Im Gespräch mit Cherry-Store.to klären wir, wie das Phishen eigentlich funktioniert. Sechs Personen arbeiten an diesem illegalen Online-Shop.
Im Online-Shop Cherry-Store.to gibt es alles mögliche, was illegal ist und man nur im Graubereich bekommt. Unechte Accounts von Amazon über PayPal bis Zalando, geklaute Kreditkarten, Online-Banking-Zugänge der Sparkassen u.v.m. Wir haben uns mal mit dem Betreiber unterhalten, der ein Team von sechs Personen anführt.
Wie funktioniert das Ganze?
Die meisten Store-Betreiber verkaufen selbst gephishte Ware. Soll heißen: Sie unterhalten ein Team von Personen, die verschiedene Aufgaben haben. Zunächst kauft man bei einem einschlägigen Forum oder Deepweb-Shop einen gehackten Datensatz an. Im Idealfall werden die E-Mail-Adressen in Kombination mit den Vor- und Zunamen erwähnt, um eine persönliche Ansprache zu ermöglichen.
Klare Aufgabenteilung bei Cherry-Store.to
Die Spammer verschicken nun möglichst ohne bei den E-Mail-Anbietern Aufsehen zu erregen, massenweise Einladungen an die Personen, weil diese angeblich ihr Konto überprüfen müssen. Im Vorfeld wurde ein echt aussehendes Portal eines Zahlungsdienstleisters, einer Bank oder einer ähnlichen Institution ins Netz gestellt, die sich primär durch die URL vom Original unterscheidet. Und davon, dass diese frei von jeglichen Funktionen ist. Dort geht es nur darum, die Opfer dazu aufzufordern, ihre Zugangsdaten samt Passwort einzugeben. Sonst haben solche Seiten grundsätzlich keine Funktion. Im zweiten Schritt werden die abgephishten (illegal erlangten Daten der Opfer) in Form von Logdateien ausgewertet, um die entsprechenden Accounts im eigenen illegalen Online-Shop zum Verkauf anzubieten.
Zwischenhändler sind bei Cherry-Store.to verpönt
Zwischenhändler, die illegale Accounts ankaufen, um diese zu verkaufen, sind in diesem Bereich unerwünscht. Zu groß wäre die Gefahr, dass Accounts gleich mehrfach verkauft werden, um den Gewinn des Shop-Betreibers oder Zwischenhändlers zu maximieren. Natürlich kann das auch passieren, sofern der Macher des Shops gleichzeitig auch der Phisher ist. Doch das würde sich relativ schnell herumsprechen und negativ auf die Umsatzzahlen auswirken.
Cherry-Store.to verkauft selbst gehackte Datensätze
Jeder verkauft folglich seine „eigenen“ Datensätze, die er mit seinem Team selbst gephisht hat. So auch hier bei Cherry-Store.to. Bezahlt wird übrigens ausschließlich via paysafecard und Bitcoin. Ersteres generiert zwar hohe Gebühren, ist aber anonym. Aber nur, sofern man einen gefakten Account samt Ausweis und Konto unter fremden Namen nutzt. Der Transfer per Bitcoin ist es nicht. Selbst beim Einsatz eines Mixers ist keine einhundertprozentige Verschleierung der Zahlungsströme garantiert. Und das ist das, wonach sich die Behörden richten. Die folgen häufig als einen Schritt von vielen mittels eines Testkaufs der Spur des Geldes vom Käufer bis zum Verkäufer der illegalen Waren…
Bevor es losgeht, möchte ich mich bei unseren Lesern für ihre eingereichten Fragen bedanken! Auf einige Punkte wäre ich ohne Eure Hilfe nicht gekommen.
Spam-Versand, Phishing & illegaler Shop = How to earn money quickly?
Tarnkappe.info: Hallo CH3RRY. Vielleicht magst Du zum Einstieg ein wenig über Dich erzählen? In welchem Bundesland lebst Du? Was ist Dein ungefähres Alter, Dein Familienstand, Beruf etc.
CH3RRY: Man muss dazu sagen, dass wir sechs Personen im Team sind. Das heißt vier Spammer und zwei Supporter. Bis auf Einen kommen wir alle aus Sachsen und pflegen auch engen Kontakt im privaten Leben. Zu unserem Alter möchten wir aber keine Auskunft geben. Liegen aber alle im Bereich 30 bis 35 Jahre. Auch die anderen Details sind mir zu privat, um sie hier zu verraten.
Tarnkappe.info: Schon mutig, sich persönlich zu kennen. Das war nicht zu erwarten. Aber mal als Rückfrage: Wer oder was sind in dem Zusammenhang eigentlich Spammer?
CH3RRY: Spammer phishen die Logs, sie machen die Arbeit. Spammer spammen die Mails und getten (= holen sich) die Logs. Wie Phishing im Detail funktioniert, wird ja in der Einleitung ausführlich erklärt.
Tarnkappe.info: Seit wann bist Du in der Szene aktiv? Was hast Du denn bisher so alles getrieben?
CH3RRY: Wir sind erst seit dem Cherry-Store aktiv. Wir haben uns selbst das Spammen (massenhaftes und ungefragtes Verschicken der E-Mails) beigebracht. Viel haben wir vorher nicht gemacht. Ich persönlich habe früher in einer Lidl-Filiale auf Vollzeit gearbeitet. Das war einfach schrecklich…
Cherry-Store.to: „Natürlich geht’s auch ums schnell verdiente Geld“
Tarnkappe.info: Das kann ich mir leibhaft vorstellen. Aber warum setzt man sich überhaupt mit so etwas wie Fraud (= Online-Betrug) auseinander? Oder geht’s letztlich nur ums liebe Geld?
CH3RRY: Natürlich geht es auch ums schnell verdiente Geld. Jedoch ist das alles auch nicht so einfach, wie es sich die meisten Leute wahrscheinlich denken. Wer sich nicht an die Regeln der E-Mail-Anbieter hält, wird für eine gewisse Zeit auf die Blacklist gesetzt, um nur ein Beispiel zu nennen. Dann geht von dort keine einzige Mail mehr an die Kunden dieses E-Mail Providers heraus.
Täglicher Arbeitsaufwand = zehn Minuten für jedes Teammitglied
Tarnkappe.info: Wie viele Stunden muss man tagtäglich auf den Betrieb eines solchen Online Shops verwenden? Welche Arbeiten fallen denn jeden Tag aufs Neue an?
CH3RRY: Eigentlich ist das Spammen ein jeden Tag aufs neue beginnender Prozess mit der gleichen Reihenfolge. Irgendwann kannst du das mit geschlossenen Augen.
Man kann anfangs mit einem zeitlichen Aufwand von sechs bis zwölf Stunden täglich rechnen. Wir mussten die Seite ja erstmal hochziehen und absichern. Da wir aber ein größeres Team sind und unsere Arbeit gut aufteilen, arbeitet nun keiner von uns mehr als zehn Minuten am Tag.
Tarnkappe.info: Heftig, von solchen Arbeitszeiten kann man bei anderen lukrativen „Nebenjobs“ nur träumen. Ist Cherry-Store.to eigentlich ein “Einzelunternehmen”? Oder steht ein ganzes Team dahinter ?
CH3RRY: Wie eingangs erwähnt, wir sind ein Team bestehend aus sechs Personen. Wir haben untereinander die Aufgaben aufgeteilt.
Für die Scripts haben wir unsere eigenen Programmierer
Tarnkappe.info: Woher kommt denn eigentlich die bereitgestellte “Ware”? Durch Zukauf von Händlern oder von anderen Shops? Oder durch Quellen, die man sich selbst erarbeiten musste?
CH3RRY: Unter „Ware“ verstehe ich einfach mal unsere Mails, SMTPs, Scripts? Dafür haben wir unsere eigenen Coder (Programmierer). Und die SMTPs und E-Mails kaufen oder dumpen (= illegales kopieren einer kompletten Datenbank) wir uns selbst. Falls aber mit „Ware“ unsere PayPals etc. gemeint sind!? Nein. Die phishen wir natürlich selbst. Wir resellen nicht. Das heißt wir verkaufen keine angekauften Daten an unsere Kunden.
Tarnkappe.info: Wir haben schon gehört, dass das Verkaufen von angekaufter Ware komplett verpönt ist.
Habt ihr keine Angst davor, dass ihr irgendwann selber mal auf der Seite der VICs (= Victim, in Deutsch: Opfer) steht, weil Euer Konto leergeräumt wurde ?
CH3RRY: Ehrlich gesagt nicht, nein.
Tarnkappe.info: Das “Angebot” bei euch im Cherry-Store ist ja eher „überschaubar“. Was plant ihr als nächstes…?
CH3RRY: Derzeit ist vieles in Planung. Mehr können wir dazu aber noch nicht sagen.
Keine Wartezeiten: Abwicklung bei Cherry-Store.to läuft vollautomatisch
Tarnkappe.info: Ich habe schon gehört, dass ein weiterer Shop momentan aufgebaut wird, was Dich in den letzten Wochen zeitlich sehr in Anspruch nahm. Aber gut, deine Antwort kann ja jetzt alles und nichts bedeuten.
Bei Eurem Shop werden grundsätzlich keine Garantieren gegeben. Wie sieht euer “Versprechen” gegenüber potenziellen Kunden aus? Also prompte Lieferung nach Zahlung zum Beispiel.
CH3RRY: Klar. Sobald gezahlt wurde, erhält man seine Ware. Das dauert keine Sekunde. Das läuft bei uns alles komplett automatisch und nicht manuell. Und eine grundsätzliche Garantie kann keiner geben. Das ist woanders ganz genauso.
Tarnkappe.info: Ein Leser beklagt die kurze Haltbarkeit Deiner bisherigen Online-Shops, wie kam es dazu?
CH3RRY: Da wir keine bisherigen Online-Shops hatten, kann ich dazu nicht viel sagen.
Der Webserver wird aus Sicherheitsgründen wöchentlich gewechselt
Tarnkappe.info: Wie sieht das aus: Wenn Cherry-Store.to eines schönen Tages mal “hops” genommen werdet, wie steht es dann um die Sicherheit Eurer Kunden?
CH3RRY: Also erstens loggen wir bei uns auf der Webseite grundsätzlich keine IP-Adressen. Aber das verspricht einem ja wirklich jeder. Zudem wechseln wir jede Woche den Server. Die Datenbank wird im Notfall auch automatisch gepurged (vernichtet). Wie das genau passiert, kann ich natürlich nicht erläutern.
Tarnkappe.info: Oder willst nicht, schon klar. Sind in Deinem Team ehemalige Hayvan.to Mitglieder? Wenn nein, warum ein Alleingang?
CH3RRY: Wir haben keinen Kontakt zu Hayvan.to. Und ein Alleingang ist es wie gesagt auch nicht.
Tarnkappe.info: Der Online-Shop Hayvan.to ist übrigens offline. Bislang ist nicht bekannt, wann genau und warum dies geschah.
Nur Center-Verdiener?
Aber mal etwas anderes. Was hälst du eigentlich von dem Trend, das viele Paypal Account-Verkäufer bei mehreren Paypal-Verkäufern die Billigangebote mitnehmen wie z.B. Mengenrabatt oder 20 bis 50 Cent-Accounts einkaufen, die sie dann für einen Euro aufwärts weiterverkaufen?
CH3RRY: Sorry, aber das sind in meinen Augen alles Cent-Verdiener. So macht man das einfach nicht.
Tarnkappe.info: Warum haben eigentlich die Shops plötzlich alle verschiedene Formate?
CH3RRY: Weil nicht alle das gleiche Phishing-Script haben. Das genaue Gegenteil ist der Fall.
Tarnkappe.info: Werden die Paypal E-Mails vorher noch auf Payback Accounts geprüft oder die eBay Accounts gecheckt, bevor sie in den Verkauf gehen?
CH3RRY: Nein. Die E-Mail-Adressen werden bei Cherry-Store.to nur auf Mailvalid geprüft. (Also daraufhin, ob die jeweilige E-Mail-Adresse funktioniert.)
Niemand lebt hauptberuflich von Cherry-Store.to
Tarnkappe.info: Wie lange glaubst Du, wirst Du das mit dem Cherry Store noch machen können? Lebst Du derzeit davon?
CH3RRY: Keiner von uns lebt vom Store. Selbst wenn es gut möglich wäre. Jeder macht nebenbei sein eigenes Ding und hat Erfolg. Wir werden den Cherry-Store so lange wie es geht online halten und Euch mit Ware versorgen.
Tarnkappe.info: Danke für die Beantwortung der vielen Fragen und des interessanten Einblicks in die Welt der Spammer und Phisher.
CH3RRY: Kein Ding. Im Gegenteil, das Team von Cherry-Store.to hat zu danken!
Weitere spannende Interviews:
– Free-Boot.to, ein DDoS-Dienstleister im Gespräch
– Zeronet, eine Alternative oder gar die Zukunft des Tor-Netzwerks?
– alt aber gut: Interview mit einem Cyberkriminellen (Teil 2)
– Ein ehemaliger Zellennachbar von Lucky (Deutschland im Deep Web) erzählt von den Zuständen in der JVA Karlsruhe.
Beitragsbild Simon Zhu, thx! (unsplash licence)
Tarnkappe.info