitpunkt gefährdet gewesen sei.

Hacker-Gruppe ALPHV soll sich zu Angriff auf Motel One bekannt haben

Die Kanzlei Dr. Stoll & Sauer fasst zusammen, was über das Datenleck bei Motel One bisher bekannt ist:

• Die Hacker-Gruppe „ALPHV“, welche sich zu diesem Angriff bekannt habe, „verlangte von Motel One ein Lösegeld in Höhe von 50 Millionen Euro“. Motel One habe die Zahlung des Lösegelds aber abgelehnt – weshalb daraufhin die Daten im Darknet veröffentlicht worden und nun frei zugänglich seien.
• Unter den gehackten Daten sollen sich fast vollständige Listen zu den Übernachtungen, Rechnungsadressen, Geburtsdaten der Kunden, interne Geschäftszahlen, Mobilnummern der Angestellten befinden. Betroffen seien Daten teilweise bis ins Jahr 2016 zurück. Dies betreffe hauptsächlich die Übernachtungslisten. Die betroffenen Daten stammen laut Motel One von Gästen aus den Jahren 2016 bis 2023. Die Daten von Mitarbeitern seien offenbar aus den Jahren 2019 bis 2023. „Warum Motel One diese Listen so lang speichert, ist bislang unbekannt.“
• Die Tragweite des Datenlecks könnte erheblich sein, da es potenziell Millionen Menschen betreffe, „die in den vergangenen acht Jahren in einem Motel One übernachtet haben“. Die veröffentlichten Listen enthielten Namen, Aufenthaltsdaten und Zimmernummern, was es Dritten ermögliche, detaillierte Reiseprofile zu erstellen. „Nicht jeder will seine Daten über Reisen veröffentlicht wissen.“ Bei Geschäftsverbindungen könne dies ebenso kompromittierend sein wie bei privaten Reisen.
• Ransomware-Angriffe seien ein wachsendes Problem – und Motel One sei nicht das einzige betroffende Unternehmen. Die Erpresser professionalisierten sich – und die Dunkelziffer solcher Vorfälle sei hoch. Motel One plane einen Börsengang in den nächsten Jahren und habe einen erheblichen Unternehmenswert, einschließlich der Immobilientochter. „Da wollte sich die Hacker-Gruppe offensichtlich bedienen.“
• Das Ausmaß des Datenlecks werfe Fragen zur internen IT-Sicherheit von Motel One auf – und es gebe laut „Süddeutscher Zeitung“ Hinweise darauf, dass ein Computer am Standort Ulm als Einfallstor für die Hacker gedient haben könnte. „Es scheint, als ob Motel One verbesserungswürdige IT-Sicherheitspraktiken hatte, da Passwörter für Hotel-Systeme in den veröffentlichten Daten gefunden wurden.“
• Motel One habe Strafanzeige gestellt und arbeite mit Datenschutzbehörden und IT-Sicherheitsexperten zusammen, um den Vorfall zu untersuchen. Es gebe jedoch noch viele offene Fragen, und das Ausmaß des Schadens sei noch nicht vollständig bekannt.

Was das Datenleck bei Motel One für betroffene Verbraucher bedeutet:

Dieser Hacker-Angriff sei ein ernstzunehmender Vorfall nicht nur für Motel One, sondern vor allem für die Verbraucher. Das Datenschutzrecht gebe Betroffenen mehrere Möglichkeiten an die Hand zu reagieren:

• Die EU-Datenschutzgrundverordnung (DSGVO) schreibe vor, dass Betroffene eines Datenlecks informiert werden müssten, insbesondere bei hohen Risiken. Betroffene hätten auch das Recht auf Schadenersatz, „wenn ihnen durch einen DSGVO-Verstoß ein materieller oder immaterieller Schaden entstanden ist“.
• Motel One habe nach eigenen Angaben alle betroffenen Kunden und Mitarbeiter informiert. Das Unternehmen habe auch Maßnahmen ergriffen, um die Sicherheit der Daten zu erhöhen.
• Motel One werde von einigen Seiten kritisiert, weil das Unternehmen den Hacker-Angriff erst drei Wochen nach Bekanntwerden des Datenlecks öffentlich gemacht habe.
• Betroffene Kunden sollten ihre Kreditkartendaten sperren und eine neue Karte beantragen. Außerdem sollten sie ihre Passwörter für Online-Konten ändern, „die mit dem Motel-One-Konto verknüpft sind“.
• Kunden, deren Kreditkartendaten gestohlen wurden, sollten sich auch bei ihrer Bank melden und eine Sperrung der Karte beantragen. „Außerdem sollten sie ihre Bankkonten auf ungewöhnliche Aktivitäten überprüfen.“
• Die gestohlenen Daten könnten von Kriminellen für verschiedene Zwecke missbraucht werden: So könnten sie zum Beispiel für Identitätsdiebstahl, Phishing-Angriffe oder Online-Betrug genutzt werden.

Sollte Motel One gegen datenschutzrechtliche Bestimmungen verstoßen haben, könnten Betroffene Schadensersatzansprüche erheben

Fazit der Kanzlei Dr. Stoll & Sauer: „Das Datenleck bei Motel One ist für betroffene Verbraucher eine ernste Angelegenheit.“ Sensible personenbezogene Daten seien für jedermann einsehbar. Dieser Kontrollverlust über die eigenen Daten könne einen immateriellen Schaden darstellen. „Hat Motel One gegen datenschutzrechtliche Bestimmungen verstoßen, so können Betroffene Ansprüche auf Schadensersatz erfolgreich geltend machen.“ Laut EuGH-Urteil vom 4. Mai 2023 (Az.: C-300/21) bestünden Ansprüche auf Schadensersatz nur dann, „wenn durch einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist“.

Betroffene Nutzer sollten sich generell über die möglichen Folgen eines Datenlecks im Klaren sein und entsprechende Maßnahmen ergreifen, um sich beispielsweise vor Phishing-Angriffen zu schützen. Mit Hilfe kombinierter Informationen aus anderen Datenlecks könnten Cyber-Kriminelle gezielte Phishing-Angriffe gegen Verbraucher initiieren. Dr. Stoll & Sauer rät Verbrauchern, die möglicherweise Opfer eines Datenlecks wie bei Motel One geworden sind, zur kostenlosen Erstberatung im Online-Check. „Hier prüft die Kanzlei auch die mögliche Betroffenheit von Verbrauchern.“

Tipps für Opfer einer Phishing-Attacke ggf. in Folge des Angriffs auf Motel One:

Phishing bleibe eine beliebte Betrugsmasche unter Cyber-Kriminellen und scheine ein lukratives kriminelles Geschäftsmodell zu sein. Im April 2023 habe das LKA Niedersachsen beispielsweise vor Phishing-SMS und -E-Mails gewarnt, „die Opfer mit angeblichen Zollgebühren lockten“. Falls Verbraucher Opfer einer Phishing-Mail geworden sind, sollten sie folgende Maßnahmen ergreifen:

• Sofort sollten die Zugangsdaten für Online-Bankgeschäfte geändert werden.
• Die betroffene Bank sollte sofort informiert werden, damit weitere Schäden verhindert werden können.
• Die entsprechende Phishing-Mail sollte nicht gelöscht werden, sondern als Beweismittel gesichert und an die Bank weitergeleitet werden.
• Unbedingt Strafanzeige erstatten.

Weitere Informationen zum Thema:

Süddeutsche Zeitung, 10.10.2023
Nach Hacker-Angriff: Motel-One-Kunden sollten wachsam sein

Süddeutsche Zeitung, 09.10.2023
Motel One / Wie man einen Hack auf gar keinen Fall kommunizieren sollte

Süddeutsche Zeitung, 07.10.2023
Etliche Motel-One-Kundendaten im Darknet veröffentlicht

Dr. Stoll & Sauer, 04.05.2023
Gericht bejaht Ansprüche auf Schadensersatz bei DSGVO-Verstoß / EuGH stärkt Verbraucherrechte beim Datenschutz

Server der Krypto-Plattform ChipMixer beschlagnahmt und Bitcoin im Gegenwert von rund 44 Millionen Euro sichergestellt

[datensicherheit.de, 16.03.2023] Laut einer Meldung des Bundeskriminalamtes (BKA) vom 15. März 2023 haben die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das BKA an diesem Tag die in Deutschland befindliche Server-Infrastruktur des weltweit umsatzstärksten Krypto-Mixers imsogenannten Darknet, „ChipMixer“, beschlagnahmt. Neben Daten im Umfang von ca. sieben Terabyte wurden demnach „Bitcoin“ im Gegenwert von derzeit umgerechnet ca. 44 Millionen Euro sichergestellt – dies sei die „höchste bisher vorgenommene Sicherstellung von Krypto-Werten durch das BKA“.

Abbildung: BKA

BKA-Sicherstellungsbanner auf der „Tor“-Webseite des Dienstes

ChipMixer hatte seinen Nutzern vollständige Anonymität versprochen

Die Betreiber von „ChipMixer“ stehen laut BKA unter anderem im Verdacht, gewerbsmäßige Geldwäsche und eine kriminelle Handelsplattform im Internet betrieben zu haben. Bei den Ermittlungen habe das BKA eng mit dem United States Department of Justice (US DoJ), dem Federal Bureau of Investigation Philadelphia (FBI), Homeland Security Investigations Phoenix sowie Europol kooperiert.

Bei „ChipMixer“ habe es sich um einen seit Mitte 2017 bestehenden Dienst gehandelt, der insbesondere „Bitcoin“ kriminellen Ursprungs entgegengenommen habe, um sie nach Verschleierungsvorgängen (sogenanntes Mixing) wieder auszuzahlen. Dabei seien eingezahlte Krypto-Werte zum Zwecke der Vereitelung von Ermittlungen in als „Chips“ bezeichnete einheitliche Kleinstbeträge geteilt worden. Diese „Chips“ der Nutzer seien anschließend vermengt und die Herkunft der Gelder sei somit verborgen worden. „ChipMixer“ habe seinen Nutzern vollständige Anonymität versprochen.

Auch Ransomware-Akteure nutzten ChipMixer-Dienst zur Geldwäsche

Es werde geschätzt, dass „ChipMixer“ seit 2017 Krypto-Werte in Höhe von etwa 154.000 „Bitcoin“ bzw. 2,8 Milliarden Euro „gewaschen“ habe. Ein signifikanter Teil
davon habe von „Darknet“-Marktplätzen, aus betrügerisch erlangten Krypto-Werten, von Ransomware-Gruppierungen und aus anderen kriminellen Taten gestammt.

So werde unter anderem dem Verdacht nachgegangen, dass Teile von im Zusammenhang mit der Insolvenz einer großen Krypto-Börse im Jahr 2022 entwendeten Krypto-Werten über „ChipMixer“ gewaschen wurden. Zudem hätten Transaktionen in Millionenhöhe von der im April 2022 durch die ZIT und das BKA abgeschalteten Darknet-Plattform „Hydra Market“ nachgewiesen werden können. Ebenso hätten Ransomware-Akteure wie „Zeppelin“, „SunCrypt“, „Mamba“, „Dharma“ oder „Lockbit“ diesen Dienst zur Geldwäsche genutzt.

Geldwäschedienste wie ChipMixer regelmäßig wichtiger Bestandteil bei Erpressungen durch Ransomware-Angriffe

Auf der „Tor“-Webseite des nun abgeschalteten Dienstes wurde laut BKA ein Sicherstellungsbanner veröffentlicht. Zudem sei der mutmaßliche Hauptbeschuldigte im US-Verfahren durch das FBI zur Fahndung ausgeschrieben sowie über das „Rewards for Justice Programm“ des US DoJ eine Belohnung für weitere ermittlungsrelevante Hinweise ausgelobt worden.

Dieser erneute Erfolg bei der Bekämpfung der Internetkriminalität sei ein Ergebnis innovativer Bekämpfungsstrategien gegen die weltweite Cybercrime-Industrie. „Denn: Geldwäschedienste sind regelmäßig ein wichtiger Bestandteil bei Erpressungen durch Ransomware-Angriffe. Ziel des BKA und der ZIT ist es daher, mit den in dem Verfahren gegen ,ChipMixer’ gewonnen Erkenntnissen die Aufklärung weiterer Cyber-Straftaten voranzutreiben und zu verhindern, dass deutsche Infrastrukturen zu kriminellen Zwecken mit Geldern aus illegalen Handlungen missbraucht werden.“

Weitere Informationen zum Thema:

tagesschau, 15.03.2023
„ChipMixer“ / Ermittler schalten größten Krypto-Geldwäschedienst ab

22-Jähriger soll laut BKA seit November 2018 die Web-Plattform „Deutschland im Deep Web“ betrieben haben

[datensicherheit.de, 27.10.2022] Laut einer aktuellen Meldung des Bundeskriminalamts (BKA) hat der Darknet-Marktplatz „Deutschland im Deep Web“ über mehrere Jahre als Hauptanlaufstelle für den Handel mit Drogen fungiert und ist demnach jetzt durch Festnahme des mutmaßlichen Betreiber dieser illegalen Plattform außer Betrieb gesetzt worden.

Abbildung: BKA

BKA: Unter der ursprünglichen Erreichbarkeit der Website wurde dieser Sicherstellungsbanner veröffentlicht

BKA und ZCB ermittelten gemeinsam geleitet, um Festnahme am 25. Oktober 2022 vorzunehmen

Die Ermittlungen gegen den mutmaßlichen Administrator von „Deutschland im Deep Web“, einen 22-jährigen Studenten aus Niederbayern, haben das BKA und die „Zentralstelle Cybercrime Bayern“ (ZCB) nach eigenen Angaben gemeinsam geleitet, um dann die Festnahme am 25. Oktober 2022 vorzunehmen.

Im Rahmen der polizeilichen Maßnahmen seien unter Beteiligung eines Staatsanwalts der ZCB zudem zwei Wohnobjekte durchsucht und zahlreiche Beweismittel, darunter Computer, Datenträger und Mobiltelefone, sichergestellt worden.

Diesen durchgeführten Maßnahmen seien monatelange verdeckte und technisch anspruchsvolle Ermittlungen vorausgegangen, um den anonym im Darknet agierenden Tatverdächtigen identifizieren und schlussendlich festnehmen zu können.

Aktuelle Ermittlungen richten sich gegen Betreiber der dritten Version der Darknet-Plattform

Der Darknet-Marktplatz „Deutschland im Deep Web“ wurde laut BKA erstmals im Jahr 2013 im „Tor“-Netzwerk veröffentlicht. 2016 habe der Täter des Amoklaufs in München die damalige Plattform genutzt, um sich die Tatwaffe und Munition zu beschaffen. In der Folge sei die Website 2017 durch das BKA im Auftrag der Generalstaatsanwaltschaft Frankfurt am Main abgeschaltet worden. Der damalige Betreiber sei verhaftet und 2018 zu sieben Jahren Haft verurteilt worden.

Seit 2018 seien unter dem Namen „Deutschland im Deep Web“ zwei neue Fassungen der Plattform erschienen, auf denen unter dem selbst gegebenen Motto „Keine Kontrolle, alles erlaubt“ insbesondere Drogen gehandelt worden seien.

Das aktuelle Strafverfahren richte sich gegen den Betreiber der dritten Version dieser Darknet-Plattform. Er soll diese seit November 2018 administriert haben. Der Beschuldigte stehe im Verdacht, eine kriminelle Handelsplattform im Internet gem. § 127 StGB betrieben zu haben. Das Gesetz sehe hierfür eine Freiheitsstrafe von einem bis zu zehn Jahren vor.

BKA hat Online-Sicherstellungsbanner veröffentlicht

Die Plattform, seit März 2022 nicht mehr erreichbar, habe rund 16.000 registrierte Nutzer gehabt, davon insgesamt 72 aktive Händler.

Damit habe „Deutschland im Deep Web“ zu den größten deutschsprachigen Darknet-Plattformen gehört.

Um auf die Aktivitäten der Ermittlungsbehörden in Bezug auf „Deutschland im Deep Web“ hinzuweisen, wurde unter der ursprünglichen Erreichbarkeit der Website jetzt ein Online-Sicherstellungsbanner veröffentlicht.

[datensicherheit.de, 16.06.2022] Schwache Passwörter wie „123456“ zählten nach wie vor zu den größten Sicherheitsrisiken für Kontoübernahmen durch Cyber-Kriminelle, warnt Digital Shadows im Zusammenhang mit dem neuen Cyber-Threat-Report „Account Takeover in 2022“ – dieser legt demnach das Ausmaß von weltweit geleakten Logindaten im Zusammenhang mit Kontoübernahmen (Account Take Over / ATO) offen. So seien im Darknet mehr als 24 Milliarden Benutzer-Passwort-Kombinationen im Umlauf. Bezogen auf die Weltbevölkerung entspreche dies „vier exponierten Accounts pro Internet-User“. Die Zahl der gestohlenen und offengelegten Zugangsdaten sei damit seit 2020 um rund 65 Prozent gestiegen.

Account Takeover: 6,7 Milliarden der aufgedeckten Logindaten als „unique“ eingestuft

Die Mehrzahl der exponierten Daten betreffe Privatpersonen sowie Verbraucher und umfasse Benutzernamen sowie Passwörter von diversen Accounts – angefangen bei Bankkonten und Onlinehändlern über Streamingdienste und „Social Media“ bis hin zu Unternehmensportalen. Insgesamt 6,7 Milliarden der aufgedeckten Logindaten seien als „unique“ eingestuft und damit erstmals und einmalig auf einem Marktplatz im Darknet zum Verkauf angeboten worden (2020: 5 Milliarden / +34%).

„Angeboten werden die kompromittierten Logindaten in erster Linie über einschlägige Marktplätze sowie Foren im Darknet. Hier hat das cyber-kriminelle Ökosystem in den letzten zwei Jahren deutlich an Umfang und Professionalität gewonnen.“ Neben geleakten Zugangsdaten, Malware und Cracking-Tools könnten interessierte Kunden auch Abo-Dienste und „Premium Services“ rund um Kontoübernahmen abschließen.

„Allein in den letzten 18 Monaten identifizierten die Analysten von Digital Shadows 6,7 Millionen Vorfälle, in denen Logindaten von Kunden auf diversen Plattformen beworben wurden.“ Dazu gehörten die Benutzernamen und Passwörter von Mitarbeitern, Partnern, Kunden sowie von diversen Servern und IoT-Geräten.

Account Takeover durch fehlende Passwort-Hygiene begünstigt

„Größtes Sicherheitsmanko ist laut Studie nach wie vor eine fehlende Passwort-Hygiene. So verwenden Internet-User weiterhin leicht zu erratende Passwörter (z.B. ,Passwort‘) und simple Zahlenfolgen.“

Fast jedes 200-ste Passwort (0,46%) laute „123456“. Beliebt seien außerdem Kombinationen von auf der Computertastatur nahe beieinander liegenden Buchstaben (z.B. „qwertz“, „1q2w3e“). Von den 50 am häufigsten genutzten Passwörtern ließen sich 49 in weniger als einer Sekunde knacken. Einige der dazu benötigten „Tools“ seien für bereits 50 US-Dollar im Darknet erhältlich.

Selbst durch das Hinzufügen von Sonderzeichen (z.B. „@“, „#“) lasse sich das Hacken von Logindaten nur verzögern, nicht aber unbedingt verhindern. Ein zehnteiliges Passwort mit nur einem Sonderzeichen koste Cyber-Kriminelle laut Digital Shadows durchschnittlich 90 Minuten mehr Zeit. Bei zwei Sonderzeichen benötigten Hacker immerhin zwei Tage und vier Stunden.

Problem kompromittierter Anmeldedaten gerät außer Kontrolle und lädt zum Account Takeover ein

„Die Branche bewegt sich zwar mit großen Schritten auf eine passwortlose Zukunft zu. Im Moment scheint das Problem der kompromittierten Anmeldedaten jedoch außer Kontrolle geraten“, so Chris Morgan, „Senior Cyber Threat Intelligence Analyst“ bei Digital Shadows.

Er führt aus: „Kriminelle verfügen über endlose Listen an geleakten oder gestohlenen Zugangsdaten und können sich über die fehlende Kreativität von Anwendern bei der Wahl ihrer Passwörter freuen. Dadurch lassen sich Konten mithilfe von automatisierten und leicht zu bedienenden Cracking-Tools in wenigen Sekunden übernehmen. Viele der Fälle, die wir im Rahmen unserer Studie untersucht haben, hätten durch die Vergabe eines einmaligen und starken Passworts vermieden werden können.“

Um das Risiko von „Account Takover Fraud“ (ATO) auf ein Minimum zu reduzieren, sollten Unternehmen bestimmte Sicherheitsmaßnahmen implementieren und eine umfassende „Threat Intelligence“ aufbauen.

Beispiele für Sicherheitsmaßnahmen gegen Account Takover Fraud

Passwort-Manager
Diese – verfügbar als App auf einem Telefon, Tablet oder Computer – generierten und speicherten komplizierte Passwörter automatisch und vereinfachten die Handhabung für Mitarbeiter.

Multifaktor-Authentifizierung (MFA)
MFA schaffe eine zusätzliche Sicherheitsebene durch das Hinzufügen eines weiteren Faktors zum Authentifizierungsprozess (z. B. PIN, biometrische Daten, USB-Token).

Authentifizierungs-App
Eine solche generiere alle 30 Sekunden einen neuen sechsstelligen Zufallscode, den der Nutzer zur Authentifizierung eingeben müsse.

Kontinuierliches Monitoring von Zugangsdaten
Das kontinuierliche Monitoring von Zugangsdaten von Mitarbeitern, Kunden und Partnern sowie des Unternehmens- und Markennamens helfe, digitale Bedrohungen frühzeitig zu erkennen.

Automatisierte Tools
Scannen des „Open, Deep und Dark Web“ nach geleakten Daten und Alarmmeldung, wenn diese zum Verkauf angeboten werden.

Sensibilisierung
Ein geschärftes Sicherheitsbewusstsein bei Mitarbeitern sowie klare Passwort-Richtlinien verhinderten, dass Passwörter mehrfach vergeben und unternehmenseigene E-Mails für private Konten genutzt werden.

Weitere Informationen zum Thema:

digital shadows
Account Takeover in 2022
https://resources.digitalshadows.com/whitepapers-and-reports/account-takeover-in-2022

datensicherheit.de, 14.06.2022
Betrug: Kontoübernahmen um 58 Prozent angestiegen / „Jetzt kaufen, später zahlen“ – Boom beflügelt Betrug

Anurag Kahol erläutert wie Hacker vorgehen, auf welche Arten sie Daten verwerten und wie Unternehmen das Bewusstsein ihrer Mitarbeiter für Cyber-Angriffe schärfen

[datensicherheit.de, 10.12.2021] Daten sind wertvoll – kein Wunder also, dass Cyber-Kriminelle diesen mit hohem Aufwand nachjagen. Anurag Kahol, „CTO“ bei Bitglass, einem Unternehmen von Forcepoint, erläutert in seiner aktuellen Stellungnahme, wie sie dabei vorgehen, auf welche Arten sie diese verwerten und inwieweit Unternehmen das Bewusstsein ihrer Mitarbeiter für Cyber-Angriffe schärfen können.

Foto: Bitglass

Anurag Kahol: In Belegschaften mitunter der Glaube, Unternehmensdaten könnten für Hacker keine interessante Beute sein…

Vorstellung über Hacker oftmals von Stereotyp geprägt

„Social Engineering“-Angriffstaktiken wie beispielsweise Phishing forderten nicht nur technische Vorsichtsmaßnahmen, sondern auch ein entsprechendes Risikobewusstsein auf Seiten potenzieller Opfer. Kahol führt aus: „Ihr Verhalten kann größeren Schaden verhindern, sollte es zu einem Angriff kommen, der technische Schutzmaßnahmen umgeht. Leider hält sich in Belegschaften mitunter hartnäckig der Glaube, die Unternehmensdaten könnten für Cyber-Kriminelle keine interessante Beute sein.“
Dazu trage vor allem eine Fehleinschätzung des Gegenübers bei. Die Vorstellung von Hackern sei „in der breiten Masse der Bevölkerung“ von einem Stereotyp geprägt: „Der talentierte Programmierer, der als Einzelgänger Ziele aussucht, um sein Können zu erproben. Ein Bild, das in den frühen Zeiten des Internets entstanden ist und nicht zuletzt mit Hilfe der Popkultur bis heute nicht ganz aus den Köpfen verschwunden ist.“

Hacker mittlerweile stark professionalisiert

In den vergangenen Jahrzehnten jedoch habe sich die Cyber-Kriminalität stark professionalisiert. Im Digitalen Zeitalter seien Daten zu einem wertvollen Gut geworden, für welches ein großer Markt existiere. „Und es gibt zahlreiche Akteure, die von der Nachfrage profitieren möchten, notfalls auch jenseits des legalen Geschehens. Es überrascht daher wenig, dass das ,Dark Web‘ sich in den vergangenen Jahren zu einem immer größeren Datenumschlagplatz entwickelt hat“, so Kahol.
Dies gehe aus einer aktuellen Studie von Bitglass hervor. Dazu sei ein falscher Daten-„Honeypot“ über das sogenannte Darknet geteilt und die Zugriffe und Weiterleitung der Daten mit eigener Wasserzeichentechnologie verfolgt worden.

Erkenntnisse aus Honeypot-Versuch für Hacker im Darknet

Die Ergebnisse lieferten einen Einblick in die Beschaffenheit des „Dark Web“ und den Umgang mit illegalen Datensätzen:

Anonymität vereinfacht finstere Machenschaften
Das „Dark Web“ werde immer mehr zum Raum der Anonymität. 2015 seien bereits 67 Prozent der Besucher anonym unterwegs gewesen, gegenüber 2021 mit bereits 93 Prozent. „Dabei waren im Einzelhandel 36 Prozent der Klicks anonym, auf Seiten von Behörden waren es 31 Prozent.“

Daten aus dem Einzelhandel und aus Regierungskreisen besonders beliebt
Die größte Aufmerksamkeit der anonymen „Dark Web“-Nutzergemeinde hätten vermeintliche Daten aus dem Einzelhandel (36 Prozent) und von der US-Regierung (31 Prozent) erlangt.

Cyber-Kriminalität ist international
Während die Aufmerksamkeit häufig auf cyber-kriminelle Handlungen von östlichen Nationalstaaten gelenkt werde, zeige sich, dass IP-Adressen von mutmaßlichen Hackern auch aus US-Staaten, Schweden, Belgien sowie Deutschland stammten.

Gestohlene Daten haben eine große Reichweite und schnelle Verbreitung
„Gelangen Daten ins ,Dark Web‘, können sie weite Kreise ziehen. Binnen 24 Stunden wurden die bereitgestellten Datensätze 1.100-mal aufgerufen.“ Im Jahr 2015 habe es noch zwölf Tage gedauert, um diese Marke zu erreichen. Zudem seien die gesichteten Daten elfmal schneller über alle fünf Kontinente hinweg verbreitet worden.

Hacker rekrutieren eifrig Nachwuchs und nutzen moderne Technologien

Verglichen mit den Ergebnissen des Experiments aus dem Jahr 2015 lasse sich eine klare Entwicklung feststellen: „Der illegale Handel mit Daten floriert und die anonymen Nutzer, die daran Interesse zeigen oder sich gar beteiligen, werden immer mehr.“ Ergänzt werde dies durch einen weiteren beunruhigenden Trend:
Die Cyber-Kriminalität rekrutiere eifrig Nachwuchs und nutze moderne Technologien, um programmier-affinen Neulingen den Einstieg in die finstere Branche zu erleichtern. Die rekrutierten Personalkapazitäten würden wiederum gebündelt, angeleitet und strategisch eingesetzt.

Strategie und Angriffsmotivation der Hacker identifizieren!

Derartige Erkenntnisse sollten Unternehmen nutzen, um ihren Mitarbeitern ein realistisches Bild von Cyber-Kriminellen zu vermitteln. Sie könnten dabei helfen, die Motivation und die Strategie hinter Cyber-Angriffen zu verstehen und im Ernstfall die Risiko-Einschätzung zu treffen. Folgende Lektionen sind laut Kahol in diesem Zusammenhang wichtig:

1. Unternehmen und deren Daten können Primärziel sein
„Dies ist in der Regel das erste Szenario, das man für möglich hält. Industriespionage ist ein klassischer Beweggrund hinter derartigen Angriffen.“ Mit der Professionalisierung der Cyber-Kriminalität gebe es auch dafür neue Möglichkeiten: Beispielsweise könnten Wettbewerber Akteure aus dem „Dark Web“ mit einem „Hack“ oder dem Entwenden bestimmter Unternehmensdaten beauftragen, so dass auch diese künftig häufiger auftreten könnten.

2. Daten-Ausbeute hat nicht immer unmittelbaren monetären Wert
Manche Betriebe seien für Hacker nur deshalb interessant, „weil sie in Geschäftskontakt mit größeren Unternehmen, also lukrativeren und entsprechend schwierigeren Angriffszielen, stehen“. Mit Angriffen auf Dienstleister und Zulieferer versuchten Cyber-Kriminelle durch Entwendung von Daten Wege zu finden, übergeordnete Ziele zu infiltrieren. Der E-Mail-Austausch zwischen authentischen Ansprechpartnern könne bereits helfen, um eine glaubhafte Betrugskampagne gegen ein Partnerunternehmen aufzusetzen.

3. Hacker nutzen breite Sammelkampagnen
Darüber hinaus gebe es auch breit angelegte Datendiebstahl-Kampagnen, welche nicht speziell auf einzelne Unternehmen zugeschnitten seien, sondern lediglich auf eine vielfältige Daten-Ausbeute abzielten. Geeignete Datensätze aus derartigen Kampagnen würden in der Regel an Akteure weitergegeben, „die für kriminelle Projekten mit größerem Umfang Verwendung dafür haben könnten“.

Verständnis schaffen für richtigen Umgang mit diffuser Bedrohung durch Hacker!

„Hacker-Angriffe sind für Unternehmen seit jeher eine diffuse Bedrohung. Um eine ,Zero Trust‘-Sicherheitsstrategie möglichst wirksam zu etablieren, sollten Unternehmen ihren Mitarbeitern helfen zu verstehen, welche Zielsetzungen hinter einem Datendiebstahl stecken können und welche Angriffstaktiken dafür genutzt werden“, so Kahol.
Mit einem derartigen umfassenden, realistischen Bild der Angreifer seien Mitarbeiter wachsamer gegenüber möglichen Risiken und reflektierten ihr eigenes Verhalten kritischer. „Im Falle eines Angriffs, der auf ,Social Engineering‘-Taktiken setzt, können sie so mit größerer Wahrscheinlichkeit die richtige Entscheidung treffen und Schäden abwenden.“

Weitere Informationen zum Thema:

bitglass
2021 Where’s Your Data? Experiment Report

datensicherheit.de, 10.11.2021
Köder-Angriffe: Hacker werfen ihre Phishing-Netze aus / Dr. Klaus Gheri benennt Best Practices zum Schutz vor Köder-Angriffen

datensicherheit.de, 19.10.2021
Check Point: Warnung vor Social Media als Phishing-Falle / Q3 Brand Phishing Report von Check Point veröffentlicht

Eine Tour durch eine  nahezu perfekte Schattenwirtschaft mit seinen Strukturen

[datensicherheit.de, 18.11.2021] Zum heutigen Finale der Security Week um 17.00 Uhr geht es auf eine geführte Tour durch das Darknet als Ökosystemen mit seinen Strukturen. Eine nahezu perfekte Schattenwirtschaft, die tyoischen Wirtschaftsstrukturen in nichts nachsteht. Im Rahmen der Veranstaltung Deep Dive der Security Week wird der Frage nachgegangen wie sich das globale Cybercrime-Ökosystem zusammensetzt und warum Cyberkriminelle es immer noch so einfach haben ihr Business zu betreiben.

Gemeinsam mit dem Threat Intelligence und Darknet-Experten von Cybereason erhalten Sie live Einblicke ins Darknet und erfahren mehr zu tagesaktuellen Angriffen, Angeboten und den Urhebern der bekanntesten Cybercrime-Angriffe in jüngster Zeit.

Mit dabei sind:

• Arne Schönbohm, Präsident BSI | Grusswort
• Ammar Alkassar, Bevollmächtigter des Saarlandes für Innovation und Strategie, Chief Information Officer (CIO)
• Elisabeth Greiner, Bayerisches Landesamt für Verfassungsschutz, Team Wirtschaftsschutz
• Andreas Kunz, CIO Connecting Media
• Abdelkader Cornelius, Corporate Engineer DACH bei Cybereason

Kostenfreie Anneldung und Teilnahme unter:

• https://theiner.de/secweek oder
• https://www.linkedin.com/events/securityweek-einewocheknow-how-6852993959422107648/

Weitere Informationen zum Thema:

datensicherheit.de, 27.10.2021
SECURITYWEEK: Unternehmenssicherheit als Chefsache

[datensicherheit.de, 17.05.2021] Sicherheitsforscher von Check Point möchten alle Internet-Nutzer daran erinnern, „dass ein sorgloser Umgang mit personenbezogenen Daten zu großem Schaden führen kann“. Sie beobachten demnach „eine starke Zunahme von gestohlenen personenbezogenen Daten, die illegal erworben werden können“. Schuld daran seien vor allem Datenlecks großer Web-Plattformen.

Cyber-Kriminelle verkaufen Daten und Informationen über persönliche Dokumente im Darknet

Die Check Point Software Technologies Ltd. warnt in einer aktuellen Stellungnahme vor Cyber-Kriminellen, welche Daten und Informationen über intime Dokumente, wie Führerscheine und Ausweise, im Darknet verkauften. Die Experten möchten nach eigenen Angaben damit in das Bewusstsein rufen, wie unsicher viele Nutzer oft mit ihren personenbezogenen Daten umgehen.
Eine Studie zeige, dass die Zahl der öffentlich bekanntgewordenen Datenlecks im Jahr 2020 verglichen mit 2019 zwar um 48 Prozent gesunken, jedoch das Volumen der dabei gestohlenen Datensätze um 141 Prozent auf 37 Milliarden gestiegen sei.
Dazu passe auch folgende Erkenntnis: „Im April 2021 wurde weltweit bekannt, dass die persönlichen Daten von 500 Millionen Facebook-Nutzern abhandengekommen waren, einschließlich ihrer Telefonnummern, E-Mail-Adressen und Standorte.“ Delikat dabei sei, dass diese Daten „aufgrund einer Sicherheitslücke gestohlen werden konnten, welche Facebook bereits im August 2019 geschlossen haben will“.

Solche Daten können Hackern Zugänge zu Online-Konten preisgeben

Derlei Daten seien bei Hackern sehr begehrt, da sie die Zugänge zu Online-Konten preisgeben könnten. Damit könnten Betrug und Hochstapelei einfach durchgeführt werden. Eine Untersuchung von Privacy Affairs nenne die Preise, die im Darknet für verschiedene Arten von personenbezogenen Daten verlangt würden:
„Kreditkartendaten liegen zwischen 10 und 29 Euro (12 und 35 US-Dollar), gestohlene Online-Banking-Zugangsdaten für Konten mit einem Mindestguthaben von 1.650 Euro (2.000 US-Dollar) bei 54 Euro (65 US-Dollar). Für die Zugangsdaten zu einem ,Gmail‘-Konto werden bis zu 124 Euro (150 US-Dollar) fällig.“

Check Point empfiehlt folgende Maßnahmen, um Personen, ihre Daten und Geräte zu schützen:

• Niemals Anmelde-Daten weitergeben
  Der Diebstahl von Zugängen sei sehr beliebt bei Hackern. Viele Menschen verwendeten dieselben Benutzernamen und Kennwörter für viele Online-Konten, so dass der Diebstahl der Informationen eines einzigen Kontos einem Kriminellen Tür und Tor öffne. „Geben Sie diese Information daher niemals weiter und verwenden Sie Passwörter nie zweimal.“
• Misstrauisch gegen E-Mails zum Zurücksetzen von Kennwörtern sein
  „Wenn Sie unaufgefordert eine E-Mail zum Zurücksetzen des Passworts erhalten, besuchen Sie die Webseite direkt, aber klicken sie niemals auf den Link in der Nachricht.“
• Programme immer aktualisieren
  Hacker fänden oft Löcher in Anwendungen oder sogar Sicherheitslösungen, weil sie Schwachstellen beobachteten und versuchten, diese schnell ausnutzen. Natürlich suchten viele Entwickler ebenfalls dauerhaft nach Schwachstellen und stellten Updates oder Patches zur Verfügung. Aus diesem Grund sei eine der besten Schutzmaßnahmen gegen diese Angriffe die ständige Aktualisierung aller Programme auf die aktuelle Version.
• Zwei-Faktor-Authentifizierung einführen
  Dieses Prinzip zwinge Benutzer dazu, ihre Identität auf mehrere Arten zu verifizieren, bevor sie Zugang zu einem System erhielten, wie einen SMS-Code oder eine Bestätigung über eine App auf dem Smartphone. Das Kennwort allein reiche nicht mehr. „Auf diese Weise können sich Cyber-Kriminelle keinen Zugang mehr über den bloßen Diebstahl des Benutzernamens und Passworts verschaffen.“
• Moderne Sicherheitslösungen einsetzen
  Die meisten Ransomware-Angriffe könnten tatsächlich rechtzeitig erkannt und beseitigt werden. Jedoch müssten entsprechende Sicherheitslösungen vorhanden sein. „Ein konsolidiertes System von Sicherheitslösungen, die sogar fortschrittliche Zero-Day-Attacken erkennen, bietet sich als umfangreiche IT-Sicherheitsarchitektur an.“

Weitere Informationen zum Thema:

datensicherheit.de, 01.09.2020
Top 5 der Phishing-Angriffe in Deutschland

PRIVACY Affairs, Miguel Gomez, 09.05.2021
Dark Web Price Index 2020

INSIDER, Aaron Holmes, 03.04.2021
533 million Facebook users‘ phone numbers and personal data have been leaked online

[datensicherheit.de, 03.05.2021] Laut einer aktuellen Meldung des Bundeskriminalamts (BKA) hat Mitte April 2021 die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – zusammen mit dem BKA in einem umfangreichen Ermittlungskomplex wegen des Verdachts der bandenmäßigen Verbreitung kinderpornographischer Inhalte insgesamt sieben Objekte in Nordrhein-Westfalen, Bayern und Hamburg durchsucht. Dabei seien „drei mutmaßlich Verantwortliche und Mitglieder einer der weltweit größten kinderpornographischen Darknet-Plattformen mit der Bezeichnung ,BOYSTOWN‘ festgenommen“ worden. Zeitgleich seien auf Ersuchen der deutschen Strafverfolgungsbehörden die Durchsuchung und Festnahme eines weiteren mutmaßlichen Bandenmitglieds in der Region Concepción (Paraguay) erfolgt.

Ausschließlich über das Darknet zu erreichende Web-Plattform mit zuletzt mehr als 400.000 Mitgliedern

Die ausschließlich über das sogenannte Darknet zu erreichende kinderpornographische Plattform „BOYSTOWN“ habe seit mindestens Juni 2019 existiert und habe zuletzt mehr als 400.000 Mitglieder gezählt. „Die Plattform war international ausgerichtet und diente dem weltweiten Austausch von Kinderpornographie durch Plattform-Mitglieder, wobei hauptsächlich Missbrauchsaufnahmen von Jungen ausgetauscht wurden.“ Das Forum der Plattform sei dabei in verschiedene Bereiche unterteilt gewesen, um eine strukturierte Ablage und ein einfaches Auffinden der kinderpornographischen Inhalte zu ermöglichen.
„Unter den geteilten Bild- und Videoaufnahmen befanden sich auch Aufnahmen des schwersten sexuellen Missbrauchs von Kleinkindern.“ Neben dem Forenbereich existierten demnach „zwei angegliederte Chat-Bereiche, die der Kommunikation der Mitglieder untereinander und dem Austausch kinderpornographischer Missbrauchsaufnahmen von Jungen und Mädchen dienten“. Für diesen Zweck seien verschiedene Sprachkanäle eingerichtet worden, um den Mitgliedern die Kommunikation zu erleichtern.

In Deutschland Verhaftete maßgeblich mit technisch-organisatorischem Betrieb der Darknet-Seite befasst

Den operativen Maßnahmen seien mehrmonatige aufwändige Ermittlungen im Rahmen einer durch Deutschland initiierten „Task Force“ unter der Koordination von Europol und Beteiligung von Strafverfolgungsbehörden in den Niederlanden, Schweden, Australien, den USA sowie Kanada und vorausgegangen und hätten sich gegen vier deutsche Staatsangehörige im Alter von 40 bis 64 Jahren gerichtet: „Bei den drei Hauptbeschuldigten handelt es sich um einen 40 Jahre alten Mann aus dem Kreis Paderborn, einen 49 Jahre alten Mann aus dem Landkreis München und einen 58 Jahre alten, aus Norddeutschland stammenden Mann, der seit mehreren Jahren in Südamerika lebt.“
Diesen drei Männern werde vorgeworfen, die kinderpornographische Plattform als Administratoren betrieben zu haben. „In dieser Funktion sollen sie maßgeblich mit der technischen Umsetzung der Darknet-Seite, der Einrichtung und Wartung der Serverstruktur und der Mitgliederbetreuung auf der Plattform beschäftigt gewesen sein.“ Zudem hätten die Mitglieder der Plattform von ihnen Sicherheitshinweise für das sichere Surfen auf „BOYSTOWN“ erhalten, um das Entdeckungsrisiko vor den Strafverfolgungsbehörden zu minimieren. Gegen den weiteren Beschuldigten, einen 64 Jahre alten Mann aus Hamburg, bestehe der Verdacht sich im Juli 2019 als Mitglied auf „BOYSTOWN“ registriert zu haben und – als einer der aktivsten Nutzer der Plattform – über 3.500 Beiträge gepostet zu haben.

Darknet-Forum BOYSTOWN und weitere Chat-Plattformen abgeschaltet

„Die Beschuldigten wurden nach Durchsuchungen ihrer Wohnräumlichkeiten festgenommen und befinden sich aufgrund der Haftbefehle des Amtsgerichts Frankfurt am Main seit dem 14. bzw. 15.04.2021 in Untersuchungshaft.“
Für den Beschuldigten in Paraguay liege ein internationaler Haftbefehl des Amtsgerichts Frankfurt am Main vor, auf dessen Grundlage die Auslieferung des Tatverdächtigen nach Frankfurt am Main erfolgen solle. Im Anschluss an die Durchsuchungsmaßnahmen seien das kinderpornographische Forum „BOYSTOWN“ und weitere Chat-Plattformen abgeschaltet worden.

Weitere Informationen zum Thema:

datensicherheit.de, 04.12.2020
Kinderpornographisches Forum im Darknet: Betreiber festgenommen

Arbeitslose versuchen zu Komplizen Cyber-Krimineller zu werden, um etwas Geld zu verdienen

[datensicherheit.de, 20.03.2021] Sicherheitsforscher von Check Point haben nach eigenen Angaben „eine traurige Auswirkung der ,Corona‘-Krise offengelegt“ – einige Arbeitssuchende versuchten im sogenannten Darknet zu Komplizen von Cyber-Kriminellen zu werden, „um endlich etwas Geld zu verdienen“. Mutmaßliche Arbeitslose aus aller Welt versuchten sich so Hackern anzudienen.

Foto: Check Point

Oded Vanunu: „Entwicklung spiegelt schwierige finanzielle und soziale Situation der Corona-Krise…“

Darknet als illegales Arbeitsamt für IT-versierte Arbeitslose

Die Menschen bewerben sich laut Check Point mit Sprüchen, wie: „Verspreche, keine dummen Fragen zu stellen“, oder „24/7 verfügbar“, oder „möchte Geld über das Internet um jeden Preis verdienen“. Derartige Anfragen hätten die eigenen Sicherheitsforscher in Hacker-Foren lesen können.
Bislang sei das Geschäft umgekehrt gelaufen, „also Hacker boten dort ihre Dienste gegen Geld an“. Nun würden diese Foren gewissermaßen zum illegalen Arbeitsamt im Darknet. Seit Beginn des Jahres 2021 hätten die Experten dort viele Dutzend solcher Anfragen gefunden.

Negative Auswirkungen der Corona-Maßnahmen auf Wirtschaft generieren Zuwachs an Arbeitslosen

In einigen Foren seien sogar monatlich zehn bis 16 neue Postings registriert worden – üblicherweise kämen derlei Anfragen nicht vor. Die Sicherheitsforscher glauben, „dass diese plötzliche Zunahme solcher Anfragen auf die negativen Auswirkungen der ,Corona‘-Maßnahmen auf die Wirtschaft zurückgehen, die zu hoher Arbeitslosigkeit führen“.
Diese Anfragen variierten in ihrer Art: In einem Fall frage ein Nutzer nach einem einmaligen – wohl hochklassigen – Auftrag für 200.000 US-Dollar oder mehr, in einem anderen suche eine Nutzerin eine monatlich bezahlte Rolle und betone ihre Erfahrung mit „Scamming“ und der Risiko-Bewertung cyber-krimineller Taten.

Anzahl der Beiträge von Arbeitslosen in Darknet-Foren nehmen zu

„Selten sehen wir eigentlich, dass Leute im Darknet und in Hacker-Foren nach illegalen Jobs suchen. Als wir plötzlich vermehrt Anfragen sahen, bei kriminellen Aktivitäten zu helfen, waren wir alarmiert und erschrocken zugleich. Menschen, die anbieten, für Cyber-Kriminelle zu arbeiten, bringen alle in große Gefahr“, erläutert Oded Vanunu, „Head of Products Vulnerabilities Research“ bei Check Point Software Technologies, die Untersuchung.
Daher hätten sie beschlossen, eine Handvoll Hacking-Foren über die letzten Monate genau zu beobachten. Vanunu berichtet: „Wir stellten also fest, dass die Anzahl der Beiträge von Arbeitssuchenden in diesen Foren stetig zunahm. Nahe liegt die Vermutung, dass andere Hacker-Foren den gleichen Trend aufweisen.“

Verzweiflung treibt Arbeitslose, um über die Runden zu kommen

Diese Entwicklung sorge für eine gefährliche Kultur im Darknet. Es sollte der letzte Ort sein, wo Menschen nach Arbeit suchen, doch verzweifelte Zeiten erforderten natürlich verzweifelte Maßnahmen, „und manche wenden sich nun den dunklen Hacking-Foren im Internet zu, um über die Runden zu kommen“.
Vanunu fasst zusammen: „Wir glauben, dass diese Entwicklung die schwierige finanzielle und soziale Situation spiegelt, welche die ,Corona‘-Krise vielen Menschen aufzwingt. Dieser traurige Aufschrei von einigen Menschen sollte letztlich jeden beunruhigen, der illegale kriminelle Aktivitäten mindern möchte.“

Weitere Informationen zum Thema:

datensicherheit.de, 26.01.2021
Warum eine umfassende IT-Sicherheitsarchitektur wichtig wird

Check Point Blog
Breaking bad: desperate job seekers turn to the Darknet and hacking forums for opportunities