[datensicherheit.de, 14.01.2021] Check Point hat in einer aktuellen Meldung abermals vor Impfstoff-Betrügerei im sogenannten Darknet gewarnt – demnach explodiert der Schwarzmarkt derzeit, „was Angebotsvielfalt und Preise betrifft“. Die Forscher haben nach eigenen Angaben sogar den Feldversuch gewagt.

Betrüger boten angeblich Dosen gängiger Impfstoffe an

Check Point Research, die Forschungsabteilung der Check Point® Software Technologies Ltd., hatte bereits im Dezember 2020 vor Betrügereien im Darknet rund um Impfstoffe gewarnt. Hinter diesen Angeboten versteckten sich gefälschte Medikamente, Angebote und Malware. Daher habe auch die überstaatliche Polizei Europol gewarnt.
Die Betrüger hätten angeblich Dosen gängiger Impfstoffe, wie z.B. solchen von Biontech und Pfizer, angeboten. Als Zahlungsmittel seien Bitcoin gefordert worden, um eine Verfolgung so gut wie unmöglich zu machen: „Damals verlangten sie Preise von etwa 0,01 Bitcoin pro Person, was ungefähr 300 US-Dollar oder 250 Euro entsprach.“

Werbungsaktionen für Covid-19-Impfstoffe im Darknet um 400% zugenommen

Nun ziehe das Geschäft im Januar 2021 offenbar erst so richtig an: Die Werbungsaktionen für „Covid-19“-Impfstoffe im Darknet hätten um 400 Prozent auf einige hundert zugenommen. Eine schlichte Suche der Sicherheitsforscher habe über 340 Ergebnisse auf 34 Webseiten zum Vorschein gebracht – im Dezember seien es noch acht bei ähnlicher Suche gewesen.
Außerdem seien die Preise für die angebotenen Impfstoffe stark angestiegen: „Im Dezember lag der Durchschnitt bei 250 bis 300 US-Dollar (205 bis 246 Euro) für Impfdosen. Nun stieg er auf 500 US-Dollar (411 Euro) und manchmal sogar 1000 US-Dollar (822 Euro) an – eine, im extremen Fall, Vervierfachung.“

Nunmehr Trend zum Angebot von Paketen mit mehreren Impfstoffen

Zudem würden nun keine einzelnen Dosen mehr allein verkauft, sondern Pakete mit mehreren Impfstoffen darin. Dies verweise auf eine Vergrößerung des Geschäftsfeldes dieses Schwarzmarkts und zeige, dass Leute in den Blick rückten, die für Freunde und Familien auf einmal Einkaufen möchten und entsprechend mehr Geld in die Hand nähmen. Vor der Korruption, die mit der Impfstoff-Verteilung einhergehen kann, habe Transparency.org schon im Dezember 2020 gewarnt.
Erschreckend sei vor allem eine Beobachtung: „Zu Beginn wurden die meisten Impfdosen als ,Made in China‘ beworben, ohne Marken-Kennzeichnung oder Zertifikat einer Behörde (FDA oder ENSA). Seit der Freigabe durch die US-amerikanische FDA wird das Freigabesiegel nun aber missbraucht und angezeigt, oder die Angebote ohne genaue Spezifikation ausgeschrieben.“

Als Feldversuch Impfstoff bestellt – Lieferung nie erhalten

Die Sicherheitsforscher von Check Point wollten demnach die Zuverlässigkeit der Angebote selbst überprüfen und hätten daher eine Bestellung über den Nachrichtendienst „Telegram“ bei einem Händler im Darknet in Auftrag gegeben. „Sie bekamen die Kontakt-Daten und Telefonnummer über ein Darknet-Forum. Angeboten wurde ihnen dann ein chinesischer Impfstoff für 750 US-Dollar (616 Euro). Sie schlugen ein, zahlten mit Bitcoin, gaben ihre Lieferadresse an und fragten nach Versand-Details. Nach einigen Tagen ohne Kontakt erhielten sie eine Nachricht über ,Telegram‘, dass der Impfstoff an ihre Adresse geliefert worden sei.“
Wieder wenige Tage später sei das Konto des Anbieters gelöscht worden und natürlich sei das Paket bis heute nicht eingetroffen. Einer der kontaktierten Verkäufer habe sogar damit geworben, er könne 10.000 Dosen verschicken, was für 5.000 Personen reichen würde (jede Impfung gegen „Covid-19“ benötige zwei Schüsse im Abstand von 21 Tagen). „Er schlug vor, weil die Ladung so groß wäre, diese auf drei oder vier Lieferung aufzuteilen und verlangte insgesamt 30.000 US-Dollar (24.657 Euro).“

Weitere Informationen zum Thema:

Check Point Blog, 12.01.2021
Covid-19 ‘Vaccines’ Touted for Just $250 on Darknet

EUROPOL, 04.12.2020
Early Warning Notification – Vaccine-related crime during the COVID-19 pandemic

TRANSPARENCY INTERNATIONAL, Jonathan Cushing, 13.11.2020
VACCINATING AGAINST CORRUPTION

datensicherheit.de, 28.07.2016
Das Darknet: Fluch und Segen zugleich / Anonymität schützt Kriminelle, aber auch Journalisten und Verfolgte

[datensicherheit.de, 25.07.2018] Die Experten von Kaspersky Lab haben in einer Untersuchung von Carsharing-Apps eine Reihe von Sicherheitslücken entdeckt [1]. Dadurch könnten Angreifer die Kontrolle über das Fahrzeug übernehmen, es ausspionieren, kostenlos damit Fahren aber auch persönliche Daten anderer Nutzer stehlen und diese auf dem Schwarzmarkt weiterverkaufen. Außerdem könnten Cyberkriminelle unter dem Deckmantel einer anderen Identität illegale und gefährliche Aktionen auf den Straßen durchführen.

Jede untersuchte App hatte mehrere Sicherheitslücken

Es wurden insgesamt 13 Carsharing-Anwendungen getestet, die von großen Herstellern in verschiedenen Märkten entwickelt wurden und in Google Play über eine Million Mal heruntergeladen wurden. Das Ergebnis: jede der untersuchten Apps enthielt mehrere Sicherheitsprobleme. Darüber hinaus schlagen bereits böswillige Nutzer Kapital aus gestohlenen Konten von Carsharing-Anwendungen.

Dies ist besonders besorgniserregend, da eine aktuelle Umfrage über Verbrauchereinstellungen zur App-Sicherheit zeigt, dass Nutzer Car- Apps weniger als Bedrohung im Vergleich zu anderen Apps wie Social Media, Messaging und Banking-Apps sehen [2] – lediglich zehn Prozent der Befragten sehen Carsharing-Apps als nicht vertrauenswürdig.

Zu den Sicherheitslücken zählen:

• Kein Schutz vor Man-in-the-Middle-Angriffen: Der Nutzer glaubt zwar, mit einer legitimen Website verbunden zu sein, der Datenverkehr kann aber über die Website des Angreifers weitergeleitet werden, so dass er alle vom Opfer eingegebenen Daten wie Login, Passwort oder PIN erfassen kann.
• Kein Schutz vor Reverse Engineering von Anwendungen: Dadurch können Cyberkriminelle nachvollziehen, wie die App funktioniert, und eine Schwachstelle finden, um Zugriff auf die serverseitige Infrastruktur zu erhalten.
• Keine Erkennungsverfahren für Rooting: Root-Rechte bieten einem nahezu unbegrenzte Möglichkeiten und lassen die App schutzlos.
• Fehlender Schutz vor App-Overlay-Techniken: Schädliche Apps können so Phishing-Fenster anzeigen und die Anmeldeinformationen der Nutzer stehlen.
  Keine starken Passwörter: Weniger als die Hälfte der Anwendungen verlangen starke Passwörter, was bedeutet, dass Cyberkriminelle das Opfer mittels eines einfachen Brute-Force-Szenarios angreifen können.

„Unsere Forschungsergebnisse zeigen, dass Anwendungen für Car-Sharing-Dienste in ihrem derzeitigen Zustand nicht bereit sind, Malware-Angriffen standzuhalten“, so Victor Chebyshev, Sicherheitsexperte bei Kaspersky Lab. „Obwohl wir noch keine Angriffe auf Car-Sharing-Dienste entdeckt haben, verstehen Cyberkriminelle den Wert, den solche Apps haben; die bestehenden Angebote auf dem Schwarzmarkt weisen darauf hin, dass Anbieter nicht viel Zeit haben, die Schwachstellen zu beseitigen.“

Kaspersky-Empfehlungen für eine sichere Fahrt

Um ihre Autos und privaten Daten vor möglichen Cyberattacken zu schützen, empfiehlt Kaspersky Lab Nutzern von Carsharing-Apps:

• ihre hierfür verwendeten Geräte wie das eigene Smartphone niemals zu rooten, da dies für schädliche Apps fast alle Türen öffnet,
• das Betriebssystem des Gerätes stets aktuell zu halten, um Sicherheitslücken in der Software und das Risiko eines Angriffs zu verringern
• sowie eine zuverlässige Sicherheitslösung wie Kaspersky Internet Security for Android zu verwenden [3].

[1] https://securelist.com/a-study-of-car-sharing-apps/86948/
[2] Die Ergebnisse stammen aus einer Studie zum Thema Cyberstress. Für die Studie wurden 1.000 deutsche Nutzer im Mai 2018 von Opinion Matters im Auftrag von Kaspersky Lab befragt.
[3] https://www.kaspersky.de/android-security

Weitere Informationen zum Thema:

datensicherheit.de, 04.09.2018
Moderne Autos als rollende Sicherheitslücken

datensicherheit.de, 20.03.2017
KASPERSKY lab warnt: IT-Sicherheitsbranche übersieht potenzielle Nachwuchskräfte

[datensicherheit.de, 15.06.2016] Nach aktuellen Erkenntnissen von KASPERSKY lab exitiert ein internationales Forum, über das Cyber-Kriminelle den Zugriff auf kompromittierte Server für nur sechs US-Dollar kaufen und verkaufen. Der Untergrundmarktplatz „xDedic“ werde mutmaßlich von einer russischsprachigen Gruppe betrieben und umfasse derzeit mehr als 70.000 gehackte Server weltweit mit Remote Desktop Protocol (RDP).

Staatliche Organisationen, Unternehmen und Universitäten im Fokus

Viele der betroffenen Server hosten oder bieten demnach Zugang zu beliebten Webseiten und Diensten. Auf einigen finde sich Software für E-Mail-Versand, Finanzbuchhaltung oder Bezahlvorgänge.
Unter den ahnungslosen rechtmäßigen Inhabern der Server befänden sich auch staatliche Organisationen, Unternehmen und Universitäten. Mit Hilfe von „xDedic“ nutzten Cyber-Kriminelle deren IT-Infrastruktur unbemerkt für eigene Attacken.

Viele neue Dienstleistungen im Bereich Cyber-Kriminalität

Die Plattform „xDedic“ ist laut KASPERSKY lab ein „sehr gutes Beispiel“ für die vielen neuen Dienstleistungen im Bereich Cyber-Kriminalität. Der Marktplatz sei gut organisiert und biete einen schnellen, billigen, einfachen und heimlichen Zugang, der von Anfängern ebenso wie von erfahrenen APT-Gruppen (APT: Advanced Persistent Threat) genutzt werde.
Für nur sechs US-Dollar pro Server biete „xDedic“ den Forumsmitgliedern Zugriff auf alle Serverdaten und ermögliche darüber hinaus die Nutzung für weitere Cyber-Angriffe wie zielgerichtete Attacken, die Verbreitung von Malware, Distributed Denial of Services (DDoS), Phishing, Social Engineering oder Adware-Attacken.

Hinweis eines Internet-Service-Providers

Nach eigenen Angaben wurde KASPERSKY lab von einem europäischen Internet-Service-Provider (ISP) auf „xDedic“ aufmerksam gemacht. Beide Unternehmen hätten dann gemeinsam das ebenso einfache wie gründliche Vorgehen der Plattform unter die Lupe genommen: Nach ihren Erkenntnissen liefern Hacker Server-Zugangsdaten an „xDedic“, die sie oftmals mit Hilfe von Brute-Force-Angriffen erlangen konnten. Die Server würden dann unter anderem in Hinblick auf ihre RDP-Konfiguration, Speicherkapazität, installierte Software und den Browserverlauf geprüft und schließlich in das stetig wachsende Online-Verzeichnis von „xDedic“ aufgenommen. So könnten Kunden vor dem Kauf eines Accounts den für ihre Zwecke passenden Server auswählen.
Die Server würden von Regierungseinrichtungen, Unternehmen oder Universitäten betrieben, hätten Zugriff auf oder hosteten selbst Webseiten und Dienste aus den Bereichen Games, Wetten, Partnersuche, Online-Shopping, Online-Banking, Bezahlsysteme, Mobilfunknetze, ISP und Browser. Ferner besäßen diese vorinstallierte Software für E-Mail-Versand, Finanzbuchhaltung oder Bezahlvorgänge (PoS, Point of Sale), die für cyber-kriminelle Angriffe dienlich sei; zudem würden sie von etlichen Tools für Hacking und Systeminformation unterstützt.

Seit 2014 aktiv

Vermutlich sei die „xDedic“-Plattform bereits im Jahr 2014 am Markt aufgetreten. Seit 2015 erfreue sie sich immer größerer Beliebtheit, so dass dort aktuell (Stand Mai 2016) 416 unbekannte Anbieter den Zugriff auf 70.624 Server aus 173 Ländern anböten. Die Liste der Länder werde angeführt von Brasilien, China, Russland, Indien, Spanien, Italien, Frankreich, Australien, Südafrika und Malaysia.
„xDedic“ sei ein weiterer Beleg dafür, dass „Cybercrime-as-a-Service“-Modelle expandierten, so Costin Raiu, „Director Global Research and Analysis Team“ (GReAT) bei KASPERSKY lab. Damit habe jeder – vom Anfänger über ambitionierte Cyber-Kriminelle bis zu nationalstaatlich unterstützen Angreifern – eine „kostengünstige, schnelle und effektive Möglichkeit, potenziell verheerende Cyberangriffe durchzuführen“. Opfer seien dabei nicht nur die attackierten Einzelpersonen und Organisationen, sondern auch die Betreiber der für die Angriffe genutzten Server, erklärt Raiu. Diese hätten vermutlich keine Ahnung, dass die Server „direkt vor ihrer Nase immer wieder für verschiedene Cyberangriffe missbraucht“ würden.

Empfohlene Sicherheitsvorkehrungen

KASPERSKY lab rät allen Betreibern von Servern, wirksame Sicherheitslösungen zu installieren und so einen umfassenden und mehrschichtigen Schutz der kompletten IT-Infrastruktur zu etablieren. Für die Authentifizierung des Zugriffs auf die Server sollten starke Passwörter genutzt werden. Geraten wird ebenso, einen „permanenten Patch-Management-Prozess“ zu implementieren sowie regelmäßige Sicherheitsüberprüfungen der IT-Infrastruktur durchzuführen. Ferner sollte in ein Frühwarnsystem investiert werden, das drohende Gefahren erkennt und Einblicke in die kriminellen Aktivitäten bietet, um das jeweilige Risiko richtig einschätzen zu können.

Weitere Informationen zum Thema:

SECURELIST, 15.06.2016
xDedic – das dubiose Geschäft mit gehackten Servern

[datensicherheit.de, 15.10.2015] Intel Security veröffentlicht heute seinen Bericht The Hidden Data Economy, der einen Einblick gibt, wie und mit welchen Arten von gestohlenen Daten im Internet gehandelt wird. Dabei wird anhand von Beispielen die Preispolitik für den Handel mit diesen sensiblen Daten erläutert. Die McAfee Labs der Intel Security Gruppe untersuchten die Preise für gestohlene Kredit- und Debitkartendaten, Bankanmeldedaten, betrügerische Banktransferdienstleistungen, Anmeldedaten für Onlinebezahldienste und Firmennetzwerke sowie für Kundenkarten und Online-Auktionen.

„Wie jedes unkontrollierte, effiziente Wirtschaftssystem hat sich die Internet-Kriminalität schnell zu einem Markt entwickelt, auf dem jeder zahlreiche Tools und Services erwerben kann, der zu strafbaren Handlungen bereit ist“, erklärt Raj Samani, CTO bei Intel Security EMEA. „Dieser sogenannte „Cybercrime-as-a-Service“-Marktplatz trägt wesentlich zum explosionsartigen Anstieg der Cyberattacken bei – sowohl was Häufigkeit und Umfang als auch deren Intensität betrifft. Das Gleiche gilt für die zunehmende Verbreitung der Geschäftsmodelle, die den Handel mit gestohlenen Daten zu einem lukrativen Geschäft machen.“

Seit vielen Jahren haben die Experten der McAfee Labs in enger Zusammenarbeit mit anderen IT-Sicherheitsanbietern und den Strafverfolgungsbehörden zahlreiche Webseiten und Chatrooms sowie Online-Plattformen, Communities und Marktplätze verfolgt und überwacht, auf denen Handel mit gestohlenen Daten betrieben wird. Aufgrund der langjährigen Zusammenarbeit mit den Behörden konnten die Experten eine Bewertung zur aktuellen Entwicklung der Cyberkriminalität erstellen, einschließlich einer Aufstellung der wichtigsten Arten und Preise von Daten. Sie können jedoch nicht bestätigen, wie viele der zahlreichen Beispiele zu gestohlenen Datenprodukten und -diensten authentisch sind.

Einige zentrale Ergebnisse aus dem Bericht:

• Zahlungskarten-Daten gehören zu den am häufigsten gestohlenen und verkauften Daten. Die Forscher stießen auf eine hierarchische Einstufung hinsichtlich der Bündelung, Preisgestaltung und dem Verkauf der Daten innerhalb der Schattenwirtschaft. Die Preise steigen mit dem Informationsgehalt der Daten, da Cyberkriminelle die angereicherten Kerndaten noch weiterreichend nutzen können. Ein Datenpaket mit hohem Informationsgehalt umfasst beispielsweise die Kennnummer einer Bankverbindung, das Geburtsdatum der betroffenen Person und die Rechnungsadresse sowie die PIN-Nummer, die Sozialversicherungsnummer und den Mädchennamen der Mutter. Sogar der Benutzername und sein jeweiliges Passwort für den Zugriff auf das Online-Banking werden als Zusatzdaten geliefert, um online auf das Konto des Kontoinhabers zuzugreifen und bestimmte Änderungen vorzunehmen.
• Konten für Onlinebezahldienste werden aufgrund ihrer eingeschränkten Verwendung scheinbar nur nach ihrem jeweiligen Kontostand gehandelt. Anmeldedaten für Konten mit einem Guthaben von 400 bis 1.000 US-Dollar kosten schätzungsweise 20 bis 50 US-Dollar.
• Bankanmeldedaten können von Cyberkriminellen gekauft werden, um gestohlene Gelder ins Ausland zu transferieren. Die McAfee Labs haben Bankanmeldedaten für ein Konto mit einem Saldo von 2.200 US-Dollar für 190 US-Dollar ausfindig gemacht.
• Online Premium Content-Dienste kosten auf dem Schwarzmarkt eher wenig, was vermuten lässt, dass Cyberkriminelle den automatisierten Diebstahl weiter ausgebaut und intensiviert haben. Dazu gehören Anmeldeinformationen zu Online-Video-Streaming (0,55 – 1 US-Dollar), Premium Kabelkanal-Streaming-Diensten (7,50 US-Dollar) und Profisport-Streaming (15 US-Dollar).
• Bonusprogramme und Community-Konten scheinen auf den ersten Blick als Angriffsziel weniger interessant, doch Nachforschungen haben ergeben, dass auch Anmeldeinformationen zu Hotelbonusprogrammen und Online-Auktionskonten auf dem Schwarzmarkt angeboten werden.

„Ein Krimineller, der im Besitz der digitalen Version der physischen Karte ist, kann solange über das Konto Einkäufe und Abhebungen tätigen, bis das Betrugsopfer den Kreditkartenaussteller kontaktiert und die Ausgaben anfechtet“, erklärt Raj Samani. „Nehmen wir an der Kriminelle verwendet die umfangreichen persönlichen Daten, um die Identität des Karteninhabers zu überprüfen oder er besitzt sogar die Rechte, auf das Konto zuzugreifen und Änderungen vorzunehmen. Dann kann dies zu einem wesentlich höheren finanziellen Schaden führen – sowohl für das Betrugsopfer als auch für den Kartenaussteller.“

Weitere Informationen zum Thema:

mcafee.com
The Hidden Data Economy

[datensicherheit.de, 28.11.2010] Britischen Medien zufolge wird der Wurm Stuxnet inzwischen auf dem Schwarzmarkt gehandelt:
Diese Entwicklung sei eine ernstzunehmende Bedrohung, die von Infrastrukturbetreibern nicht unterschätzt werden dürfe, so der norwegische IT-Security-Spezialist Norman. Dies sei laut David Robinson, Sicherheitsexperte für Industrieautomatisierung bei Norman, gleichbedeutend mit einem Scharfschützen, der ein geladenes Präzisionsgewehr auf die britische Infrastruktur richte. Es sei nur eine Frage der Zeit, bis der Code für jeden mit auch nur elementaren Programmierkenntnissen zugänglich werde. Wer entsprechende Kenntnisse besitze, könne diesen ändern und damit nicht nur die britische Infrastruktur, sondern auch die von anderen Staaten ins Chaos stürzen.
Dieser Malwaretyp könne jedoch nicht nur durch Memorysticks verbreitet werden – jeder Laptop und jedes Gerät mit einer Drahtlosverbindung innerhalb der Unternehmens-Firewall stelle ein Risiko dar. Es sei nur eine Frage der Zeit, bis „Stuxnet“ oder ein Nachfolgevirus weit genug entwickelt seien, um Schäden an Produktionsumgebungen anzurichten, in denen infizierte Laptops oder Mobilgeräte genutzt werden.