Die neuen Tricks der Internet-Gauner

Erpressung mit gesperrten PCs, kommerzielle Exploit-Kits im Leasing-Modell und ein Phishing-Revival mit geklauten Adressdaten – die Maschen der Cyber-Gauner werden feiner.

Der Schädling, den ich bei Hilferufen von Lesern oder Bekannten seit einiger Zeit am häufigsten vorfinde, ist der sogenannte BKA-Trojaner, der in vielen verschiedenen Varianten kursiert. Das heißt natürlich nicht, dass Online-Banking-Betrug mit Zeus oder SpyEye verschwunden wäre. Aber der BKA-Trojaner hat der einst weitverbreiteten Dummy-Antiviren-Software beim Geschäft mit der Angst den Rang abgelaufen.

Das Prinzip der neuen Scareware-Generation ist immer das gleiche: Es erscheint eine bildschirmfüllende Meldung, dass der Rechner gesperrt wurde. Als Absender der Nachricht firmieren BKA, Bundespolizei, BSI oder gerne auch die GVU oder Microsoft – Hauptsache, es strahlt irgendwie Autorität aus. Das unterstützen Insignien der Macht wie Bundesadler, Landesflagge oder Polizeiabzeichen. Eine Variante blendete sogar ein Echtzeitbild einer angeschlossenen Webcam ein. Sie sendete dabei jedoch gar keine Daten ins Netz – es geht allein um den Eindruck allgegenwärtiger Überwachung, der das Opfer einschüchtern soll. Offenbar mit Erfolg: „Ganz schön scary“ meinte das hilfesuchende Opfer, als sie den Rechner präsentierte.

Die angezeigte Meldung beschuldigt den Anwender verschiedener Formen des Betrugs oder Missbrauchs. Offenbar experimentieren die Gauner dabei ein wenig. Manchmal kommt der Trojaner mit knallharten Anschuldigungen wie dem Besitz und der Verbreitung von Kinderpornografie. Andere Versionen spekulieren auf das schlechte Gewissen und fabulieren von Raubkopien, nichtlizenzierter Software und ähnlichen Dingen, bei denen der Betroffene nicht ganz ausschließen mag, dass so was auf seinem Rechner mal gefunden worden sein könnte.

Der Rechner wurde jedenfalls vorgeblich gesperrt, um „weiteren Missbrauch zu verhindern“, „Beweise zu sichern“ oder Ähnliches. Tatsächlich lässt sich Windows nicht mehr benutzen; je nach Trojaner-Variante funktionieren sogar Tricks wie der Aufruf des Task-Managers via Strg + Alt + Entf oder das Booten in den abgesicherten Modus nicht mehr.

Erpressung

Eines haben all diese Trojaner-Varianten gemein: Man kann sich angeblich loskaufen. Auch hier variiert der Wortlaut, das Prinzip bleibt jedoch immer gleich. Gegen eine Mahngebühr, ein Bußgeld oder eine Geldstrafe in Höhe von irgendetwas zwischen 50 und 250 Euro würden die Anschuldigungen fallen gelassen und der Rechner wieder freigeschaltet. Das Geld ist über eines der Internet-Bezahlverfahren Paysafecard, Ukash oder neuerdings auch MoneyPak zu transferieren.

Die funktionieren so, dass man gegen Bezahlung Codes erwirbt, die einen bestimmten Geldwert repräsentieren – gängige Stückelungen sind 10, 20 und 50 Euro. Gibt man diese Codes weiter, kann der Empfänger damit anonym einkaufen gehen oder sich den Gegenwert vom Herausgeber wieder in echtem Geld auszahlen lassen. Was diese Internet-Währungen für Betrügereien besonders geeignet macht, ist die Tatsache, dass es einen sehr aktiven Untergrundmarkt gibt. So verscherbeln die Betrüger die ergaunerten Codes in größeren Stückzahlen zu einem Teil ihres Werts weiter. Strafverfolger, die das Geld zurückverfolgen, verzweifeln an unzähligen Zwischenstationen, die natürlich keine Ahnung haben, von wem sie ihre Codes erworben haben.

Die Trojaner-Seuche: BKA, Bundespolizei, GVU oder Microsoft haben angeblich den Rechner gesperrt. Die Hoffnung, dass nach einer Bezahlung der Rechner freigeschaltet wird, ist naiv. In der Realität ist das Geld futsch und der Rechner weiterhin verseucht. Trotzdem floriert das Geschäft. Andreas Buick von der Staatsanwaltschaft Göttingen, die für die Ermittlungen in dieser Erpressungsserie zuständig ist, erklärte gegenüber c’t, dass bundesweit mittlerweile circa 20 000 Strafanzeigen eingegangen sind. „In etwa 2000 Fällen haben die Anzeigeerstatter den geforderten Geldbetrag gezahlt“ resümiert der Staatsanwalt. Darüber hinaus sei von einer „hohen Dunkelziffer“ auszugehen. Somit ist es wohl realistisch, von mehreren hunderttausend Opfern auszugehen – das Ganze ist also ein Millionengeschäft.

Ein interessanter Randaspekt ist die Tatsache, dass diese Fälle als Auslandsstraftaten gewertet werden, weil die Täter vermutlich im Ausland sitzen, und somit nicht in die polizeiliche Kriminalstatistik eingehen. Kein Wunder, dass Bundesinnenminister Friedrich erfreut eine rückläufige Zahl der Internet-Straftaten und eine „positive Gesamttendenz“ bilanziert.

Dabei ist längst nicht mehr von einem Einzeltäter oder auch nur einer einzelnen Tätergruppe auszugehen. Ermittler erklärten gegenüber c’t, dass der Trojaner bereits als Bausatz im Untergrund gehandelt wird, der sich einfach anpassen lässt. So kommt das „Erfolgskonzept“ auch international zum Einsatz, unter anderem in Spanien, Portugal und Frankreich. In den USA sah sich das FBI erst kürzlich genötigt, eine Warnung zu „Reveton“ – so werden die BKA-Trojaner international bezeichnet – herauszugeben.

Innenleben

Anders als die verbreiteten Online-Banking-Trojaner wie SpyEye, Zeus und Sinowal, die mittlerweile auf einem sehr hohen technischen Niveau operieren, sind die meisten BKA-Trojaner recht simpel gestrickt. Die Installationsroutine trägt sie in einem der gängigen Autostart-Einträge von Windows ein; nicht selten kopiert sie dazu den Trojaner sogar nur in den Autostart-Ordner des gerade angemeldeten Anwenders. Eventuell deaktiviert sie dabei noch via Registry diverse Rettungsanker wie den Task Manager (HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System DisableTaskMgr) oder den Registry Editor (HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools). Anschließend erscheint nach der Anmeldung oder manchmal auch erst beim Herstellen einer Internet-Verbindung der Sperrbildschirm.

Dieser einfache Aufbau macht es besonders schwer, neue Varianten zu erkennen. Da ist nicht viel, woran sich ein Virenwächter orientieren könnte: Ein Programm, das ein paar Registry-Einträge setzt und ein Meldungsfenster anzeigt – das trifft auf sehr viele Programme zu. Und so verwundert es kaum, dass sich die jeweils aktuellen Versionen immer wieder am Virenschutz vorbeimogeln können.... (ju)

Den vollständigen Artikel finden Sie in c't 20/2012.