Einen Escrow-Betrug deckten die Sicherheitsforscher von Digital Shadows im Altenen-Forum auf. Involviert sind ein Admin und ein Moderator.
Der Spur zu einem Escrow-Betrug folgte aktuell das Threat-Intelligence-Unternehmen Digital Shadows. Sein Photon Research Team deckte dabei auf, wie zwei Mitarbeiter des Carding-, Hacking- und Cracking-Forums Altenen ihre Positionen zum persönlichen Vorteil auf Kosten der Forum-User ausnutzten. Bei einem der Beteiligten handelt es sich um einen Administrator, bei dem anderen um einen Moderator. In ihrem Blogpost unter dem Titel „Unter Dieben gibt es keine Ehre …“, informierte Digital Shadows über den Vorfall.
Gemäß Digital Shadows ist Altenen:
„ein englischsprachiges Forum für Cyberkriminelle. Es wurde vermutlich 2013 gegründet, hat sich im Laufe der Jahre umbenannt und war zuvor ein Forum in arabischer Sprache. Heutzutage geht es hauptsächlich um das „Geld verdienen im Internet“ mittels „verschiedener Verdienstmöglichkeiten“ (zB Carding). Berichte über betrügerische Benutzer von Altenen kursieren bereits seit 2015.“
Wie viele ähnliche Websites verarbeitet Altenen Zahlungen über ein Treuhandsystem, wobei die Administratoren der Website das Treuhandkonto verwalten.
Twitter-User erbrachte Hinweis auf Escrow-Betrug
Den ersten Hinweis zu dem Escrow-Betrug lieferte ein Twitter-Nutzer im Juni 2022. Dieser führte das Photon Research Team zu einem Cross-Site-Scripting (XSS)-Forenthread, auf dem gehackte Nutzerdaten zu finden waren. Wie nicht anders zu erwarten, bestanden die meisten aufgefundenen Daten hierbei aus Benutzernamen, E-Mail-Adressen und Registrierungsdaten. Des Weiteren fanden sich Benutzerstatus-Tags und Anzahl der Direktnachrichten. Allerdings enthielt eine Datei zudem die Beweise auch über Escrow-Betrug. Digital Shadows fand darin durchgesickerte Direktnachrichten zwischen besagten Altenen-Mitarbeitern und mehreren Foren-Usern. Die Unterhaltungen fanden zwischen Ende 2019 und Mitte 2021 statt.
Sobald Zahlungen eingingen, herrschte Funkstille
Auf den Bezug genommenen Fall kaufte ein Kunde einen Laptop von einem anderen Altenen-User. Nach Zahlung von 600 Dollar schickte er eine Nachricht an den Moderator, in der er um eine Empfangsbestätigung für den Geldeingang bat. Stattdessen allerdings verlangte dieser eine zusätzliche „Hinterlegungsgebühr“ in Höhe von 120 US-Dollar. Nachdem er den Betrag mit dem Moderator auf 80 Dollar herunterhandelte, zahlte der Benutzer den weiteren Betrag. Als der Kauf jedoch fehlschlug und der Benutzer die Treuhandgebühr zurückforderte, stellte der Moderator schließlich die gesamte Kommunikation ein.
Weitere Gespräche mit ähnlichem Muster folgten, „bei denen entweder der Moderator oder der Administrator einen Benutzer ignorierte oder aufhörte, ihm zu antworten, sobald die Zahlung eingegangen war“. Anstelle von Bitcoin-Überweisungen akzeptierte man in anderen Fällen auch Western Union (WU)-Überweisungen. Gemäß Digital Shadows gab der Admin in einem Gespräch gegenüber einem Benutzer sogar zu, dass der Moderator ihn hereingelegt und der ganze Vorfall ein Betrug gewesen war.
In einem anderen Vorfall forderte man einen Benutzer, der den Status eines „verifizierten Verkäufers“ anstrebte, um Point-of-Sale (POS)-RAM-Scraping-Malware auf der Website zu verkaufen, auf, 500 US-Dollar für das Privileg zu zahlen. Gemäß Digital Shadows schlug der Administrator vor, dass der User seine Malware-Entwicklungsfähigkeiten gegen die eigenen Benutzer der Plattform wenden solle. Er könne einen Bitcoin-Stealer entwickeln und ihn im Forum einsetzen, da es hier viele Benutzer mit großen Mengen an Bitcoin gebe.
Nicht alle Foren-Mitglieder werden zu Betrugs-Opfern
Digital Shadows weist darauf hin, dass nicht alle Benutzer, die sich an die Betrüger wandten, zu Betrugszielen wurden. In einigen Fällen teilte man dem User mit, dass es sich um einen Betrug handelt und warum man ihn aufgrund bestimmter Kriterien nicht ins Visier nimmt. Demgemäß fielen Muslime aus dem Raster und zudem „hochkarätige“ Forum-Mitglieder. Wie Digital Shadows betont, spiegeln die Auswahlkriterien „das Verhalten in russischsprachigen Foren wider, in denen Unternehmen der ehemaligen Sowjetrepubliken nicht angegriffen werden.“
Digital Shadows stieß bei seinen Schlussfolgerungen auf einen scheinbaren Widerspruch. Einerseits setze der Untergrund der Cyberkriminalität alles daran, „das Vertrauen zwischen Käufern und Verkäufern zu festigen. Die meisten Websites verwenden dabei Bewertungssysteme, die denen von Amazon oder eBay nicht unähnlich sind. Damit wollen sie die Transparenz und das Benutzererlebnis verbessern“. Andererseits scheint das im Widerspruch zu den von Digital Shadows aufgedeckten Beweisen zu stehen. Gemäß Digital Shadows könnte eine mögliche Erklärung dafür sein:
„Wenn ein Escrow-Betrug von den Mitarbeitern des Forums begangen wird, steht es den Betrügern frei, so viele Benutzer zu betrügen, wie sie wollen. Sobald das Forum in der Lage ist, einen konstanten Zustrom naiver Mitglieder anzuziehen, kann es online bleiben, egal wie sehr sein Ruf durch die Enthüllung des Betrugs Schaden erleidet. […] Als Carding-Forum im Surface Web zieht Altenen die Art von Bedrohungsakteuren an, die wahrscheinlich OPSEC-naiv sind. Dies scheinen die Mitarbeiter auszunutzen.“
