Wir sprachen gestern mit dem Kriminellen Banking KingZ. Sein Ziel ist es, mittels Phishing an die Kontozugangsdaten seiner Opfer zu gelangen.
Ein Deutscher, mit dem wir kürzlich ausführlich gechattet haben, nennt sich Banking KingZ. Er hat es darauf abgesehen, mit illegalen Mitteln an das Geld Dritter zu gelangen. Mittlerweile lebt er laut eigener Aussage im Ausland in einer anderen Zeitzone.
Jeder hat schon einmal eine „dringende Aufforderung“ per E-Mail im Spam-Ordner gesehen. Darin heißt es, dass DHL ein Paket zurückschickt, wenn man ihrer Aufforderung nicht nachkommt. In manchen Fällen droht man mit der Sperrung eines Girokontos. Oder das Konto bei Amazon, PayPal oder einem anderen großen Konzern soll in Gefahr sein. Je größer das anvisierte Kreditinstitut, desto größer ist die Chance, die Leute hinter’s Licht zu führen.
Banking KingZ will an das Geld anderer Leute
Von daher lauten die angeblichen Absender vieler Phishing-Mails Commerzbank, Deutsche Bank oder Sparkasse. Es wäre sinnlos vorzutäuschen, der Adressant der Nachricht wäre ein Exot wie beispielsweise die Triodos Bank. Dann würde die Kampagne der Phisher auch bei 100.000 verschickten Nachrichten kaum noch etwas bringen.
Unser Gesprächspartner ist für sein „Geschäftsmodell“ auf Kurznachrichten umgestiegen. Der höfliche Mann im mittleren Alter nennt sich Banking KingZ. Er zieht es vor, seine Nachrichten per SMS zu verschicken und verdient damit fünfstellige Umsätze pro Tag. Steuerfrei, versteht sich. Sollte man ihm jemals auf die Spur kommen, was seiner Meinung nach eher unwahrscheinlich ist, käme für die Bestrafung seiner Betrugsdelikte noch Steuerhinterziehung oben drauf.
Der Mann ist vorsichtig. Er beantwortet unsere Fragen direkt, statt uns eine Textdatei oder ein Dokument für LibreOffice zurückzuschicken. Die Dokumente könnten aufgrund der eingebauten Metadaten verräterische Spuren hinterlassen, schreibt er uns. Als paranoid würde er sich nicht bezeichnen. Vielmehr habe er bei seinem Versteckspiel viel Erfahrung gesammelt. Um unentdeckt zu bleiben, müsse man eine gehörige Portion „gesunden Menschenverstand“ besitzen, argumentiert er. Es fällt schwer, dem zu widersprechen.
Kostenloser Newsletter
Lesetipps und Glosse bequem ins Postfach - Abonnieren Sie jetzt den kostenlosen Newsletter.
Wichtig beim Phishing: psychischen Druck ausüben
Tarnkappe.info: Phishing gibt es nun mehr seit fast 25 Jahren in den verschiedensten Ausführungen. Welches Phishing-Modell setzt Du ein? Setzt Du die Empfänger dabei unter Zeitdruck? Welche psychischen Tricks kommen dabei zur Anwendung? Total überzogene Rechnungsbeträge, erhebliche Mehrkosten, drohende Sperrungen des Accounts ?!?
Banking KingZ: Vorab möchte ich anmerken, die Aussagen beruhen auf unseren Techniken und Erfahrungen. Und eigentlich nutzt kein anderes Team dabei derart fortschrittlichen Systeme. Dabei rede ich nicht von einzelnen „Tools“ oder „Praktiken“, sondern vom großen Ganzen.
Also. Unser „Phishingmodell“ oder „Business Plan“, wie wir immer sagen, befasst sich mit derzeit sehr hoch angesehenen Online Banking, die „gehackt“ genauer gesagt mit Social Engineering erlangt und dann „abgezogen“, also geleert werden.
Bei uns werden grundsätzlich verschiedene Methoden verwendet. Dabei spielt aber, wie du bereits gesagt hast, Zeitdruck eine bedingt wichtige Rolle. Das kann von benötigter Re-Verifizierung bis hin zum Androhen von drohenden Kontosperrungen reichen. Eigentlich alles, was logischerweise von einer Bank kommen könnte.
Kontaktaufnahme mittels SMS
Tarnkappe.info: Logo, zu dem Thema gehen in den Medien ja ständig Nachrichten herum, die aufklären sollen. Nutzt Du für das Anschreiben vor allem Banken, Zahlungsdiensleister oder auch neuartige Methoden, wie Phishing mittels DocuSign oder AdobeSign?
Banking KingZ: Das Anschreiben passiert grundsätzlich mittels SMS, dabei wird durch Spoofing ein „echter“ Absender verwendet, also die SMS kommt dann zum Beispiel vom Absender „Deutsche Bank“ oder „Sparkasse“. Docusign und der ganz andere Blödsinn fällt dabei weg, ist ja eine SMS.
Tarnkappe.info: Das heißt also, die Nummer existiert tatsächlich und kann vom Empfänger auch überprüft werden. Das Vortäuschen falscher Telefonnummern gaukelt den Opfern vor, dass die SMS wirklich von ihrer Bank kam. Technisch gesehen ist das Spoofing der Telefonnummer ja schon seit längerer Zeit kein Hexenwerk mehr. Wie lange sind die Server für die nachgebaute Website denn in der Regel online, bis man sie sperrt?
Server sind schon lange die gleichen
Banking KingZ: Die Server sind seit der ganzen Laufzeit die gleichen, wir verschleiern unsere Backend-IPs natürlich. 😉
Die Domains werden in 95% der Fälle nicht gesperrt. Keine der Spam-Provider, egal ob Google Safe Browsing, Spamhaus usw. erkennt unsere Seiten dank unserem ausgeklügelten AntiBot-System als gefährdet/gefährlich an. Unsere Seiten sind seit Monaten unantastbar.
Tarnkappe.info: Betreibst du die Infrastruktur und die Verschleierungsmechanismen selber, oder bedienst Du Dich vorhandenen Strukturen, indem du Dich in solche Netzwerke einmietest?
Banking KingZ: Die Infrastruktur und Software dahinter wird von A-Z von mir selber entwickelt und Dritten zur Verfügung gestellt. Mir selbst waren bereits vorhandene Systeme oder Scripts einfach zu schlecht gecoded. Wir haben inzwischen eher eine Art eigenes Phishing-CRM, als irgendeinen billigen 0815-Script Kiddie Code, den man sich per Copy & Paste zusammen geklaut hat, ohne davon wirklich Ahnung zu haben.
Tarnkappe.info: Erklärung: Mit Customer-Relationship-Management (CRM) ist eine Software gemeint, die mehrere exakte Eckdaten anzeigt, wie erfolgreich die Phishing-Kampagnen im Detail waren. Wir durften uns mithilfe mehrerer Screenshots vom Leistungsumfang dieser Software überzeugen.
Nutzt du die erbeuteten Daten selber, um an das Geld der Opfer zu gelangen? Oder verkaufst du so gesammelte Daten, um damit Geld zu verdienen?
Banking KingZ: Beides, ich arbeite mit einigen Partnern zusammen, die Konten mit größeren Beträgen selber leeren, kleinere oder Logs, die wir nicht gebrauchen können, werden an Dritte verkauft. Wer weiß schon, was die damit anstellen. 🤷🏻♂️
Banking KingZ verdient täglich zwischen mehren Tausend bis 10.000 Euro
Tarnkappe.info: Das weiß man also nicht. Von welchen Umsätzen kann man denn da überhaupt monatlich im Durchschnitt sprechen?
Banking KingZ: Die Umsätze können schwierig pauschalisiert werden. Du kannst aber mal von mehren Tausend bis Zehntausend Euro pro Tag ausgehen. Manche Tage laufen besser, andere schlechter. Kommt natürlich auch alles auf den Wochentag an.
Tarnkappe.info: Welche Methoden des Phishings setzt Du ein, wenn es nicht nur ein Modell ist? Hast Du Dich auf eine Methodik spezialisiert? Worin liegen ihre Vorteile?
Banking KingZ: Hauptsächlich Clone-Phishing und Domain-Spoofing, wobei es eigentlich auch unter Smishing geht.
Zur Erklärung: Domain-Phishing bedeutet, dass man über Webseiten Phishing betreibt. Die Domains müssen aber nicht zwingend einen Sinn ergeben. Domain-Phishing würde so aussehen: statt facebook.com dann halt wjakgdhajajd.com. Das fällt den Opfern wahrscheinlich schneller auf, sollten sie überhaupt auf die URL achten.
Domain-Spoofing ist, wenn man die Domain der nachzuahmenden Seite so echt wie möglich aussehen lässt. Beim Domain-Spoofing sehen die URLs dann ganz anders aus. Statt facebook.com dann facebook-hilfecenter.com, um ein Beispiel zu nennen.
Banking KingZ:„Nur mit der Masse machst Du Kasse ;-)“
Tarnkappe.info: Sind die Phishing-Attacken denn gegen einzelne Personen oder Institutionen gerichtet, oder immer an größere Opfermassen?
Banking KingZ: Ich sage dazu, nur mit der Masse machst Du Kasse 😉🤣
Tarnkappe.info: Wie viel Prozent der angeschriebenen Personen besucht das Imitat der Website? Wie viele fallen dann tatsächlich darauf herein?
Banking KingZ: Naja, statistisch waren das vor unserem Update ~ 0.1%. Durch Optimierungen habe ich das aber auf 0.45 bis zu 1% gesteigert. Das kommt grundsätzlich immer auf die Zielgruppe an, an die unsere SMS rausgehen, wir sind aber seit Längerem nicht mehr unter 0.3%.
Tarnkappe.info: Interessante Conversion Rate. Welchen Umfang haben denn die Datenbanken, die Du dafür einsetzt? Also von wie viel E-Mail-Adressen sprechen wir? Wahrscheinlich nutzt Du nur solche Datenbanken, die weitere persönliche Angaben wie Name, Vorname, Anschrift etc. beinhalten, oder?
Banking KingZ: Nun ja, ich sag’s mal so: Unsere Konkurrenz wird wortwörtlich durch Spamhaus und andere Anbieter wie zum Beispiel GSB (Google Safe Browsing) meist bereits innerhalb von 45-90 Minuten markiert und beim Betreten der Website wird somit eine Warnung angezeigt. Bei uns sind, wie gesagt die Seiten seit Monaten online ohne einen Report.
Den Spam bekommt man nicht so schnell in den Griff!
Tarnkappe.info: Phishing scheint ein waschechtes Katz-und-Maus-Spiel zu sein. Wie effektiv ist in dem Zusammenhang The Spamhaus Project? Was für eine undurchschaubare Organisation ist das überhaupt? Das Spam-Aufkommen ist trotz der Gegenmaßnahmen weiterhin gigantisch, global betrachtet.
Auch wenn das gegen Deine Interessen wäre: Glaubst Du, das Problem werden die E-Mail-Anbieter jemals in den Griff bekommen?
Banking KingZ: Das Problem von Phishing bzw. Spam ist relativ schwierig, in denn Griff zu bekommen und meiner Meinung nach zum derzeitigen Zeitpunkt unmöglich 100% zu bewerkstelligen. Dafür nutzen wir einfach schon zu lange .COM-Technologie, E-Mail und SMS ist schon lange veraltet und das Durchsuchen von Domains/E-Mails nach gefährlichen Inhalten ist eine technische Meisterleistung, die diverse Studien bereits ausgebootet haben.
Mit .com-Technologie ist gemeint: Der Versand von E-Mails und SMS zum Beispiel, all die Technologien, die mit dem Internet und durch die .COM Blase entstanden sind und seitdem eigentlich veraltet sind.
Mangelnde Transparenz von Spamhaus & Co. ist sinnvoll
Tarnkappe.info: Man könnte es auch Dotcom-Technologie nennen, das wäre geläufiger.
Banking KingZ: Wie dem auch sei, dass Firmen wie Spamhaus oder Google-Spam so undurchsichtig sind, macht aus meiner Sicht eindeutig Sinn. Wenn sie es öffentlich machen würden, wie und ab wann etwas als verdächtig oder als Spam markiert wird, hätten wir es ja viel einfacher, etwas gegen die Erkennung zu machen.
Zusätzlich ist es aus Sicht der Konsumenten ja auch wichtig: Würde es solche Dienstleistungen nicht geben, wären noch viel mehr Leute gefickt. Ich meine, das, was wir machen, ist zwar die Phishing Crème de la Crème, aber dennoch nur die Spitze des Eisberges.
So wie unsere Gegenspieler das zurzeit machen, ist das aus technischer Sicht richtig, alles andere wäre ja relativ dumm. 😂
Tarnkappe.info: Bei der Frage nach dem Spamhaus Projekt geht es darum, dass man dort offenbar wenig Wert auf den Schutz Daten Dritter legt (Stichwort: Online-Pranger der Spammer) und gleichzeitig von allen anderen uneingeschränkte Transparenz einfordert. Dafür versteckt man sich in einem Kleinstaat hinter einer Briefkastenfirma. Die Forderung nach Offenheit müsste doch eigentlich für alle Beteiligten gelten, oder?
Außerdem gab es immer wieder ungerechtfertigte Sperren vom Spamhaus Projekt, die man nVPN und anderen VPN-Anbietern längerfristig zumutet. Wir haben darüber bereits ausführlich berichtet. Oder ist das alles Collateral Damage, den man im Kampf gegen die Phisher hinnehmen muss?
Man hat viel zu wenig im Kampf gegen Spam unternommen!
Banking KingZ: Ja, gut, wie gesagt, ist es schwierig, mit so einem Projekt wie Spamhaus Transparenz zu zeigen. Zu sagen, warum die das aber genau so machen, wäre in meinen Augen reine Spekulation.
Dass Spamhaus VPNs usw. schnell mal den Hahn abdreht, ist ja nichts Neues, es werden ja einige auch für das Spamming und Botting (Botting = Versand der Spam-Nachrichten mit einem Spam-Bot) usw. benutzt. Dass die Betreiber aber die Möglichkeiten haben, dies zu verhindern, ist vielen nicht bewusst, in meinen Augen wurde da einfach zu wenig gemacht.
Außerdem. Phishing und Spamming kann grundsätzlich schon viel Schaden anrichten, daher ist aus meiner Sicht zu viel sperren besser als zu wenig.
Aussichtsreiche Datenbanken sind richtig teuer
Tarnkappe.info: Was kostet so eine Datenbank? Wo kauft man die? Wie zuverlässig sind diese Informationen?
Banking KingZ: Der Verkauf solcher Daten (Logs), als Log bezeichnen wir einen einzelnen Datensatz, findet auf unzähligen Seiten und beispielsweise bei Telegram statt.
Preislich kommt das immer auf die Qualität des Datensatzes an, kann aber schnell mal zwischen wenigen Euro und -> mehreren Tausend Euro variieren. Das ist grundsätzlich immer die Frage, wie viel sich da rausholen lässt, wie alt die Personen aus dem Log sind, wie sicher die Bank dahinter ist etc.
Bezüglich der Zuverlässigkeit ist es immer schwierig zu sagen, auch da gibt es schwarze Schafe. Aber grundsätzlich ist durch Escrow (Treuhand-System) immer alles so abgesichert, dass der Käufer solcher Datensätze und der Verkäufer das bekommen, was versprochen wird.
Wenn der eine Abzocker den anderen abzockt
Tarnkappe.info: Außer der Betreiber spielt ein falsches Spiel ;-)
Banking KingZ: Eigentlich ist das, wie bereits erwähnt, durch Escrow (Treuhand-Konto) auf diversen Plattformen abgesichert, aber natürlich es gibt auch Scammer (Abzocker), die Scammer scammen. 😂
Grundsätzlich ist mir das egal, ob jetzt mit E-Mail noch gespammt werden kann oder nicht, das benutzen wir ja beispielsweise gar nicht. Aus meiner Sicht ist die Technologie einfach zu veraltet und auch wenn etwas Neues kommt, es gibt immer irgendwelche Wege.
Ich meine mich erinnern zu können, erst vor Kurzem wurde der Mailprovider von Namecheap gehackt und jetzt werden zich Millionen Phishing-Mails in deren Namen versendet. Also egal wie sicher ein System zu sein scheint. Es gibt immer eine Türe, die sich für uns öffnet.
Ich habe keine 10 Minuten nach dem Namecheap-Hack schon ein paar Phishing E-Mails mit dem Absender hello@namecheap.com bekommen, die nicht als Spam markiert wurden. 🤷🏻♂️😂
„Jeder bescheißt irgendwie oder irgendwo.“
Tarnkappe.info: Moralische Bedenken hast du keine? Oder handelst Du nach der Devise: Die Dummen werden Schiffbruch erleiden, die Belesenen undIntelligenten betrifft das nicht? Also frei nach Charles Darwins Evolutionstheorie, dass der Stärkere überlebt?
Banking KingZ: Naja, so etwas wie Moral gibt es nach meiner Meinung nicht, jeder bescheißt irgendwie oder irgendwo.
Tarnkappe.info: Okay, man kann sich natürlich alles schön reden, wenn man es will. Letzte Frage: Wenn Du damit so gut verdienst, machst Du das in 10 Jahren immer noch?
Banking KingZ: In 10 Jahren eher nicht. 😂
Tarnkappe.info: Dann wirst Du wohl eher unter Palmen Deinen Cocktail schlürfen. Oder Du bist in der regulären Arbeitswelt verschwunden und wirst sehr schnell bemerken, wie viel die anderen Angestellten bzw. Selbstständigen für die gleiche Summe arbeiten müssen.
Danke auf jeden Fall für das ausführliche Interview, mit dem Du uns viele interessante Einblicke gewährt hast.
(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.
