Hacker als Security-Dienstleister

SicherheitSicherheitsmanagement

Eine neue Generation Cyberkrimineller gewinnt das Vertrauen ihrer Opfer, indem sie sich genau wie legale IT-Service-Anbieter verhält und beispielsweise Support-Dienste anbietet.

Hacker, Virenautoren und Online-Kriminelle operieren schon länger wie Unternehmen. Nach Erkenntnissen von Kaspersky Lab expandieren diese Black-Hat-Organisationen und bieten ihren Opfern inzwischen auch technische Unterstützung und Kundendienst an. In gewisser Weise imitieren sie Sicherheitslösungsanbieter.

Die Experten von Kaspersky Lab berichten, dass sie kriminelle Organisationen beobachten, die Personen, die Viren und andere Malware heruntergeladen haben, Unterstützung per E-Mail, Live-Chat und Telefon anbieten, um die Schadsoftware zu entfernen. In den meisten Fällen handelt es sich dabei um einen Trick, um dem Anwender noch mehr Schädlinge auf den Computer zu spielen. Dennoch bietet eine wachsende Anzahl an kriminellen Organisationen inzwischen legitimen Support an, um Vertrauen zu gewinnen und Zuversicht zu wecken. Das alles ist Teil eines ausgeklügelten Geflechts aus Betrug und Social Engineering.

Cybercrime als Geschäftsbetrieb

Diese von Hackern betriebenen Support-Dienste sind keineswegs kurzlebige Operationen. Auf einer Präsentation in New York am Dienstag hat Kasperskys Senior Researcher Nico Brulez die Tests der Support-Leistungen mehrerer gefährlicher Websites beschrieben, die die Anwender dazu bringen wollen, Scareware oder gefälschte Sicherheitssoftware zu installieren. Man nimmt den Anwendern Geld für etwas ab, das rein gar nichts bewirkt. Brulez berichtet davon, dass diese getesteten Betrüger-Netzwerke echte Personen einstellen, um Live-Chat-Sessions und Telefonberatung bereitzustellen. Einige bieten ihre Dienste sogar rund um die Uhr, mehrsprachig und mit einer Geld-zurück-Garantie an.

Dahinter steht ein an Kennzahlen orientierter Geschäftsbetrieb. Die kriminellen Elemente setzen klare Ziele, strukturieren ihre Organisation, koordinieren ihre Operationen und messen die Erfolge. Kaspersky-Forscher David Emm erläutert, dass viele der Organisationen den Traffic ihrer Botnetze sehr genau auswerten, die Zahl der infizierten Rechner kontrollieren und die Beute zählen, die sie mit ihren Scareware-Verkäufen und Datendiebstählen durch Malware verdienen. Das ist klassische Qualitätssicherung, die W. Edwards Deming stolz gemacht hätte.

Rechtmäßige IT-Dienstleister nachzuahmen oder sich für solche auszugeben, ist kein neuer Trick. Erst kürzlich haben britische Behörden Gauner entlarvt, die sich als Microsoft-Partner ausgegeben haben und Heimanwendern und Kleinunternehmen gefälschte Abonnements für die Aufrüstung von Altsystemen und Schutzmechanismen verkauften. Scareware, ein bevorzugtes Werkzeug krimineller Gruppierungen, ist so gestaltet, dass sie aussieht und sich verhält wie normale Software, die aber einzig und allein dem Zweck dient, die User auszutricksen und ihnen Software zu verkaufen, die sie weder wollen noch brauchen. Und die Malware nutzt dies aus, um normale Fehlerbehandlungsprozesse und Meldungen des Betriebssystems gegen den Anwender auszuspielen. Er soll dazu verleitet werden, das System mit bestimmten Änderungen und Eingriffen für weitere unberechtigte Zugriffe zu öffnen.

Die Kaspersky-Experten behaupten auch, dass digitale Zertifikate, die in Software und Updates eingesetzt werden, ein immer weniger effektives Mittel sind, um legitime und nicht legitime Anwendungen zu unterscheiden. Hacker stehlen und fälschen solche Zertifikate einfach für ihre Scareware. Sogar schlechte Fälschungen haben beste Chancen, einer Überprüfung standzuhalten. Kaspersky hat festgestellt, dass Microsoft Windows dem Anwender nur eine Meldung präsentiert, wenn ein Zertifikat in Ordnung ist. Es warnt jedoch nicht vor schlechten Zertifikaten. Kaspersky-Forscher Roel Schouwenberg bezeichnet diesen Windows-Prozess als »suboptimal«.

Social Engineering ist das Marketing der Hacker

Methoden, die ersonnen wurden, um Anwender durch Tricks dazu zu bringen, auf Links zu klicken, verseuchte Websites zu besuchen und ihre persönlichen Daten und Finanz-Informationen preiszugeben, nennt man in der Hacker-Welt auch Social Engineering. Nachdem die kriminellen Elemente immer häufiger Geschäftsstrukturen annehmen, könnte man auch genauso gut von Marketing und Kommunikation sprechen. Kaspersky warnt davor, dass diese Organisationen immer neue und ausgeklügeltere Methoden entwickeln, um nichtsahnende PC-Anwender zu manipulieren. Sie werden ausgenutzt und machen sich dabei auch noch zu Mithelfern.

Diese sich weiterentwickelnden Verbrecherorganisationen sehen aus gutem Grund wie rechtmäßige Sicherheitslösungsanbieter und Softwarehersteller aus: Vertrauen. Sie brauchen das Vertrauen ihrer Opfer, um ihr schädliches und irreführendes Werk zu vollbringen. Als rechtmäßige Quelle für Software und Dienstleistungen aufzutreten, detaillierte technische Ratschläge zu geben und Kundenbetreuung nach hohen Qualitätsstandards anzubieten, ist ein Weg, das allgemein anerkannte und deshalb oft automatisch gesetzte Vertrauen in professionelle IT-Service-Unternehmen widerzuspiegeln.

Verschiedene Anläufe wurden unternommen, einen Standard für die Vertrauenswürdigkeit von Sicherheits-Services zu etablieren. CompTIA bietet seine Sicherheits-Zertifizierungen, und verschiedene Hersteller haben Websiegel herausgebracht, die die Legitimität ihrer Partner-Seiten belegen sollen. Aber auch die Prüfung von Sicherheitsanbietern wird nicht ausreichen, weil Hacker nicht davor zurückscheuen, solche Gütesiegel zu kompromittieren, wie sie es im Falle von Microsoft getan haben.

So wie Kaspersky die Situation beschreibt, könnten sich Sicherheitsanbieter bald im Wettbewerb mit betrügerischen Organisationen befinden und mit Kriminellen konkurrieren, die gute oder sogar bessere Leistungen anbieten – zumindest auf den ersten Blick.