Profigangs zocken Möchtegern-Spammer ab

Eine neue Studie von Microsoft Research über die Untergrundökonomie räumt mit dem Mythos auf, dass Spam und seine Folgedelikte wie Phishing "Muss-Geschäfte" seien. Das Gros der Möchtegern-Täter wird in den einschlägigen IRC-Kanälen nämlich selber abgezockt, echte Profite schreiben nur wenige: professionell organisierte Gangs.

"Die Ökonomie des Untergrunds wird oft als kriminelles Utopia des schnellen Geldes dargestellt, wo auch gänzlich Unbedarfte alles für Phishing Nötige erwerben, Hosting-Services anmieten und ihre Dienste dann über IRC-Kanäle profitabel vermarkten könnten. Dieses Bild hält einer Überprüfung jedoch nicht stand", schreiben Cormac Herley und Dinei Florencio von Microsoft Research in ihrem neuesten Forschungsbericht.

Dieser Bericht mit dem Titel "Niemand verkauft Gold für den Preis von Silber: Verlogenheit, Unsicherheit und die Untergrundökonomie" räumt mit der vorherrschenden, allzu einfachen Sichtweise auf, dass Spamming und Folgedelikte der Cyberkriminalität grundsätzlich hochprofitable "Muss-Geschäfte" seien.

Am Anfang steht der Spam

Spam ist bekanntlich die Grundlage für den Vertrieb aller möglichen Produkte der Schattenökonomie. Von gefälschten Medikamenten reicht die Palette ansonsten nur schwer verteilbarer Waren bis zur "Kinderpornografie". Die technische Infrastruktur besteht aus rund um die Welt gekaperten und ferngesteuerten Rechnern, die in Bot-Nets organisiert sind.

Diese Rechner werden einerseits als Spam-Verteiler genutzt, um Websites zu bewerben, über die Kontoinhaber dazu gebracht werden sollen, ihre Zugangsdaten einzugeben. Die Websites befinden sich ebenfalls auf gekaperten Rechnern irgendwo auf der Welt, die zumeist an privaten Breitbandanschlüssen hängen, aber auch in Unternehmen und Behörden zu finden sind.

Vor wenigen Tagen haben Google und die Spam-Experten von Postini die neuesten Spam-Statistiken vorgelegt. Obwohl mit McColo und 3FM zwei bedeutende Bot-Net-Betreiber (also Spam-Provider) vom FBI einkassiert wurden, stieg das Spam-Volumen im zweiten Quartal 2009 gegenüber dem Vorjahr um 53 Prozent.

• Mail-Störungen: "Der ganz normale Wahnsinn"

• Google meldet dramatischen Anstieg von Spam

Diese Computer haben eines gemeinsam: Sie laufen auf einem mangelhaft bis schlecht abgesicherten Windows-System, das durch irgendeine Attacke kompromittiert und in einen "Zombie" verwandelt worden ist. Die Eigentümer haben in aller Regel davon keine Ahnung.

Abzocker abgezockt

Die landläufige Schlussfolgerung, gerade weil es so viel und immer mehr Spam gibt, müsse das für alle Beteiligten ein Riesengeschäft sein, stimmt allerdings nicht.

Was sich in den von Kriminellen betriebenen IRC-Kanälen (Internet Relay Chat) abspiele, sei vielmehr der klassische Fall eines "Lemon Market", auf dem Newcomer systematisch abgezockt würden.

Die Regel sei dort nämlich der Betrug, der sich logischerweise negativ auf die Profite der Möchtegerns auswirke. Wer für seine dunklen Geschäfte auf diese Chat-Kanäle angewiesen sei, bezahle in jedem Fall hohe "Abzocksteuern" ("Ripper Taxes"), denn wie alle "Lemon Markets" sei dieser Umschlagplatz von "Asymmetrie der Information" geprägt.

Der Zitronenmarkt

Gemeint ist damit, dass nur der Verkäufer über die Qualität seines Angebots Bescheid weiß, während der Käufer keine Ahnung haben kann, was er da erwirbt. Ein Nachwuchsspammer, der vom Betreiber eines Bot-Netzes Kapazitäten mietet, um ein paar Millionen E-Mails auszusenden, oder gleich ein paar der gekidnappten Rechner mietet, kann sich überhaupt nicht sicher sein, ob und was er dann tatsächlich erhält.

Ebenso ergeht es jenen, die gestohlene Kontozugangsdaten oder Kreditkartennummern kaufen, um die Konten dann zu plündern: Sie werden in der Regel selber abgezockt. Die häufig angebotenen "Phishing Kits" - Software und Hosting-Services, die es angeblich jedem erlauben, sein eigenes Phishing-System aufzuziehen - wiederum haben in der Regel Hintertüren eingebaut, wenn sie nicht überhaupt nur dafür vertrieben werden, um an die Kreditkartendaten der Möchtegern-Phisher zu gelangen.

Duale Schattenwirtschaft

Sogar wenn alles wie beworben funktioniere, sei längst noch nicht gesagt, dass damit auch Geld zu machen sei, schreiben die Forscher: "Ein Phisher, der eine Liste mit Mailadressen und Software kauft, um einen Fischzug bei PayPal zu starten, wird klarerweise weniger Ausbeute haben, wenn über dieselbe Liste und mit demselben Tool in derselben Woche bereits mehrere andere Phishing-Angriffe auf PayPal gestartet worden sind."

Hilfsangebote in IRC-Kanälen für Neulinge im kriminellen Geschäft seien praktisch in allen Fällen mit dem Versuch verbunden, den Newcomer auszunehmen.

Die beiden Microsoft-Forscher zeichnen so das Bild einer dualen Schattenwirtschaft. Einerseits ist da die große Masse, die auf der Jagd nach schnellem Geld selbst regelmäßig abgezockt wird, wenn sich etwa die angekauften Kreditkartennummern als reine Zufallszahlen erweisen

Gehobene Internet-Kriminalität

Signifikante Profite macht diese Unzahl von Möchtegerns nach Meinung von Herley und Florencio nicht, denn tatsächliche Gewinne finden sich nur im Segment der "gehobenen" Internet-Kriminalität.

Die wird von wenigen, gut organisierten Gruppen von Kriminellen betrieben, die für ihre Geschäfte weder auf die IRC-Kanäle noch auf Servermieten oder den Zukauf von Mailadressen angewiesen sind.

Genau darüber aber wissen die Microsoft-Forscher leider nur wenig Spezifisches zu berichten, außer dass diese organisierten Kriminellen genau das nicht tun, was bei der kriminellen Unterklasse quasi die Regel ist.

"Deppensteuer" für Gierige

Statt auf gegenseitigen Betrug setzt man im Profisegment auf längerfristige Zusammenarbeit, denn der weitaus höchste Kostenfaktor ist in diesem Geschäft die wechselseitige Abzocke: eine Art "Deppensteuer" für Gierige auf der Jagd nach schnellem Geld.

Der Eintrittspreis ins Geschäft ist also hoch und er bestimmt sich aus den Kosten zum Aufbau einer Organisation, die sowohl über technisches Know-how als auch ein umsichtiges "Management" und gute "Kundenkontakte" verfügt.

Das unterscheidet sie zwar sehr deutlich vom Pöbel des "Zitronenmarkts" im IRC, doch eines haben beide zum Leidwesen aller Internet-Benutzer gemeinsam: Sie produzieren zusammen Unmengen von Spam.

• Nobody Sells Gold for the Price of Silver: Dishonesty, Uncertainty and the Underground Economy

• Black Hat Briefings

• Cormac Herley

Und es ist davon auszugehen, dass gerade die vielen Möchtegerns für den Löwenanteil von Spam verantwortlich sind.

"Ein Phisher aus dem oberen Segment bekommt pro Million Spam-Mails 100 Zugangsdaten für Konten heraus, einer aus dem unteren Segment dagegen nur eine aus ebenso viel Spam" schreiben die Microsoft-Forscher.

Herley und Florencio werden auf den kommenden Blackhat Briefings Ende Juli in Las Vegas ihre Thesen zur Internet-Schattenwirtschaft präsentieren.

(futurezone/Erich Moechel)