Manuskriptdienst Geschäfte mit gefälschter Anti

Werbung
SÜDWESTRUNDFUNK
SWR2 Wissen - Manuskriptdienst
Geschäfte mit gefälschter Anti-Virensoftware
Autor: Kai Laufen
Redaktion: Detlef Clas
Regie: Eigenproduktion des Autors
Sendung: Montag, 26. April 2010, 8.30 Uhr, SWR 2
Bitte beachten Sie:
Das Manuskript ist ausschließlich zum persönlichen, privaten Gebrauch bestimmt.
Jede weitere Vervielfältigung und Verbreitung bedarf der ausdrücklichen
Genehmigung des Urhebers bzw. des SWR.
Mitschnitte auf CD von allen Sendungen der Redaktion SWR2 Wissen/Aula
(Montag bis Sonntag 8.30 bis 9.00 Uhr) sind beim SWR Mitschnittdienst in
Baden-Baden für 12,50 € erhältlich.
Bestellmöglichkeiten: 07221/929-6030
Kennen Sie schon das neue Serviceangebot des Kulturradios SWR2?
Mit der kostenlosen SWR2 Kulturkarte können Sie zu ermäßigten Eintrittspreisen
Veranstaltungen des SWR2 und seiner vielen Kulturpartner im Sendegebiet besuchen.
Mit dem kostenlosen Infoheft SWR2 Kulturservice sind Sie stets über SWR2 und die
zahlreichen Veranstaltungen im SWR2-Kulturpartner-Netz informiert.
Jetzt anmelden unter 07221/300 200 oder swr2.de
SWR 2 Wissen können Sie ab sofort auch als Live-Stream hören im SWR 2
Webradio unter www.swr2.de oder als Podcast nachhören:
http://www1.swr.de/podcast/xml/swr2/wissen.xml
Dieses Manuskript enthält Textpassagen in [Klammern], die in der ausgestrahlten
Sendung aus Zeitgründen gekürzt wurden.
MANUSKRIPT
Autor:
Wer seinen Computer gegen die Gefahren durch Viren, Würmer und Trojaner aus dem
Internet schützen will, verwendet dafür am besten Anti-Virensoftware. Diese erkennt
einen Großteil der Bedrohungen, zum Beispiel, weil sie auf Datenbanken zurückgreift,
die ständig mit den Erkennungsmerkmalen neuer Schadprogramme gefüttert werden.
Tausende sind das jeden Tag. Viel Arbeit also für die Anbieter von Anti-Viren-Software.
Zumindest für Firmen, die ihr Geschäft legal und ehrlich betreiben. Doch diese haben
gefährliche Konkurrenz bekommen. Gut organisierte, aber betrügerische Unternehmen,
haben eine neue Dimension der Internetkriminalität eröffnet.
Ansage:
Geschäfte mit gefälschter Anti-Virensoftware
Von Kai Laufen
Cut 1: Cornelia Mangelsdorf
Ich war dabei, eine Reise zu buchen im Internet, benutze den Rechner meines Sohnes,
und der war voller Viren und vor allem klappte immer ein Fenster auf, ein Pop-upFenster, es sprang auf und bot ein Anti-Virus-Programm an.
Autor:
Cornelia Mangelsorf ist eine aktive Internetnutzerin. Als Chefredakteurin der Zeitschrift
„Woche Heute“ kennt sich die Baden-Badenerin mit Software aus. Regelmäßig kaufte
sie früher im Internet Bücher, CDs oder buchte Reisen. Bis zu jenem Samstagmorgen
vor etwa zwei Jahren, als sie unter Zeitdruck in eine Falle tappte, die Betrüger sehr
geschickt im Internet aufgestellt hatten:
Cut 2: Cornelia Mangelsdorf
Ja, sehr seriös sah das aus und war die Kaufaufforderung und ich dachte: Gut – man
spart sich natürlich bei Onlinekäufen die Zeit, irgendwohin zu fahren und ein Anti-VirusProgramm zu kaufen. [Wie gesagt, ich konnte die Situation nicht einschätzen, es sah
halbwegs, es sah seriös aus, sonst hätte ich’s nicht gemacht und ich wollte diesen Virus
loswerden.]
Autor:
Für vierzig Euro kaufte Cornelia Mangelsdorf eine vermeintliche Anti-Viren-Software, an
deren genauen Produktnamen sie sich nicht mehr erinnert. Für den Kauf musste sie auf
der Webseite nicht nur ihre Kreditkartendaten eingeben, sondern auch ihre
Reisepassnummer.
Cut 3: Cornelia Mangelsdorf
Okay, und dann kaufte ich das Teil, die Popupfenster kamen weg, es ging etwas
besser. Wir haben den Rechner trotzdem nach ein paar Monaten entsorgt. Gott sei
Dank ist bisher nichts Schlimmes weiter passiert, bis darauf, dass das Geld weg ist und
ich so was garantiert nie wieder mache.
Autor:
Cornelia Mangelsdorf ist eine von mehr als einer Million Kunden eines betrügerischen
Unternehmens, dass zurzeit von der amerikanischen Verbaucherschutzbehörde FTC an
2
den Pranger gestellt wird. Ihre Telefonnummer fand sich in einer Liste, die der
Hamburger IT-Sicherheitsexperte Dirk Kollberg gefunden hat. Die Liste und ihr Fundort
im Internet führen direkt in das Operationszentrum der Betrügerbande. Und: Die Liste
lässt den Schluss zu, dass die Zahl der Betrugsopfer in Deutschland bei mehreren
Zehntausend, vielleicht über Hunderttausend liegt.
Cut 4: Dirk Kollberg
Ich wollte mit Ihnen mal einen Blick werfen auf die Daten, die wir bekommen haben
durch die Analyse, die jetzt insgesamt zwei Jahre ging. Wir haben uns da auf eine
Firma konzentriert, die in der Ukraine ist und sich ihr Business darin sucht, andere
Leute reinzulegen und denen das Geld zu nehmen. Das sind sogenannte Fake-AVSoftware, [also Software die dem Nutzer vorgaukelt, er hätte ein Antivirenprodukt,] das
heißt es kommen fälschliche Meldungen die sagen, der eigene Rechner ist infiziert und
wenn der Nutzer dann auf „Bereinigen“ klickt, kommt erst ein Popup und dann wird
gesagt: Nein – erst müssen sie kaufen, und hat man dann seine 40 – 50 Euro investiert,
erhält man eine Vollversion, die wiederum jedoch keine Viren bereinigt, sondern einfach
nur die Meldungen, die Warnungen, abschaltet.
Autor:
Dirk Kollberg zeigt auf einen der zehn, zwölf Bildschirme in seinem klimatisierten
Arbeitslabor beim Anti-Viren-Hersteller McAfee in Hamburg. In dem abgeschirmten
Raum stehen auf der einen Seite normale Computer, die ohne jeden Schutz im Internet
unterwegs sind. – Mit den geschützten Rechnern auf der anderen Seite analysiert Dirk
Kollberg, was sich die Opferrechner zuvor im Internet an Schadsoftware eingefangen
haben. Zum Beispiel die Programme, die den Anfang des Betrugsschemas mit Fake-AV
ausmachen, wie die Fachleute die gefälschte Anti-Virensoftware nennen.
Cut 5: Dirk Kollberg
Die Programme, die dort vertrieben werden, schätzen wir als Trojaner ein, weil sie halt
nicht das machen, was der Benutzer erwartet. Von einem Anti-Viren-Programm erwarte
ich, dass er schädliche Dateien erkennt und die entfernen kann. Die Software die dort
verbreitet wurde, meldet nur, dass harmlose Dateien auf dem Rechner ganz, ganz böse
sind und verleiten so den Nutzer zum Kauf der Produkte. Letztendlich wird aber kein
Mehrwert für den Nutzer dargestellt, das heißt die Software repariert nichts, sie wird
einfach nur leise und nimmt die Fehlermeldung weg, sodass der Nutzer denkt: Oh, jetzt
bin ich sicher.
Autor:
Die Anbieter echter Anti-Virenprogramme wie McAfee, Kaspersky, AVG, Panda, G-Data
oder Symantec investieren viel Geld und Personal in die ständige Aktualisierung ihrer
Datenbanken, in denen sie die Erkennungsprofile neuer Schadsoftware eintragen. Die
gefälschten Produkte dagegen tun nur so, als ob sie Viren erkennen. Die teure
Forschung, Entwicklung und Logistik, die dafür wirklich nötig ist, sparen sich die
betrügerischen Anbieter, erklärt der schweizerische IT-Sicherheitsexperte Candid
Wüest. Für das US-Unternehmen Symantec arbeitet er in Zürich mit ähnlichen
Methoden wie Dirk Kollberg in Hamburg – die IT-Sicherheitsbranche bringt ihre ganz
eigenen Privatdetektive hervor:
Cut 6: Candid Wüest
Die klassischen Beispiele, die wir sehen, sind im Hauptfeld natürlich sicher diese
Pseudo-Security-Tools, also meistens Anti-Viren-Scanner oder Spy-Ware-Detektion3
Tools und wenn man die installiert, die Free-Ware-Version, also die, die noch kostenlos
ist, dann hat man innerhalb von 10 Sekunden die ganzen zwei Terabyte auf der
Festplatte durchsucht und dann heißt’s eben 200 ganz schwer wiegende Fehler
gefunden, Viren gefunden und zum Entfernen braucht’s jetzt die Vollversion, die dann
40, 50 Euro kostet. [Das ist bei den ganz frühen, die wir gesehen haben, vor fünf Jahren
war’s wirklich noch so, dass egal wie groß die Festplatte ist, es dauerte immer 10
Sekunden dieser Scan. Es war ganz klar, dass hier nicht wirklich die Festplatte
durchsucht wurde. Heutzutage sind sie doch ein bisschen cleverer geworden, das heißt,
es werden die realen Daten angeschaut, quasi, ja ein Ordner wird aufgemacht, alle
Dateien kurz durchsucht, der Name wird irgend wo kurz auftauchen, dass man sieht,
ach doch, das sind wirklich meine Dateien, aber es werden dann irgend welche Dateien
erfunden, die es gar nicht gibt und eben diese als Viren deklariert.]
Autor:
Das Sortiment der Internetbetrüger ist noch größer: Zurzeit verbreiten sie Programme,
die die Festplatte der infizierten Rechner teilweise verschlüsseln. Der Nutzer hat keine
Chance mehr, an seine eigenen Daten heranzukommen – es sei denn, er zahlt 50
Dollar, dann bekommt er ein Passwort für die Entschlüsselung zugeschickt.
Cut 7: Candid Wüest
Diese Kopfgeldtrojaner [oder Kopfgeldtools] sind eigentlich das nächste, die haben
angefangen eben auch im quasi Optimisierungsumfeld, das heißt beim Scannen heißt’s
oh, ich hab gefunden, dass alle deine Word-Dateien eben korrupt sind, sprich – irgend
wo beschädigt und zum guten Glück kann ich’s aber reparieren, du musst einfach eben
die teure Vollversion kaufen. Die Dateien sind aber natürlich nicht beschädigt, sondern
wurden im Vorfeld während dem Scannen verschlüsselt und nur diese Vollversion hat
eben den Entschlüsselungscode.
Autor:
Niemand hat verlässliche Daten über das Ausmaß der Betrugsmasche. Symantec kann
immerhin indirekte Schlüsse ziehen. Wenn ein Rechner, auf dem eine Norton-AntiVirus-Lösung aus dem Haus Symantec installiert ist, von einer solchen Schadsoftware
angegriffen wird und Norton das erkennt, gibt das Programm automatisch Rückmeldung
an die Firma, erklärt Adam Palmer in einem der Symantec Sicherheitszentren in Los
Angeles:
Cut 8: Adam Palmer (engl., darüber Übersetzer)
Cybercrime nimmt stark zu und wird immer komplexer, ein simples Anti-VirenProgramm reicht da nicht mehr aus. Deswegen entwickeln wird zusätzliche
Sicherheitsmechanismen wie unsere Reputationsdatenbanken. Die 35 Millionen Nutzer
von Norton-Produkten bilden darin ein Netzwerk, denn die Daten ihrer Rechner werden
bei uns anonymisiert gespeichert und ausgewertet. Dazu untersuchen wir bis zu 3
Milliarden Webseiten pro Tag auf Gefahren hin und können daher schon ein ganz gutes
Bild der aktuellen Internetgefahren abbilden.
Autor:
Solche und ähnliche Daten haben zuletzt Internetdetektive des spanischen Anti-VirenHerstellers Panda Security ausgewertet. In seinem Virenlabor in Bilbao beobachtet Luis
Corrons das Phänomen der Fake-AV-Programme schon seit drei, vier Jahren – seit
2008 aber hätten die Kriminellen sich perfekt organisiert und das ganz große Geld
verdient:
4
Cut 9: Luis Corrons (span., darüber Übersetzer)
Noch im Jahr 2007 kamen jeden Monat etwa 300 neue Varianten von gefälschter AntiVirensoftware auf den Internetmarkt. Aber im zweiten Quartal 2008 explodierten die
Zahlen plötzlich [– und zwar sowohl die der Varianten, als auch die der Opfer]: Am
Ende des Jahres 2008 hatten wir fast 10.000 Varianten entdeckt. Und im ersten Drittel
von 2009 hatten wir schon wieder 10.000 neue Schadprogramme entdeckt. Ende 2009
hatte unsere Datenbank mehr als 700.000 Fake-AV-Virenvarianten gespeichert, die alle
eingesetzt wurden, um Leuten fälschlicherweise einzureden, sie hätten einen Virus auf
ihrem Rechner.
Autor:
Offensichtlich haben die kriminellen Organisationen vor etwa zwei Jahren ihre
Betrugsmasche perfektioniert. Und sie scheffelten Millionen. Mit einem aufwendigen
Rechenprozess verknüpfte Luis Corrons vorhandene Zahlen über Internet-Betrugsopfer
und die Infektionsraten der speziellen Fake-AV-Viren:
Cut 10: Luis Corrons (span., darüber Übersetzer)
Mit diesen Daten kamen wir auf eine Zahl von rund einer halben Million Internetnutzer
die jeden Monat im Jahr 2009 ein solches gefälschtes Produkt gekauft haben. Sie
zahlten im Durchschnitt 59 Dollar 95. Multipliziert mit einer halben Million ergibt das
knapp 35 Millionen Dollar im Monat, also 415 Millionen US-Dollar, die die Betrüger im
Jahr 2009 umgesetzt haben.
Autor:
Auch wenn diese Zahl nur ein Schätzwert ist – sie passt zu den Befunden, die Dirk
Kollberg in Hamburg aus internen Daten eines der größten betrügerischen
Unternehmen schließen konnte.
Cut 11: Dirk Kollberg
[Wir haben auch sehr viele verschiedene Server uns angekuckt, während unseren
Untersuchungen. Das heißt,] los ging es eigentlich im August 2008, da gab’s eine
Schwachstelle im Adobe-Flash-Player und diese wurde ausgenutzt von bösen Buben
um darüber halt diese Schadsoftware zu installieren.
Autor:
Dirk Kollberg war elektrisiert: Auf verschiedenen Servern hatte er riesige Datenmengen
gefunden, die über ihre IP-Adresse alle einer Firma zuzuordnen waren: „Innovative
Marketing Ukraine“ in Kiew. Dabei musste der IT-Forscher nicht einmal tief in die
Trickkiste greifen: Die Server, also die Internet-Großrechner, die das Unternehmen
benutzte, waren für ihn ganz legal und offen über das Internet zu erreichen. Denn
merkwürdigerweise hatten ausgerechnet die Betrüger einen Fehler gemacht: Die Server
waren nicht durch Passwörter geschützt.
Cut 12: Dirk Kollberg
Ich denke, dass da einfach nur ein Fehler passiert ist, und das hat uns den ersten Tipp
gegeben, wo man nachschauen muss. Im Weiteren haben wir um die 20 Server
gefunden, die wirklich offen waren, wo wir vollen Zugriff drauf hatten.
Autor:
Nun begann eine schlaflose Zeit für Dirk Kollberg: Tagsüber ging er seinem Job als
Virenanalyst nach – nachts begann er seine Funde auszuwerten ...
5
Cut 13: Dirk Kollberg
Die Daten sind verschlüsselt auf einer externen Festplatte. Jetzt werde ich mir die als
weiteres Laufwerk einbinden und dann können wir mal gemeinsam auf der schauen ...
Autor:
Der IT-Forscher fand jede Menge Hinweise, die einen direkten Zusammenhang
zwischen den bekanntesten Schadprogrammen und dem Unternehmen „Innovative
Marketing Ukraine“ in Kiew belegten:
Cut 14: Dirk Kollberg
... so, wie haben hier zum Beispiel ein paar Screenshots – ein Produkt von denen war
zum Beispiel „Secureanonimity“, das heißt, das ist eine Software, die dem Benutzer
verspricht, dass er damit sicher im Web surfen kann, ohne seine Identität preiszugeben.
Autor:
Die verschiedenen Angebote der fragwürdigen Firma – die nur eine von mehreren
Betrugsorganisationen ist – hatten alle eines gemeinsam: Sie versprachen viel und
hielten nichts. Nicht nur vermeintliche Anti-Virenlösungen gab es da. Mal sollte ein
Produkt die Festplatte beschleunigen, ein anderes sollte helfen, Strom zu sparen. Am
Ende geht es bei solchen nutzlosen Anwendungen aber nur darum, schnelles Geld zu
verdienen.
Cut 15: Dirk Kollberg
Was wir hier sehen ist wirklich nur eine ganz kleine Auswahl und wenn wir uns mal die
Liste angucken, das ist ne aktuelle Liste, oder aktuell war die im August letzten Jahres,
alles betreffend von dieser einen Firma „Innovative Marketing Ukraine“ und das war für
uns ein guter Ansatz, weil man da einmal die Produktnamen sehen kann, [aber auch
den ... Betreiber dieses Produktes.]
Autor:
Der Einblick in die Firmendaten von „Innovative Marketing Ukraine“ zeigt sogar das
Vertriebssystem der Betrüger. Die Firma setzt – womöglich auch noch bis heute – eine
ganze Reihe von Zwischenhändlern ein, um es Ermittlern schwer zu machen, die
wahren Urheber der Internetseuche ausfindig zu machen. Dirk Kollberg fand eine Liste
der Mitarbeiter und ihrer Telefonanschlüsse. Sie lässt einen erschreckenden
Rückschluss auf die Größe des Kiewer Unternehmens zu – und damit auch auf seine
Umsätze, denn die Liste hat 666 Einträge. Viele der Namen darauf finden sich auch in
sozialen Netzwerken, wo die Personen teilweise selber angeben, bei „Innovative
Marketing Ukraine“ zu arbeiten oder gearbeitet zu haben. [Wie ein Kriminalist ging
Kollberg über zwei Jahre allen verwertbaren Spuren nach und setzte das Puzzle zu
einem großen Bild zusammen:
Cut 16: Dirk Kollberg
Es sind teilweise Kleinigkeiten, wo Mitarbeiter zum Beispiel Sachen machen, die
vielleicht nicht von der IT-Abteilung abgesegnet sind. Dass sie Sachen mitnehmen,
dass sie sich Arbeit mit nach Hause nehmen per E-Mail, sich zum Beispiel dabei
vertippen und die Mail kommt ganz woanders an, dass sie kurz was verschieben auf
ihren eigenen Web-Space den sie haben. Und wenn man aber weiß, wer bei welcher
Firma arbeitet und dann weiter sucht und wir haben insgesamt 63 GigaByte an Daten,
wenn man die auswertet, bekommt man ein sehr gutes Bild, wer da ist und was er
macht und darüber haben wir auch weitere Informationen gefunden.]
6
Autor:
Einen der Mitarbeiter auf der Telefonliste von „Innovative Marketing Ukraine“ fand Dirk
Kollberg auch als eingeschriebenen Studenten der Universität Kiew. Der Student hatte
sich offenbar Arbeit mit nach Hause genommen, denn auf dem Internetserver der
Universität fand Dirk Kollberg wiederum Teile der einschlägigen Betrugsprogramme –
aber auch Fotos aus dem Arbeitsalltag in dem Betrugsunternehmen lagen dort: Die
Bilder zeigen junge, fröhliche Mitarbeiter auf einem Ausflug. Auf einem Foto ist der
Eingangsbereich des Gebäudes samt Firmenlogo zu sehen: „Innovative Marketing
Ukraine“ steht da. Andere Bilder wiederum zeigen Luxusautos vor Fünf-Sterne-Hotels in
Thailand, größere Päckchen Marihuana und dicke Geldbündel in verschiedenen
Währungen: Stoff für Spekulationen, wie das Leben eines Internetkriminellen wohl
aussieht ...
Cut 17: Dirk Kollberg
Das sind jetzt die aus dem Büro ... da haben wir die Rezeption. Und das sind halt Bilder
... wenn wir das Datum angucken, ist das hier vom 1. April 2008, das heißt, da müssen
die wahrscheinlich in das neue Gebäude umgezogen sein, beziehungsweise sind noch
dabei, wie man das an den Kabeln erkennt. Und die Rezeption sieht doch eigentlich
auch sehr nett aus!
Autor:
Das ukrainische Justiz- und das Innenministerium in Kiew ließen mehrere Anfragen des
SWR unbeantwortet – so bleibt unklar, wie es im Moment um „Innovative Marketing
Ukraine“ und seine Mitarbeiter steht.
Wie es dagegen den Opfern des Betrugs erging, konnte Dirk Kollberg anhand eines
weiteren atemberaubenden Fundes auf den Großrechnern von „Innovative Marketing
Ukraine“ nachvollziehen: Das Unternehmen gab sich alle Mühe, einen Schein von
Legalität aufzubauen. Daher gab es sogar zwei Callcenter, bei dem Kunden anrufen
und sich bei Problemen beraten lassen konnten. Unbemerkt von den Tätern, schnitt die
Software der Telefonanlage in diesen Callcentern jedes Gespräch mit:
Cut 18: Dirk Kollberg
Als wir die ganzen Telefongespräche runtergeladen haben, habe ich, glaube ich, ein
ganzes Wochenende kaum geschlafen und hab wirklich rund um die Uhr gesessen und
hab mir nur was angehört. Und einerseits weiß man ja was den Kunden jetzt bevor
steht und man hofft, dass sie irgendwie noch die Kurve kriegen und der gesunde
Menschenverstand sagt, das kann ja so nicht ganz wahr sein. Leider ist es in den
meisten Fällen nicht so und am Ende dieser Gespräche ist der Kunde meistens auch
noch glücklich und zufrieden. Er ist zwar sein Geld los, aber es hat jemand zugehört
und dadurch, dass er es gekauft hat, wird ja die Fehlermeldung abgeschaltet, das heißt
er sieht die Probleme nicht mehr, die er hat. Das reicht den meisten Leuten schon aus.
Wir können ja mal in so ein Telefongespräch mit reinhören:
Cut 19
- „Guten Tag, Software Kundendienst”
- „Ja, hier ist XXX, ich glaube, wir hatten gestern schon mal zusammen telefoniert. Ich
hatte bei ihnen das Sicherheitspaket da gekauft, den sicheren Anti Virus. Jetzt habe ich
folgendes Problem, ich kriege hier laufend wieder noch Meldungen von XP-Anti Virus
2008, den habe ich gar nicht installiert, das war an einem Morgen mit einem Mal drauf
bei mir auf dem Rechner und der sagt mir, ich hätte noch 27 Bedrohungen und so ein
7
Kram, das kriege ich nicht weg und der Rechner ist auch irre langsamer, obwohl ich
gestern bei euch ne Bereinigung durchgeführt habe.“
- „Können Sie noch bitte die Bestellnummer sagen?” – Bestellnummer ist 610755.
Autor:
18 Minuten dauert allein dieses Gespräch, bei dem der Kunde zunächst alle seine
Probleme schildert. Die Frau mit dem osteuropäischen Akzent meldet sich mit „Software
Kundendienst“ – also einem nichtssagenden, allgemeinen Begriff – und fragt nach der
Bestellnummer. Denn erst mit dieser kann sie in ihrem Verzeichnis erkennen, welche
der unzähligen Varianten der betrügerischen Software dieser Anrufer gekauft hat. Ob
die stets freundliche Telefondame wohl wusste, dass sie für ein Betrugskartell arbeitet –
oder ob sie als einfache Callcenter-Mitarbeiterin im guten Glauben und nur nach klaren
Anweisungen handelte, kann auch Dirk Kollberg nicht mit Sicherheit sagen:
Cut 20: Dirk Kollberg
Ich vermute, dass die in Polen ist, sie selber hat von sich gesagt in den Gesprächen,
dass sie Polin ist. Kann auch sein, dass die als Polin in die Ukraine gegangen ist, so
weit ist das ja auch nicht weg und kann sein, dass sie von dort aus gearbeitet hat.
Autor:
2930 mitgeschnittene Gespräche aus nur zwei Monaten hat Dirk Kollberg von den
offenen Servern abgesaugt – nicht immer waren die Kunden so geduldig wie im ersten
Beispiel:
Cut 21
- „Software-Kundendienst, guten Morgen“
- „Guten Morgen, mein Name ist Ostermeier, ich habe heute morgen zwangsweise ein
Update gekauft von ihrer Software und ich kann sie nicht nutzen, weil da wurde ein
Passwort angezeigt aber permanent pop ... you have a security problem, dann kommen
Fenster, Fenster, Fenster, Fenster ...“
Autor:
Karl-Heinz Ostermeier ist ein Geschäftsmann aus Untermeitingen, südlich von
Augsburg. Er handelt mit Hard- und Software und berichtete in der geräuschvollen
Umgebung der diesjährigen CeBIT-Messe von seinen unangenehmen Erfahrungen mit
den Produkten aus dem Hause „Innovative Marketing Ukraine“ – wobei er diesen
Firmennamen nie gehört hatte:
Cut 22: Karl-Heinz Ostermeier
Ja, er hat eben gemeldet, dass ich einen Virus hätte und das ich diesen Virus eben mit
einer bestimmten Software beseitigen könnte und eben ich auf eine bestimmte Seite
gehen sollte, um mir diese Software zu laden. Andere Virensoftware, die ich bisher
verwendet hab, Antivir zum Beispiel, konnte dieses Problem nicht lösen. Und
letztendlich konnte man am PC nur weiterarbeiten, wenn man den Rechner komplett
neu gestartet hat und nach kurzer Zeit kamen diese Fenster eben immer wieder,
sodass man irgendwann wirklich nicht mehr arbeiten konnte. Und es ging ja über
mehrere Tage, weil am Anfang habe ich mich ja versucht dagegen zu wehren, nur
irgend wann war man dann so genervt, dass ich einfach gesagt habe: Okay, jetzt lade
ich diese Software runter, damit ich wieder arbeiten kann.
8
Autor:
[Doch auch bei dem Kaufmann versagte das Produkt, an dessen Namen sich KarlHeinz Ostermeier heute nicht mehr genau erinnert. Es sei ein Name gewesen, der ihm
vertraut vorkam und der seriös erschien, denn er erinnerte an die Namen von legalen
und funktionstüchtigen Programmen. So etwas wie WinAntivirus, WinFixer,
Drivecleaner, ErrorSafe oder XP Antivirus 2008. Die Betrügerbande hatte eine
Unmenge solcher Namen erfunden und für jedes einzelne Scheinprodukt jeweils eine
Webseite angelegt. Der Zweck dieses Aufwands war Verschleierung: Wenn die
geprellten Kunden sich zum Beispiel bei ihren Kreditkartenunternehmen beschwerten,
sollten möglichst nicht so viele Kunden den selben Produktnamen angeben, damit das
Kreditkarteninstitut nicht misstrauisch würde.]
Noch immer im Glauben, eine legale Software gekauft zu haben, die aber nun leider
nicht richtig funktionierte, rief Karl-Heinz Ostermeier bei der angegebenen Service
Nummer an – und bekam einen fatalen Tipp:
Cut 23
- „Hatten Sie vorher irgend welche Anti-Viren-Programme auf ihrem Rechner?“
[- „Ich hatte vorher schon ihr Programm und seit gestern meldet er, dass es ein Update
2009 gibt und dass ich das installieren muss, weil ich sonst nicht mehr arbeiten kann
und ich kann eigentlich nicht wegen dem Virus nicht arbeiten, sondern wegen eurer
Scheiß Software.“
- „Ne ich meine, ob Sie vorher schon irgend welche Anti-Viren-Programme hatten außer
unserer?“]
- „Ich habe noch Antivir laufen.“
- „Haben Sie das deinstalliert oder haben Sie das noch laufen?“
- „Ich kann’s nicht installieren, weil weder eure Software noch die andere deinstallieren
kann. Es gibt keine Möglichkeit, die zu deinstallieren.“
- „Antivir zu deinstallieren?“
- „Ja“
- „Wieso?“
- „Sagen Sie mir doch, wie ich ihre Software deinstalliere.“
- „Wieso möchten Sie das deinstallieren? Also ich kann jetzt Ihnen sagen, warum Sie
solche Probleme haben“
- „Okay“.
- „Sie haben ein Antivir auf ihrem Rechner und zwei Anti-Viren-Programme auf einem
Rechner können nicht funktionieren. Damit unser Programm funktionieren kann, sollen
Sie Antivir löschen und ...“
- „Okay. Sagen Sie mir, wie es geht.“
- „Es geht über Start, Systemsteuerung, Software ...“
Autor:
... und Karl-Heinz Ostermeier wird durch das Windows-Menü geführt, mit dem er sein
altes Anti-Virenprogramm deinstalliert. Wohlgemerkt: Dieses ältere Programm war eine
echte, funktionstüchtige Software, die aber die neue Bedrohung noch nicht erkannt
hatte. Daher erschien sie dem Kaufmann als untauglich. Dabei hatten die Betrüger
genau darauf spekuliert und ihre Viren technisch so getarnt, dass rechtmäßige
Programme es durchaus schwer hatten, die Schädlinge schnell zu erkennen. Auch in
diesem Fall, belief sich der Schaden auf weit mehr als nur die knapp 40 Euro für das
betrügerische Produkt, die preisgegebene Kreditkarteninformation und die Tatsache,
dass der Rechner nach dem Deinstallieren der echten Anti-Viren-Software nun völlig
ungeschützt im Internet unterwegs war:
9
Cut 24: Karl-Heinz Ostermeier
Ja gut, erst mal waren schon mal mindestens zwei, ich glaub eher drei Tage, wo man
sich rumgeschlagen hat, immer wieder neu gebootet hat, bis ich die Software runter
geladen hab, dann der Ärger, dass es dann wieder nicht ging. Und wenn man, so wie
ich jetzt, sag ich mal, von Office-Anwendungen über diverse andere Anwendungen,
wenn man die wieder neu installieren muss, da gehen einfach drei, vier Tage drauf, bis
das wieder alles so funktioniert und eingerichtet ist.
Autor:
Die Telefonanlage der Betrüger hat nicht nur diese Gespräche mitgeschnitten: Dirk
Kollberg fand auch Listen, in denen jeder Anruf automatisch verzeichnet wurde. In nur
zwei Monaten, im Dezember 2008 und Januar 2009, enthalten die Listen 1890
Nummern mit deutschen Vorwahlen. Darunter auch die der Baden-Badener Journalistin
Cornelia Mangelsdorf und etliche weitere, deren Inhaber sich an das Geschehen
erinnern können. Die Liste erlaubt eine Hochrechnung: Wenn „Innovative Marketing
Ukraine“ von 2004 bis 2008 operierte und die Listen, die Dirk Kollberg fand, in nur zwei
Monaten knapp 1.900 deutsche Anrufer bei der Beschwerde-Hotline verzeichnen,
könnten in dem gesamten Vier-Jahres-Zeitraum fast 40.000 Deutsche dort angerufen
haben. Wenn sich aber nur jedes dritte Betrugsopfer überhaupt diese Mühe gemacht
hat, geht die Zahl deutlich über 100.000 mögliche Opfer – allein in Deutschland.
Dann läge der monetäre Schaden bei vier Millionen Euro. Aber Cornelia Mangelsdorf
hat noch schlimmere Befürchtungen:
Cut 25: Cornelia Mangelsdorf
Dass meine Kreditkarte angezapft wird, dass das sozusagen der Einstieg in eine
Datenkriminalität ist, womit eben noch ganz andere Dinge passieren. [Wie gesagt, mir
ist es schon mal passiert, dass 8000 Euro von meinem Konto verschwanden, durch
einen Kreditkartenbetrug, das war wahrscheinlich ein Restaurant im Ausland, seit dem
bin ich eben sehr vorsichtig und mir war es die Aktion wert, die Karte zu sperren. Nun,
was immer noch in der Hand dieser Leute ist, ist die Nummer meines
Personalausweises.
Autor:
Der Schaden belief sich bei der Baden-Badenerin also auf eine preisgegebene Identität,
auf eine gesperrte Kreditkarte, auf 40 bis 60 Euro für die gefälschte Anti-Virensoftware
und auf einen Computer der so unbrauchbar geworden war, dass sie ihn kurz darauf
wegwarf. Gründe genug, für noch einen Telefonanruf:]
Cut 26: Cornelia Mangelsdorf
Ich hab irgend wie ein ganz ungutes Gefühl gehabt und rief dann bei der Polizei an und
samstags war da keiner zu erreichen. Ein paar Tage später habe ich mit der Polizei in
Baden-Baden gesprochen, da gab es jemand, der sich hobbymäßig mit dem Thema
auseinandersetzt und der meinte, ja das haben Sie natürlich richtig gemacht, die Karte
zu sperren [und Sie hätten Ihre Nummer vom Personalausweis nicht geben sollen. Gut,
das war natürlich alles schon geschehen.] Der Polizist hat mir nicht geraten, eine
Anzeige zu machen, er meinte, das sei zwecklos, weil der Einflussbereich der
deutschen Polizei an der Grenze nun einmal endet [und ich nehme an, dass das
Unternehmen in der Ukraine sitzt und die Strafverfolgung der Ukraine, ich denke die
deutsche Polizei schafft’s so weit dann auch wieder nicht.]
10
Autor:
Dabei hätte Cornelia Mangelsdorf durchaus eine Strafanzeige gegen Unbekannt stellen
können, meint der Jurist Jan Spoenle. Am Freiburger Max-Planck-Institut für
Internationales Strafrecht forscht und promoviert er zu den Herausforderungen der
Strafverfolgung von Internetkriminalität.
Cut 27: Jan Spoenle
Also zunächst mal ist es ja für die Bewerbung dieser gefälschten Anti-Viren-Software
notwendig, dass sie einen Fuß in den Rechner des Opfers bekommen und das geht in
der Regel über irgendeine Infektion, über ne Website oder Spam-E-Mail oder was auch
immer und da sind wir dann schon beim „Ausspähen von Daten“. Denn sie überwinden
eine in der Regel zumindest durch eine Firewall vorhandene Zugangssicherung und
befinden sich quasi auf dem Rechner des Nutzers und dadurch haben sie eben
„Ausspähen von Daten“ nach 202a Strafgesetzbuch begangen.
Autor:
Eine Tatsache, die derzeit von der deutschen Polizei offenbar noch nicht durchgängig
so gesehen wird: Eine Umfrage bei den Landeskriminalämtern ergab, dass dort kaum
Fälle bekannt sind und dass es keine Ermittlungen gibt. Als Zwischenergebnis seiner
Forschungsarbeit regt Jan Spoenle an, die Ermittlungsmethoden dem Tatort Internet
besser anzupassen:
Cut 28: Jan Spoenle
Zum einen könnte es beispielsweise helfen, Schwerpunktstaatsanwaltschaften zu
bilden, die sich speziell mit dem Thema Internetkriminalität beschäftigen, denn die
regionale Zuständigkeitszersplitterung führt halt dazu, dass beispielsweise jemand in
Freiburg drei Fälle auf dem Tisch hat und dann wieder in Offenburg und dann wieder in
Stuttgart und wieder in Tübingen. Aber wenn die sich alle zusammentun würden, dann
würden sie merken: Es handelt sich hier um organisierte Schwerkriminalität, nämlich um
gewerbsmäßig und bandenmäßig begangenen Betrug. [Und dann hätte man tatsächlich
andere Möglichkeiten und könnte anders reagieren. Und würde vielleicht auch das
Thema anders aufhängen, von seiner Wichtigkeit her.]
Autor:
Eine Vision, wie Cybercrime tatsächlich effektiv zu bekämpfen wäre, stellt sich beim
Besuch eines der Sicherheitszentren des IT-Giganten Symantec in Los Angeles ein: Im
Gefechtsstand, dem sogenannten Warroom, hängen sechs Uhren an der Wand. Sie
zeigen die Ortszeiten von L.A. über New York nach Dublin und bis Japan. Darüber
flackern auf Großbildschirmen die Umrisse der Kontinente. Ständig leuchten neue rote
Punkte auf. Fast würde man erwarten, dass Kevin Haley eine tressenbesetzte Uniform
trägt, aber der ranghohe Sicherheitschef des Unternehmens ist ein ganz ziviler ITExperte:
Cut 29: Kevin Haley (engl., darüber Übersetzer)
Wir empfangen Millionen von Warnmeldungen unserer Kunden und verarbeiten sie rund
um die Uhr – schauen Sie, gerade gibt es in Afrika besonders viele Meldungen, da läuft
wohl gerade eine große Attacke. Wir sehen auch, wie die Kriminellen ihre neuen
Schadprogramme erst einmal testen – und wenn sie funktionieren kommen ein paar
Tage später die Angriffe
11
Autor:
Solche Analysen – und die sofortige Umsetzung in Schutzmassnahmen – können die
Strafverfolgungsbehörden nicht leisten. Aber die privaten IT-Detektive arbeiten der
Polizei in vielen Ländern aktiv zu. Bei Symantec beziehungsweise Norton ist man nun
noch einen Schritt weitergegangen und hat genau dafür eine neue Position eingerichtet.
Adam Palmer trug früher tatsächlich Uniform:
Cut 30: Adam Palmer (engl., darüber Übersetzer)
Ich habe meine Karriere bei der Marine im Justizwesen begonnen, wo ich als Ankläger
mit Cybercrime-Fällen zu tun bekam. Das hat mich sehr interessiert und ich bin
drangeblieben. Zuletzt habe ich für die Internetregistrierungsbehörde gearbeitet. Jetzt
bin ich Nortons oberster Sicherheitsberater. Das ist eine ganz neue Stelle, ich bin erst
im zweiten Monat hier, und mein Job ist es, die Kontakte zu den Ermittlungsbehörden
zu pflegen und das Verbraucherbewusstsein zu stärken
Ich bin sicher, der einzige Weg, langfristig Erfolg zu haben im Kampf gegen Cybercrime
liegt darin, den großen Wissensschatz der Privatindustrie zu nutzen und den
Strafverfolgungsbehörden zugänglich zu machen, denn die sind es, die am Ende
jemanden verhaften können.
Autor:
Auch Dirk Kollberg von McAfee hat seine Datensammlung mittlerweile an das FBI und
an die amerikanische Verbraucherschutzbehörde, die Federal Trade Commission, FTC,
übergeben.
Am 24. Februar 2010 erwirkten die US-Verbraucherschützer über das zuständige
Gericht in Maryland ein umfassendes Urteil, in dem sie erstmals eine
Gesamtschadenssumme nennt, die die Täter erstatten sollen: 163.167.539 US-Dollar
und 95 Cent. Die Ermittler sind sich zwar ziemlich sicher, dass dies nur ein Anteil,
womöglich nur ein Bruchteil des gesamten Umsatzes von „Innovative Marketing“ und
den anderen Tarnfirmen ist. Aber der Nachweis ist schwierig. Nach amerikanischem
Recht muss dieser Gerichtsbeschluss noch von einem weiteren Gericht bestätigt
werden. Und dann könnte etwas bisher nie Gekanntes geschehen: Die FTC will alle
Betrugsopfer, deren Adressen sie finden kann, mit den beschlagnahmten Summen
anteilmäßig entschädigen. Auch in Deutschland. Es könnten also dann in
Zehntausenden Haushalten Briefe eintreffen, die wohl vielerorts für Verwunderung
sorgen werden: Eine US-Behörde entschädigt deutsche Verbraucher, die Opfer
amerikanisch-indischer und ukrainischer Krimineller wurden.
****
12
Herunterladen