Die Tarnkappe hinter den Kulissen. Dieses Interview mit einem Cyberkriminellen will nicht die Tatsachen verdrehen oder jegliche Straftaten beschönigen.
Sie stehlen Kreditkarten und gehen damit auf Einkaufstour. Und sie infizieren PC Systeme, um an Passwörter, Accounts oder andere brauchbare Informationen zu gelangen. Sie waschen ihre erbeuteten Gelder und bereichern sich. Die Rede ist von Cyberkriminellen. Wir konnten ein Interview mit einem ehemals aktiven Mitglied führen. Er erzählt unverblümt von den Praktiken dieser sogenannten Carding- beziehungsweise Fraud-Szene.
Vorwort:
Erst einmal möchten wir uns bedanken, dass hier und im Forum ngb.to so viele Fragen für das Interview eingereicht wurden. Wir haben versucht, so gut wie alle zu übernehmen. An alle Kritiker, die meinen, solchen Menschen sollte man keine „Bühne“ bieten: Dieses Interview soll ein Einblick geben und in erster Linie der Aufklärung dienen. Denn es ist sehr interessant und aufschlussreich zu wissen, wie einfach es ist im Internet an sensible Informationen zu gelangen. Zudem zeigt das Gespräch, wie naiv Nutzer im Web unterwegs sind. Die Aktivitäten von Cyberkriminellen sollen auf keinen Fall schön geredet oder von uns für gut befunden werden.
Da dieses Interview sehr ausführlich und lang ist, gibt es eine Einteilung in unterschiedliche Themenbereiche. Dies dient vor allen der Übersichtlichkeit. Da es in den Ausführungen des Cyberkriminellen viele Begriffe gibt, die für einige Leser unbekannt sind, wurden dazu passende Erklärungen verlinkt!
Der zweite Teil des Interviews ist hier verfügbar.
Unser Gesprächspartner „Nichtsgeht“ – wie alles begann.
Scenepirat: Hallo „Nichtsgeht“. Vielen Dank, dass Du Dir die Zeit nimmst und mit uns über Deine kriminellen Aktivitäten reden möchtest. In diesem Interview werde ich Dir viele Fragen von unseren Redakteuren und Lesern stellen. Fangen wir direkt an.
Sag uns doch etwas zu Deiner Person. Wie alt bist Du ungefähr, welchen akademischen Grad besitzt du?
Nichtsgeht: Ich selbst bin zwischen 22 und 26 Jahren alt. Ich bin Absolvent eines Gymnasiums.
Scenepirat: Arbeitest Du neben Deinen Aktivitäten auch noch legal auf festangestellter- oder freiberuflicher Basis?
Nichtsgeht: Ich arbeite neben meinen Aktivitäten im Netz auch hart und legal, was ein Großteil dieser Szene nicht mit sich bringt. Also zahle ich zudem brav in meine Rentenkasse und Steuern.
Scenepirat: Als was Du arbeitest, möchtest Du uns aber nicht sagen?
Nichtsgeht: Nein, ich denke das tut auch nicht wirklich etwas zur Sache.
Scenepirat: Was treibt dich dazu, aus dem Nähkästchen zu plaudern?
Nichtsgeht: Ich selbst habe jahrelang eine Menge von Fraud gehalten, jedoch bin ich mittlerweile nicht mehr stolz drauf. Ich sehe es als meine Mission, Menschen nun zu diesem Thema aufzuklären um sich vor Fraud / Betrügern zu schützen.
„Mit der Zeit kam eine Art Betroffenheit in mir auf…“
Scenepirat: Woher kommt der Wandel, dass Du nun lieber aufklären willst, anstatt aktiv in diesem Bereich zu sein?
Nichtsgeht: Weil ich der Meinung bin, dass der Großteil der Szene nur noch aus Kindern beziehungsweise Jugendlichen im Alter von 14-16 Jahren besteht und ich finde, dass man in diesem Alter noch nicht in solch eine Szene geraten sollte. Außerdem kam mit der Zeit eine Art Betroffenheit in mir auf, in der ich mir Gedanken um die privaten Opfer gemacht habe, auch wenn ich vorher ihr ganzes Leben durchwühlt habe, um mich über ihren finanziellen Status zu informieren, da ich armen Leuten / Persönlichkeiten nichts nehmen wollte, oder gar Probleme bereiten wollte.
Scenepirat: Wie bist Du damals in die Szene gekommen, was hat Dich motiviert, dort tätig zu sein? Gibt dir das Ganze einen Kick?
Nichtsgeht: Ich kam ursprünglich aus einer ganz anderen Schiene (Leecher/Warez-Szene), jedoch war dort nie ein „Kick“ dabei und somit wurde es mit der Zeit einfach langweilig, zudem kam in diesem Bereich kein Cent zustande. Das Ganze war nur ein Hobby für mich. Durch einen Zufall bin ich dann an jemanden geraten, der in der Fraudszene aktiv war und mich dort von Tag 1 an unterstützt hat, um mich in diesem Bereich durchzuschlagen. Motiviert hat mich natürlich das Geld und die nagelneuen Artikel / Waren, ohne auch nur großartig einen Cent zu investieren. Im Fraudbereich war definitiv ein „Kick“ dabei, nicht erwischt zu werden.
„Die Szene besteht aus Jugendlichen im Alter von 14 bis 16 Jahren.“
Scenepirat: Wie lange bist Du jetzt schon dabei, wie hat sich die Szene im Laufe der Jahre geändert? Würdest du wieder einsteigen? Hast Du Dir schon ein Standbein erwirtschaftet und planst den kontrollierten Ausstieg, oder machst Du weiter, bis der Krug bricht? Wie stellst Du Dir Deine Zukunft vor?
Nichtsgeht: Ich selbst bin seit etwa 4-5 Jahren dabei, war aber anfangs mehr unter den stillen Lesern vertreten, um mir erst mal ein „Know-how“ anzueignen, ohne mir im Wesentlichen Fehler zu erlauben. Im Laufe der Jahre hat sich eine Menge verändert, da die Foren und Communitys mittlerweile für „Jedermann“ offen und erreichbar sind, und sich somit dort viele Kinder und halbstarke Tastaturhelden aufhalten. Früher kam es vereinzelt auch dazu, nur aktuell vermute ich, dass der Großteil der Fraudler aus Kindern besteht, die sich gegenseitig die Cents aus den Taschen leiern.
Ich weiß nicht, ob ich wieder einsteigen würde, vielleicht.. vielleicht auch nicht.. kommt ganz darauf an, wie sich diese Szene in der Zukunft verändert. Da ich ja regelmäßig arbeite und sowieso ein geregeltes Einkommen habe, führe ich ein normales Leben. Das erwirtschaftete Geld wurde gut angelegt und ich kann mir finanzielle Sprünge erlauben.
„Meine Familie ist eingeweiht.“
Scenepirat: Ist jemand aus Deiner Familie oder Deinem Freundeskreis eingeweiht? Was sagen sie darüber?
Nichtsgeht: Meine Familie war / ist darüber eingeweiht und natürlich war eine Abneigung auf dieses Thema zu spüren, jedoch gehe ich mit meiner Familie ziemlich offen um und bereue es auch nicht, da sie zu mir steht egal, welchen Schritt ich gehe.
Scenepirat: Wie würdest du dich fühlen Opfer von Cyberkriminellen zu werden? Wurdest du selbst einmal Opfer?
Nichtsgeht: Ich selbst war noch nie Opfer von Cybercrime / Cyberkriminellen, da ich meine persönlichen Daten wie Bankverbindungen und Co. schütze und diese auch gar nicht im Netz verwende.
Ich glaube, ich würde mich aber genauso fühlen, wie jeder, der auch schon einmal über das Internet betrogen worden ist. Das ist schwer zu sagen und sich in diese Situation zu versetzen.
Netzwerkkabel. Foto: LoboStudio Hamburg.
Sicherheit: Verschlüsselung / VPN / Proxy / Vicsocks – Techniken
Scenepirat: Wie bist Du mit dem Internet verbunden? Klassisches analoges Modem, UMTS über Prepaid-SIM, DSL oder sogar ein Kabelanschluss mit fester IP?
Nichtsgeht: Ich selbst habe mehrere Möglichkeiten auf das Internet zuzugreifen, sei es der klassische Nachbar oder via Prepaid / Vertrags – SIMs (UMTS). Über meinem eigenen Anschluss habe ich keine Tätigkeiten vollzogen, und wenn es sein musste, bin ich außerhalb meiner Heimat in Internetcafés aufgetreten, um dort ungestört meinen Tätigkeiten nachzugehen.
Scenepirat: Hattest Du keine Angst, erwischt zu werden? Gerade in Zeiten der „totalen“ Überwachung im Web. Wie hast Du Dich abgesichert? (z.B. Proxy, VPN, Vicsocks etc.)
Nichtsgeht: Angst hatte ich keine, jedoch war natürlich wie schon gesagt ein „Kick“ dabei. Abgesichert habe ich mich mit VPN, Socks und Vicsocks (Proxy-Server wird auf dem PC eines Opfers installiert) als Chain mit Proxifier und zusätzlich kam hin und wieder ein Windows VPS zum Einsatz, um remote meinen Tätigkeiten nachzugehen.
Scenepirat: Verwendest Du Victim Socks, um somit unbeteiligte Dritte hineinzuziehen?
Nichtsgeht: Vicsocks sind heutzutage eigentlich ein Muss, vor allem wenn man via Paypal Transaktionen tätigen möchte, da das Sicherheitssystem auf IPs reagiert, die nicht aus der gleichen Postleitzahl oder nahe liegenden PLZ-Gebiet liegen. Außerdem kontrolliert heutzutage beinahe jeder Shop die IPs der Einkäufer um Betrug vorzubeugen. Daher kurz und bündig: ja!
Scenepirat: Glaubt man den Anbietern, nutzten immer mehr Internetnutzer VPN’s um ihre Verbindung zu sichern. Glaubst Du, die Anbieter von VPNs etc., speichern (wie angegeben) KEINE IP-Adressen ihrer Nutzer?
Nichtsgeht: Ich selbst stand auch aus anderen Gründen mit VPN-Anbietern in Kontakt, die jegliches verneinten. Jedoch würde ich mich auf diese Aussagen der Anbieter nie verlassen. (siehe Hidemyass, als Beispiel.) Ich rate daher jedem, der Interesse an einer privaten Nutzung eines VPNs hat, selbst einen aufzusetzen, da man in diesem Fall selbst die Kontrolle über sämtliche Logs und Verschlüsselung verfügt.
Sollte das „Knowledge“ nicht ausreichen, kann man in den jeweiligen Szenen einige private VPN-Hoster vorfinden, die ich vermutlich jedem gewerblichen Hoster vorziehen würde.
Vertraue keinem VPN, das Du nicht selbst aufgesetzt hast!
Scenepirat: Über das TOR-Netzwerk hört man ja die verschiedensten Dinge. Neben Journalisten, die dies wegen der Anonymität und Meinungsfreiheit nutzen, gibt es auch viel kriminelle Energie in diesem Netzwerk. Durch den Bust, des Schwarzmarktes Silkroad wurde TOR ja auch in den Medien bekannter. Nutzt Du diese überhaupt? Spielt TOR generell eine große Rolle in dieser Szene?
Nichtsgeht: TOR habe ich an sich nur genutzt um auf Silkroad zugreifen zu können und um dort einzukaufen, für mehr hat mich TOR nicht interessiert. Ich denke, früher war das Darknet bzw. TOR mehr gehyped als heute, da die ganzen Foren bzw. deutschsprachigen Communitys im freien Web zu finden sind. Warum es umständlich machen, wenn es einfach geht … nicht wahr? In der amerikanischen, russischen oder chinesischen Fraud-Szene ist TOR wesentlich weiter verbreitet als hier in Deutschland.
Scenepirat: Wie ist die Szene heute und damals aufgebaut? Welche Nationen spielen dabei eine große Rolle?
Nichtsgeht: An sich wird die ausländische Szene im Gegensatz zu früher nicht mehr so immens in Anspruch genommen, was womöglich an den ganzen minderjährigen Nutzern liegen mag, die nur auf die Schnelle Geld machen möchten. Ich war eigentlich nur im englischsprachigen Raum tätig und habe dort nach Kontakten gesucht.
Mittlerweile sind diese aber voll von Rippern (= Betrüger), was nicht heißt, dass diese damals nicht auch schon vorhanden waren. Nur heutzutage bescheißen sich die Betrüger gegenseitig und das nicht zu knapp. Der Aufbau der Szenen ist der gleiche, nur eben das heutzutage einfach jeder Zugang zu dieser hat, ohne sich noch großartig Kontakte suchen zu müssen, um dort Eintritt gewährt zu bekommen. Daher dieser Überschuss an Kindern und einem unschönen Umgang miteinander.
Daher haben ausländische Kontakte heute keine Bedeutung für mich im Fraudbereich. Wie ich das sehe, sind heute aber noch die Russen, Albaner und auch wir Deutschen ganz oben mit dabei. Mit anderen Nationen habe ich mich nicht befasst.
Schnelles Geld: Kreditkartenbetrug
Scenepirat: Wie funktioniert Kreditkartenbetrug eigentlich, ist es wirklich so einfach? In welchem Umfang hast Du diesen bisher betrieben und wie hat sich Dein Vorgehen im Laufe der Jahre geändert?
Nichtsgeht: Kreditkartenbetrug an sich ist eine einfache Sache. Es fängt bei Sicherheitsmerkmalen wie VPN, Socks und Vicsocks an und endet beim Droppen (= das Abholen / der Empfangen der Waren).
Die Kreditkartendaten lassen sich frei in der Szene für „Peanuts“ kaufen, wo es aber Unterschiede zu beachten gibt. Ob der SecureCode setzbar ist, das Limit oder um welche Art von Kreditkarte es sich handelt.
Die Preise basieren da von 5 bis etwa 70 Euro, je nach Vorhaben und Wert, den man benötigt.
Der zweite Schritt wäre es einen Online-Shop aufzufinden, bei dem es noch möglich ist via Kreditkarte zu zahlen, bzw. bei dem eine Kreditkartenzahlung durchgeht, da diese mittlerweile auch auf Sicherheit achten, und gegebenenfalls einen „Persoscan“ (= Scan des Personalausweises) benötigen oder sogar zur Sicherheit anrufen. Andernfalls wird die Zahlung storniert und es kommt gar nicht erst zum Versand der Waren.
Nun würde man nur noch einen Drop benötigen, den man braucht, um die Waren zu empfangen. Das fängt mit Packstationen an und geht weiter bis zum Einbruch in leerstehende Wohnungen oder Häuser, wo man auf den Paketboten wartet.
Und schon hat empfängt man hochpreisige Waren, obwohl man nur einen Bruchteil des Kaufpreises dafür investiert hat.
Der zweite Teil des Interviews ist hier verfügbar.
Scenepirat: Zerpflücken wir mal diese Aussage von Dir ein wenig.
1. Wie findet man solche Shops? Gibt es viele „cardable“ Shops? Wie können sich Betreiber von Online Shops dagegen schützen?
Nichtsgeht: Solche Shops findet man entweder durch Zufall, indem man diese selbst austestet. Oder man kauft sich diese für unterschiedliche Beträge je nachdem, was dort verkauft wird. Andernfalls gibt es Listen, die kostenfrei zu finden sind. Dort werden die Shops gelistet und die dazu passenden Bezahlmethoden samt Versandbedingungen etc.. Online Shops sollten Kreditkartendaten und Zahlungsdaten immer verschlüsselt abspeichern. Die eingesetzte Shopsoftware sollte immer auf dem neusten Stand sein. Zur Prävention könnte man auch sogenannte White Hat Hacker nach einem Penetrationstest fragen, um Sicherheitslücken zu finden und diese zu schließen.
Video: Was ist ein Penetrationstester?
2. Funktioniert das nur mit Kreditkarten? Oder hast Du für den Kauf auch PayPal Accounts oder Girokonten verwendet?
Nichtsgeht: Das ganze System funktioniert auch mit Paypal, Skrill (Moneybookers) etc. Jedoch hat beispielsweise Paypal ein Sicherheitssystem, was des Öfteren Zahlungen unterbindet. Diese Accounts stammen aus „gedumpten“ (= als Textdatei veröffentlichten) E-Mail/Passwort-Listen oder aus Phishing-Projekten.
Natürlich kann man solche Accounts auch kaufen. Mit Girokonten direkt habe ich nichts betrieben, außer später mit eigenen Bankdrops, das wäre aber ein anderes Thema.
3. Ist es wirklich so einfach anonym an einer Paketstation die Ware abzuholen?
Nichtsgeht: Jap! Jedoch senden beispielsweise Online-Shops bzw. Anbieter à la Amazon oder Zalando gerne Behörden direkt zu solchen Packstationen, um die Täter auf frischer Tat zu ertappen.
Die Packstationen sind ebenfalls oftmals durch Kameras abgesichert, aber da hilft auch eine einfache Cap (= Mütze) und Sonnenbrille.
Ein schmutziger Blaumann hilft gegen kritische Postboten.
4. Fällt dem Postboten nicht das leerstehende Haus auf? Wundert sich niemand über den „vermeintlichen Empfänger“, der die Tür öffnet?
Nichtsgeht: So was kann immer passieren, mir selbst aber bis dato noch nicht passiert. Aus solchen Gründen hilft öfter mal ein „Blaumann“ (= Arbeitsanzug eines Handwerkers), der mit Farbflecken verschönert worden ist. Die meisten Postboten denken darüber nicht nach. Sie wollen nur ihren Job erledigen und das Paket loswerden.
Scenepirat: Welche Waren hast Du Dir gecardet?
Nichtsgeht: Es fing an mit Schuhen, und ging weiter bis hin zu Multimediaartikeln, die nicht in eine Packstation passten. Ob iPhones, iPads, Samsung Galaxys oder auch TV-Geräte, welche persönlich in einem Haus Drop entgegengenommen worden sind. Der Umfang war schon groß.
Scenepirat: Du sagtest mir, dass Du die Waren meist weiterverkauft hast und nicht selber genutzt hast.
Nichtsgeht: Ja, denn mir war das zu heiß gecardete Smartphones zu nutzen. Die könnten ja mittels GPS Tracker geortet werden oder bei einer Kontrolle die IMEI (= Identifizierungsnummer des Geräts) überprüft werden.
Scenepirat: Wo kommen die Kreditkartendaten her? Verteilst (= spreadest) Du selber Schadsoftware, um an Kreditkarten oder PayPal Accounts zu kommen?
Nichtsgeht: Schadsoftware habe ich für solche Zwecke nicht primär genutzt. Wenn habe ich sämtliche ältere Shops mit Lücken-Scannern durchforstet, um dort hinterlegte Zahlungsdaten abzugreifen, was sogar häufiger geklappt hat. Andernfalls haben dann die Maillisten ausgereicht um selbst aufgesetzte Phishing Projekte zu spreaden. (= verbreiten) Dabei hat mich gewundert, wie viele Menschen heutzutage noch naiv genug sind, um auf solche E-Mails hereinzufallen.
Scenepirat: Da du das Thema Phishing ansprichst, unsere Leser haben dazu auch eine Frage.
1.Wie viel Prozent der Empfänger fallen auf Phishing Mails rein? Werden die Zahlen überhaupt erfasst oder spielt das für Euch keine Rolle?
2.Gibt es eine bestimmte Gruppe von Menschen, die du im Visier hast, oder werden die Opfer einfach zufällig gewählt?
Nichtsgeht: Prozentual habe ich das Ganze nie betrachtet, aber quotentechnisch hing das immer von den Mail-Listen ab, wie alt diese waren und ob diese E-Mail-Adressen überhaupt noch aktiv genutzt werden, was sich leider nicht immer überprüfen lässt. Die Zahlen lassen sich dann am Phishingscript erkennen, wie viele Nutzer auch ihre Daten hinterlegt haben, die uns im Endeffekt weitergeholfen haben.Von Unterschicht bis zum Doktor, Anwalt oder auch Firmen-Kreditkarten waren alle Sorten dabei.
Mir persönlich war es egal, da ich mir gedacht habe, dass die Menge entscheidend ist.. Danach wurde aussortiert und eventuell wurden auch Teile der Daten verkauft, da diese für mich nicht von Nutzen waren.
Scenepirat: Waren schon “Elitecards” dabei oder andere Karten mit sehr hohem Limit? Wie häufig kam das vor?
Nichtsgeht: Diese waren auch dabei, aber natürlich eher weniger. Personen die solche Kreditkarten nutzen, gehen auch vorsichtiger mit diesen Daten um, was wohl jeder nachvollziehen kann.
Scenepirat: Kaufst du CC (= Creditcard) -Informationen? Russland, die Ukraine oder Polen sollen ja das Mekka für gestohlene Kreditkarten sein. Welche Rolle spielt die Türkei dabei, in letzter Zeit werden diese ja immer aktiver.
Nichtsgeht: Ich habe CC Informationen früher auch von Russen oder anderen Nutzern aus internationalen Gewässern bezogen, was aber aktuell nachgelassen hat, da ich mir die CCs selbst beschafft oder wenn nötig, von einem deutschsprachigen Kollegen bezogen habe. Die Türkei habe ich in diesem Sinne nicht dabei beobachtet. Sie stand für mich nicht im Mittelpunkt. Ich kann dazu eher weniger sagen, aber dennoch an dieser Stelle Gratulation an die Türkei.
„Ein schlechtes Gewissen hatte ich definitiv.“
Scenepirat: Hattest Du nie ein schlechtes Gewissen, teure Produkte auf Kosten Dritter zu erwerben? Hat es dich nicht gestört, dass die Opfer dadurch finanziell ruiniert wurden? Wie rechtfertigst Du Deine Taten vor Dir selbst? Hast du kein Mitleid mit den Opfern?
Nichtsgeht: Ein schlechtes Gewissen hatte ich definitiv. Ich bin da womöglich nicht so abgebrüht wie viele andere Nutzer der Szene. Dennoch habe ich wie schon beschrieben das halbe Leben der Kreditkartenbesitzer durchforstet, da ich niemandem großes Leid antun wollte.
Ich will damit nichts schönreden, aber es war mir nicht egal. Kalt gelassen hat es mich nicht. Dennoch waren meist Anwälte, Doktoren oder Personen, die deutlich oder vermutlich mehr verdienen als der Normalverbraucher meine Opfer, und nicht für jeden habe ich Mitleid empfunden. Haushalte, wo Kinder mit im Spiel waren, habe ich generell ausgelassen.
Soweit zum ersten Teil unseres Interviews mit einem Cyberkriminellen. Im zweiten Teil geht es um Schadsoftware, die Übernahme Ihres Computers und die Kontrolle von Botnetzen. Hier lesen!
Tarnkappe.info