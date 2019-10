Zum zweiten Mal in zwei Jahren haben Forscher von Flashpoint die auf Dark- und Deep-Web-Untergrundmarktplätzen aufgerufenen Preise unter die Lupe genommen. Ergebnis: Die Preise sind stabil.

So kosten beispielsweise Datensätze, die als Grundlage für Identitätsdiebstahl herhalten und neben Name, Geburtsdatum auch die Anschrift beinhalten ("Fullz") zwischen 4 und 10 US-Dollar pro Paket. In Deutschland genügen diese Angaben oftmals, um online auf Rechnung einkaufen zu können. Gehören noch Finanzinformationen des Opfers mit zum Datensatz, steigen die Preise auf bis zu 65 US-Dollar. Der genaue Preis hängt bei Informationen über US-Staatsbürger von deren Credit Score ab, einer dem Schufa-Score vergleichbaren Bewertung.

Daten von Bürgern aus anderen Regionen der Welt, beispielsweise Europa oder Australien, sind erheblich teurer, heißt es im Flashpoint-Report. Für solche Fullz werden hunderte von US-Dollar aufgerufen. Der wahrscheinliche Grund: ein knapperes Angebot an geklauten Datensätzen. So kostet der Zugriff auf ein deutsches Girokonto, dessen Verfügungsrahmen bei 7000 Euro liegt, 175 US-Dollar. Zum Vergleich: Die Zugangsdaten für ein US-Bankkonto mit einem Verfügungsrahmen von 10.000 US-Dollar sind schon für 25 US-Dollar im Angebot.

Ein ähnliches Bild zeigt sich auch bei Urkunden wie Reisepässen: Während Photoshop-Templates, in die Kriminelle beliebige Namen und Geburtsdaten eintragen können, im Fall von US-Pässen 18 US-Dollar kosten, sind für deutsche Reisepass-Templates im PSD-Format 46 US-Dollar fällig. Ein vollständig gefälschter Reisepass soll hingegen bis zu 5000 US-Dollar kosten.

Preisanstieg bei DDoS-Dienstleistern

Laut Flashpoint lag das obere Ende der Mietpreise für ein DDoS-Botnet bei gut 30 US-Dollar. Inzwischen würde für solche Angriffe auf Online-Angebote ein Mehrfaches fällig. Je nach Bandbreite und Dauer der Attacke liegen die Preise zwischen 1 und 150 US-Dollar. Für den Höchstpreis ist ein einstündiger DDoS-Angriff auf einen von Banken, Regierungen oder Militärs betriebene Online-Dienst zu bekommen. Herkömmliche, aber mit DDoS-Schutz versehen Seiten kann man schon für 25 Dollar pro Stunde attackieren lassen.

Per RDP (Remote Desktop Protocol) zugängliche Maschinen sind ebenfalls im Angebot. Kriminelle verwenden sie, um Nutzerkonten zu übernehmen, Spam zu verschicken oder für Kreditkartenbetrügereien. Durch den Missbrauch der IP-Adressen der Opfer verwischen die Kriminellen ihre Spuren beziehungsweise unterlaufen so Geolokations-Checks.

Die Anbieter der gehackten RDP-Server klassifizieren die Maschinen daher unter anderem nach Land, Art der IP-Adresse (häuslich oder geschäftlich), Eignung für Kreditkarten- oder Online-Banking-Betrug und so weiter. Auch hier variieren die Preise je nach Region und Vielseitigkeit: RDP-Zugang zu einem in den USA befindlichen Rechner gibt es ab 5 US-Dollar, für den Rest der Welt werden über 20 Dollar fällig. Rechner, die den Login in das PayPal-Konto des Opfers erlauben, kosten ab 250 US-Dollar – inklusive Fullz-Datensatz. (siko)