darkweb
darkweb
Bildquelle: darkday (CC BY 2.0)

Messenger führend beim Verkauf geklauter Daten

Eine aktuelle Analyse des illegalen Marktes besagt, dass die meisten geklauten Daten mittlerweile per Messenger veräußert werden.

Ein neuer Bericht von Agari und PhishLabs der Firma HelpSystems zeigt im zweiten Quartal dieses Jahres erhebliche Verschiebungen im Markt auf. Der Verkauf gestohlener Daten verlagert sich deutlich von den Foren und Darknet-Marktplätzen hin zu Chat basierten Messengern.

Die Ergebnisse der Analyse stehen im Einklang mit der Schließung bzw. dem Rückzug einiger großer Darknet-Carding-Websites im ersten Quartal des Jahres. UniCC schloss Mitte Januar freiwillig seinen Betrieb. SSNDOB wurde Anfang Juni vom FBI beschlagnahmt, um nur zwei Beispiele zu nennen.

Telegram, messenger

Die in dem Bericht analysierten gestohlenen Informationen, die Hunderttausende von im zweiten Quartal 2022 aufgezeichneten Angriffen umfassen, wurden größtenteils durch Phishing- und Social-Media-Angriffe erlangt. Diese zielten hauptsächlich auf Banken, Kreditgenossenschaften, Telekommunikations-Anbieter und Finanzdienstleister ab.

Messenger als führender illegaler Vertriebsweg

HelpSystems zufolge sind Kreditkartendaten, im Bericht als „Fullz“ bezeichnet, nach wie vor die „häufigste von Kriminellen beworbene Bedrohung“ im Dark Web. Dabei erfolgt der Verkauf zunehmend in privaten Chats per Messenger und nicht über Darknet-Anzeigen oder in Hacker-Foren.

Messenger, Phishlabs
PhishLabs: Anteil der Vertriebskanäle für geklaute Daten.

Laut der Aufschlüsselung des Verkaufs gestohlener Daten im Darknet im zweiten Quartal 2022 verbuchten Carding-Marktplätze ein Minus von fast 14%. Auch Foren und allgemeine Marktplätze sind seit Monaten auf dem Rückzug.

Über Chat basierte Messenger Apps wurden hingegen 45% der Daten verkauft. Das waren 24,1 Prozent mehr als zuvor. Chat basierte Services sind im Internet beispielsweise Telegram, WhatsApp, Matrix, Jabber (XMPP) & Co. Telegram wäre dafür optimal, weil man den Verkauf automatisiert über einen Bot abwickeln könnte.

Vishing = Phishing in Kombination mit Social Engineering

phishlabs

Doch es geht nicht nur um Messenger als attraktiven Vertriebskanal. Im Bericht stellte man auch fest, wie die Cyberkriminellen die Daten illegal erlangt haben. So stellte man einen erheblichen Anstieg der Zahl der „hybriden Vishing„-Angriffe zwischen dem ersten Quartal des Vorjahres und dem zweiten von 2022 fest. Bei hybriden Vishing-Angriffen handelt es sich um mehrgleisige Attacken. Diese beginnen in der Regel damit, dass ein Opfer eine Phishing-Mail erhält.

Darin gibt man eine Telefonnummer an, die angeblich von einer legitimen Quelle stammen soll. Das Opfer will man durch den Inhalt der E-Mail dazu verleiten, die Nummer anzurufen. Dann versuchen die Angreifer auf der anderen Seite der Leitung mittels Social Engineering sensible Informationen aus dem Opfer herauszupressen.

Phishing einmal anders – von Kenneth Lu, thx! (CC BY 2.0)

„Bedrohungsakteure nutzen neue und ungewöhnliche Methoden, um die Effektivität ihrer Angriffe zu maximieren.“ Dies schrieb der Tripwire-Autor PJ Bradley in einer Zusammenfassung des Berichts.

„Hybride Vishing-Angriffe, wie sie im zweiten Quartal zu beobachten waren, sind ein herausragendes Beispiel dafür, wie Cyberkriminelle ihre Taktik ändern, um Sicherheitsmaßnahmen zu umgehen“, heißt es abschließend.

Phishing-Angriffe haben im Jahr 2022 stetig zugenommen, wobei Angriffe über soziale Medien in den letzten 12 Monaten um über 100 % angestiegen sind.

Der Bericht stellt außerdem fest, dass der Trojaner Emotet inzwischen fast die Hälfte aller Malware-Angriffe ausmacht. Und dass 60 Prozent der Phishing-Angriffe zum Diebstahl von Anmeldedaten auf Office-365-Anmeldedaten abzielen, die anscheinend die lukrativsten Online-Anmeldedaten darstellen.

Wer den englischsprachigen Bericht über Messenger als Vertriebsweg beziehen will, muss vor dem Download einige Informationen von sich preisgeben.

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.