Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Forward-Looking Threat Research Team
TrendLabs Forschungspapier
TREND MICRO LEGAL DISCLAIMER HAFTUNGSAUSSCHLUSS The information provided herein is for general information and educational purposes only. It is not intended and
Die in diesem Dokument bereitgestellten Informashould not be lediglich construed allgemeiner to constitute legal advice. tionen sind Natur und The für information contained herein may not be applicable to all Aufklärungszwecke gedacht. Sie stellen keine situations and may dar not refl ect the current Rechtsberatung und sindmost nicht als situation. solche Nothing contained shouldDokument be relied onbereitgeor acted auszulegen. Die herein in diesem stellten Informationen womöglich nicht upon without the benefit offinden legal advice based on the auf alle facts Sachverhalte Anwendung undandspiegeln particular and circumstances presented nothing womöglich jüngsten Sachverhalte herein shouldnicht be die construed otherwise. Trend wider. Micro Die Inhalte in diesem Dokument sind ohne eine reserves the right to modify the contents of this document Rechtsberatung auf der Grundlage der vorgestellten at any time without prior notice. besonderen Fakten und Umstände nicht als verlässlich of oder Handlungsanweisungen zu Translations any als material into other languages are verstehen und as nicht in anderer Weise auszulegen. intended solely a convenience. Translation accuracy Trend behält das Recht die Inhalte is not Micro guaranteed norsich implied. If any vor, questions arise dieses Dokuments zu jeder Zeit und ohne related to the accuracy of a translation, please refer to Vorankündigung zu ändern. the original language official version of the document. Any
Inhalt 4 Marktlandschaft
13 Angebote
discrepancies or differences created in the translation are not binding and have legal effect for compliance or Übersetzungen in no andere Sprachen sind ausenforcementals purposes. schließlich Unterstützung gedacht. Die Genauigkeit der Übersetzung wird weder garantiert noch Although Trend Micro uses reasonable efforts to include stillschweigend zugesichert. Bei Fragen zur Geaccurate and up-to-date information herein, Trend Micro nauigkeit einer Übersetzung lesen Sie bitte in makes no warranties or representations of any kind as der offiziellen Fassung des Dokuments in der Urto its accuracy, currency, or completeness. YouAbweiagree sprungssprache nach. Diskrepanzen oder that access to and use of and reliance on this document chungen in der übersetzten Fassung sind nicht and the content thereof im is atHinblick your ownauf risk.Compliance Trend Micro bindend und haben disclaims all warranties of any kind, express or implied. oder Durchsetzung keine Rechtswirkung.
20 Alleinstellungsmerkmale
Neither Trend Micro nor any party involved in creating, producing, or delivering this document shall be liable
Trend Micro bemüht sich in diesem Dokument for any consequence, loss, or damage, including direct, im angemessenen Umfang um die Bereitstellung indirect, special, consequential, loss of business profits, genauer und aktueller Informationen, übernimmt or special damages, whatsoever arising out of access to, jedoch hinsichtlich Genauigkeit, Aktualität und use of, or inability to use, or in connection with the use of Vollständigkeit keine Haftung und macht diesthis document, or any errors or omissions the content bezüglich keine Zusicherungen. Sie inerklären Ihr thereof. Use of this information constitutes acceptance for Einverständnis, dass Sie dieses Dokument und use in an “as is” condition. seine Inhalte auf eigene Gefahr nutzen und sich darauf berufen. Trend Micro übernimmt keine Gewährleistung, weder ausdrücklich noch stillschweigend. Weder Trend Micro noch Dritte, die an der Konzeption, Erstellung oder Bereitstellung dieses Dokuments beteiligt waren, haften für Folgeschäden oder Verluste, insbesondere direkte, indirekte, besondere oder Nebenschäden, entgangenen Gewinn oder besondere Schäden, die sich aus dem Zugriff auf, der Verwendung oder Unmöglichkeit der Verwendung oder in Zusammenhang mit der Verwendung dieses Dokuments oder aus Fehlern und Auslassungen im Inhalt ergeben. Die Verwendung dieser Informationen stellt die Zustimmung zur Nutzung in der vorliegenden Form dar.
36 Überschneidungen mit dem russischen Cyberuntergrund
40 Fazit
42 Anhang
Der deutsche cyberkriminelle Untergrund ist gut entwickelt und organisiert. Trotzdem bilden die deutschen Cyberkriminellen zahlenmäßig eine nur kleine Gemeinschaft im Vergleich zu den russischen1 oder brasilianischen2 Communities. Innerhalb der EU aber ist der deutsche Untergrund wahrscheinlich der am weitesten entwickelte. Es gibt auch einen französischen und spanischen, der sich allerdings mit dem lateinamerikanischen zusammengeschlossen hat. Der deutsche Untergrund umfasst eine bunte Mischung aus Produkten und Dienstleistungen. Es gibt Crimeware, Zugangsdaten, Fälschungen und Drogen. Interessanterweise hat der Untergrund eine ähnliche Struktur wie das Deep Web3 und bietet Kriminellen so viel wie möglich, um mithalten zu können. Das eingeschränkte Angebot könnte zum Teil an der Sprachbarriere liegen oder auch an der Größe des Markts. Der deutsche Untergrund ist ein „Neuling“, der alles liefert, was Cyberkriminelle für den Geschäftsstart brauchen. Es ist ein Regionalmarkt, denn die Angebote (Packstation-Services, gehackte Konten, deutsche, österreichische und Schweizer Kreditkarten- bzw. Bankkontenzugangsdaten sowie von deutschen Codern entwickelte Schadsoftware) sind auf deutschsprechende Interessenten ausgerichtet. Dieses Forschungspapier konzentriert sich auf drei Hauptgebiete – die wichtigen Foren und Marktplätze im deutschen Untergrund, die einzigartigen Waren, die nur hier zu haben sind, und den Vergleich zum russischen Markt. Das Papier beleuchtet die Produkt- und Dienstangebote, um ein besseres Verständnis der Dynamik in diesem Markt zu vermitteln. Zusätzlich wird ein bestimmter Marktplatz näher betrachtet, um zu zeigen, mit welchen Waren, in welchen Mengen und auf welche Weise gehandelt wird. Besondere Aufmerksamkeit widmeten die Forscher den Waren, die es allein in deutschen Foren gibt. Dazu gehören Packstations-Services als neues Mittel des Droppings und lokal erstellte Crimeware (hier programmierte und verkaufte Tools). Auch stellten die Forscher einen Vergleich an zwischen dem deutschen und dem russischen Untergrund, weil der russische Untergrund die wichtigste Umgebung für den deutschen darstellt. Es wurden die Verbindungen der Teilnehmer des deutschen Untergrunds mit ihren russischen „Kollegen“ untersucht sowie die wenig erstaunlichen Arten der möglichen Zusammenarbeit.
ABSCHNITT 1
Marktlandschaft
Marktlandschaft Marktstruktur Untergrundumgebung Die Infrastruktur des deutschen Untergrunds unterscheidet sich nicht von der anderer Märkte. Die deutschen Untergrundforen wurden in dieser Untersuchung nicht nur über die Sprache der Teilnehmer bestimmt, sondern auch aufgrund des geografischen Standorts der „Kunden“. Deutschland ist als Land weniger von der weltweiten Geschäftsinfrastruktur isoliert als Russland3 oder China4. Deshalb ist es schwierig festzustellen, ob eine Cyberaktivität darin zum deutschen Untergrund gehört oder eher weltweiter Natur ist. Die tatsächliche Anzahl deutscher Foren und Marktplätze ist niedrig, aber die Zahl der Forumsnutzer ist relativ hoch und vermittelt ein klares Bild von den cyberkriminellen Aktivitäten. Es ist einfacher, die Anzahl der Nutzer zu ermitteln als die tatsächlichen Marktaktivitäten. Die Sicherheitsforscher fanden zehn große Foren und mindestens zwei Marktplätze, die sich nicht nur auf den Verkauf von Crimeware spezialisiert hatten, sondern auch von Drogen, Fälschungen und anderen illegalen Waren. Nahezu 70.000 in deutschen Untergrundforen registrierte Nutzer wurden gezählt. Mindestens 20.000 Nutzer hatten zumindest einen Eintrag in einem deutschen Untergrundforum veröffentlicht, was auf Raum für weiteres Wachstum schließen lässt. Die Zahl der aktiven Nutzer wurde aufgrund von öffentlich verfügbaren analysierten Informationen ermittelt.
Herausforderungen für die Analyse Einer der Gründe, warum Forscher keine tiefergehenden Analysen von EU-Ländern machen, liegt in der Reichweite der Untergrundforen und der damit verbundenen Aktivitäten. Englisch ist die Hauptsprache in der der cyberkriminellen Szene, wie auch in der internationalen Kommunikation. Deshalb wird eine Vielfalt von Produkten in englischen Foren und Marktplätzen angeboten – eine Herausforderung für das Geschäft auf deutschen Plattformen. Die Konkurrenz kommt nicht nur aus englischsprachigen Marktplätzen, sondern auch aus besser bekannten Communities wie der des russischen Untergrunds. Die Besitzer deutscher Cyberkriminalitätsgeschäfte und Site-Entwickler müssen sich eine Nische schaffen und angepasste Inhalte liefern (Betrugspläne, Drogen, Kreditkarten), die den Bedarf des lokalen Markts treffen. Die Marktteilnehmer konzentrieren sich vor allem darauf, diese Herausforderungen auf kreative Weise zu meistern, und liefern interessante Ergebnisse über die lokalen kriminellen Aktivitäten. 5 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Untergrundforen und Marktplätze Wie alle anderen umfasst auch der deutsche Untergrund Foren und Marktplätze. Die Foren dienen als Orte des Informationsaustauschs und des Kennenlernens, aber auch als Medium für Angebote bestimmter angepasster Produkte und Dienstleistungen. Die Marktplätze fungieren ausschließlich als Handelsorte für Waren wie lokale Kreditkarten, gehackte Konten und Fälschungen. Zudem dienen sie auch als Eintrittspunkt für Cyberkriminelle, die nach „Höherem” streben und ihren „Vorbildern” nacheifern. Es finden sich dort auch häufig Banner-Anzeigen für Partner-Sites. Die Marktplätze sind manchmal auch in Foren eingebettet oder daran angeschlossen. Doch gibt es auch separate Sites, die lediglich als Marktplatz dienen. Der Hauptunterschied zwischen diesen unabhängigen Marktplätzen und denen, die zu Foren gehören, besteht darin, dass letztere über Banner sehr stark beworben werden. Die Forscher fanden fünf wichtige Foren:
Marktplatz/Forum
Zugang
Angebote
Gesamtzahl der registrierten Nutzer
aktiv seit
Zahl der aktiven Nutzer
Bus1nezz.biz
Geschlossenes Forum mit eingeschränktem Zugang
Crimeware, Arzneimittel, Betäubungsmittel
6.200
2011
1.580
Secunet.cc
Sicherheitsforum mit öffentlichem Zutritt und Bereichen mit beschränktem Zutritt
Hacking-Tools, gestohlene Kontozugangsdaten
1.800
2013
650
Back2hack.cc
Sicherheitsforum mit öffentlichem Zutritt und Bereichen mit beschränktem Zutritt
Sicherheitsprodukte
9.346
2008
1.440
German-plaza.cc
Marktplatz, der Nutzerregistrierung erfordert (Name, Kennwort), Aktivierung ist automatisiert
Gestohlene Kreditkarten- und Kontozugangsdaten, Serverzugang
nicht verfügbar
2015
nicht verfügbar
Crimenetwork.biz
Forum mit gestaffeltem Zugang
Crimeware, Arzneimittel, Betäubungsmittel
64.000
2009
8.000
Tabelle 1: Die wichtigsten Foren und Marktplätze im deutschen Untergrund
6 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Bus1nezz.biz Bus1nezz.biz ist ein geschlossenes Untergrundforum mit einem Standard-Warenangebot, einschließlich Cybercrime-Tools und Waren wie Arznei- und Betäubungsmittel. Das Forum wird auf CloudFlare gehostet, und die Domain ist bei einem chinesischen Registrar registriert. Derzeit gibt es um die 6.500 registrierte Nutzer, von denen mindestens 1.520 aktiv sind und regelmäßig im Forum posten. Das Forum ist seit 2011 aktiv und hat seitdem 12.179 Themen und 50.986 Posts angehäuft. Zu den bemerkenswerten Inhalten gehören „Treuhand“-Dienste, ein „Verkäufermarktplatz“, eine „4free area”, eine „tool area”, wo die Nutzer Remote Access Tools (RATs), Crypters, Binders und Stealers kaufen können, sowie Coding-, Betrugs- und Hacking-Bereiche.
Bild 1: Homepage von Bus1nezz.biz mit Bannern, die für vanille.cc (Marktplatz für gestohlene Kreditkarten) und secureVPN.to (Service-Provider für virtuelle private Netzwerke) werben
7 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Bild 2: Bereiche in Bus1nezz.biz
Secunet.cc Secunet.cc, seit 2013 aktiv, ist ein öffentlich zugängliches Untergrundforum, das von OVH gehostet wird, einem Service Provider in Frankreich. Es umfasst 2.226 Nutzer, 2.432 Themen und 13.381 Posts. Es fungiert als Cybersecurity-Informationsforum, wo Nutzer legale Themen diskutieren können, dient aber auch als Verteilplattform für Schadsoftware oder gehackte Konten. Nutzer können hier einfach RATs, Trojaner, Password Stealer und ähnliches finden, herunterladen oder gehackte Konten von Zalando.de, Deezer Zevera und anderen kaufen. Obwohl es als Sicherheitsforum auftritt, liefert secunet.cc eine gute Auswahl an cyberkriminellem Bedarf.
8 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Bild 3: Homepage von Secunet.cc
Back2hack.cc Auch back2hack.cc gibt sich als Sicherheitsforum aus. Es hat sowohl öffentlich zugängliche Bereiche als auch beschränkte und wird auf OVH gehostet. Derzeit gibt es 16.658 registrierte Nutzer, von denen mindestens 1.440 aktiv sind, umfasst 6.420 Themen und etwa 41.000 Posts.
9 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Crimenetwork.biz Crimenetwork.biz ist mit 60.000 registrierten Nutzern das größte deutsche Untergrundforum. Obwohl nicht jeder Nutzer aktiv ist, ist die riesige Nutzerzahl ein Indiz für die Größe des Forums. Es zählt täglich mehrere Tausend Besuche. Die Nutzerhierarchie ist offensichtlicher und zeigt sich durch die verschiedenen Ebenen, vom einfachen Mitglied bis zum Treuhänder und Verkäufer.
Bild 4: Die Nutzerebenen von Crimenetwork.biz Crimenetwork.biz beinhaltet einige angeschlossene Marktplätze wie chemical-love.cc, die Drogen verkaufen. Die Zugehörigkeit wurde hier über die vorhandene Werbung im Hauptforum festgestellt. Es ist davon auszugehen, dass crimenetwork.biz wahrscheinlich chemical-love.cc kontrolliert und auch besitzt.
Bild 5: Homepage von Crimenetwork.biz
10 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
German-plaza.cc German-plaza.cc ist ein Untergrundmarktplatz, der auf CloudFlare gehostet wird. Er bietet gestohlene Kreditkarten- und Kontozugangsdaten an (Einzelhandel und Online-Banking) und hat die Struktur eines Online-Shops.
Bild 6: German-plaza.cc offeriert gescante Ausweisdokumente
Banner-Werbung Banner-Werbung stellt einen einfachen Weg dar, Partner-Sites zu bewerben. Sie können dazu beitragen, dass der Marktplatz seine Kundenbasis erweitert. 1.
4.
2.
5.
3.
6.
Bild 7: Banner 1 und 2 sind Frames, die Nutzer zu chemical-love.cc weiterleiten, dem größten Drogenmarktplatz auf crimenetwork.biz; Banner 3 leitet Nutzer zum größten russischen Bulletin Board für gestohlene Kreditkarten, Rescator.cc; nur Eingeladene oder Nutzer mit Referenzen können darauf zugreifen; Banner 4 leitet Nutzer zu Forenbereichen für das Dropping und Packstation-Services; Banner 5 leitet Nutzer zu einer Carding Domain; Banner 6 zu einem Spamming-Service-Provider (1.000 Mail-Adressen für 1,50 € *)
* Der dem gesamten Papier zugrundeliegende Umrechnungskurs datiert vom 18. November 2015 (1 US-Dollar = 0,94 €)
11 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Bereiche mit eingeschränktem Zugang Der Online-Schwarzmarkt liefert üblicherweise einen gestaffelten Zugang. Er hat Bereiche, für die der Nutzer Zugangsdaten benötigt, um weiterzukommen, und solche, die öffentlich zugänglich sind. Nutzer mit guten Fähigkeiten, Beziehungen oder Know-how können die höchste Zutrittsebene erreichen, doch nur nach einer Überprüfung. Diejenigen mit niedrigem Zugangslevel sind in offenen Forumsbereichen mit nur geringen Zugangsbarrieren tätig. Die hier analysierten Untergrundforen bieten unterschiedliche Zutrittsebenen zu sensiblen Informationen, die ihre Nutzer veröffentlichen. Einige (bus1nezz.biz) verlangen Einladungen und benötigen die Genehmigung durch den Administrator. Andere fordern eine Registrierung. Hier spielt die Dynamik zwischen den Foren eine Rolle, denn in einigen Foren muss der Nutzer andere Mitglieder kennen, um eingeladen zu werden. In back2hack.cc etwa müssen Nutzer guten Eindruck machen, um informell „akzeptiert“ zu werden, um weitere Informationen sehen zu dürfen. Diejenigen, die dies nicht schaffen, können nur auf bestimmte Bereiche zugreifen. Einige Neulinge versuchen, mit guten Posts Eindruck zu machen. Diese Einträge erhöhen ihre Bewertung bezüglich Zuverlässigkeit, Wert und Beitrag.
Das Deep Web und .onion-Mirror Der deutsche Untergrund hat keine klar gestaffelte Struktur. Dadurch erschwert sich der Zugang zu Orten im Deep Web. Es gibt jedoch Foren, die über “The Onion Router” (TOR) erreichbar sind. Dabei handelt es sich um .onion-Mirrors, nicht um separate Sites. Einige der beschriebenen Foren nutzen .onion-Mirrors für Nutzer, die großen Wert auf ihre Anonymität legen. Diejenigen, die ihre ungesetzliche Aktivität verbergen wollen, können auch Proxies oder anonymisierte VPNs verwenden. Nutzern, die sich beim offenen Zugang zu Foren nicht sicher fühlen, stehen die Optionen des Deep Web zur Verfügung. Sie wollen normalerweise ihre IP-Adressen nicht preisgeben oder durch Ermittler erkannt werden. Interessanterweise bietet der russische Untergrund diese Art der Zugangsstaffelung nicht an. Auch die bekanntesten russischen Untergrundforen nutzen das Deep Web nicht. Diese Vorgehensweise in deutschen Foren könnte an der strengeren Überwachung der Einhaltung der Gesetze in Deutschland liegen. Die Nutzung von .onionMirror kann die Transaktionen verlangsamen. Anscheinend sind deutsche Cyberkriminelle aber bereit, diese Unannehmlichkeiten zu akzeptieren. Forum/Marktplatz
.Onion Mirror
Bus1nezz.biz
Bizznza4vtgsdrgb.onion
Black2hack.cc
Gerpla4igmngtpgw.onion
German-plaza.cc
Gerpla4igmngtpgw.onion
Crimenetwork.biz
Crimenc5wxi63f4r.onion
Tabelle 2: .onion-Mirror-Sites für Foren/Marktplätze
12 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
ABSCHNITT 2
Angebote
Angebote im deutschen Untergrundmarkt Das Angebot im deutschen Untergrund ist nicht so breit gefächert wie das im russischen. In den meisten Fällen suchen Interessierte spezielle Waren nicht in den lokalen Communities, denn die globalen (englischsprachigen) Märkte haben mehr zu bieten. Doch wenn es um angepasste Waren geht, so sind diese hier zu finden. Dies ist eine Nische, die die kleineren Communities (wie der deutsche Untergrund) besetzen, um erfolgreich zu sein. Der deutsche Untergrund ist nicht so stark bezüglich Crimeware wie der russische. Die Hauptangebote beinhalten gefälschte Ausweisdokumente, gestohlene Kreditkarten, Daten-Dumps und gehackte Konten. Doch wie jeder funktionstüchtige Untergrundmarkt bietet der deutsche auch Methoden und die Infrastruktur zum Verbergen, so etwa Bulletproof Hosting, Proxy- und VPN-Dienste. Jede cyberkriminelle Taktik in Deutschland umfasst den Verkauf von gestohlenen Kreditkarten, Dropping und den Diebstahl von Zugangsdaten von Online-Konten. Die Forscher fanden eine auf deutsche Umgebungen angepasste Dropping-Taktik, die keine Dropper benötigt und stattdessen Fake-Auslieferung nutzt über den Missbrauch von Packstationen.
BPHSs Bulletproof Hosts dienen als Versteck für bösartige Inhalte5 und bilden die Grundlage für jede cyberkriminelle Operation. Dies gilt auch für den deutschen Untergrund. Bulletproof Hosts dienen der Lagerung von Malware-Komponenten, Exploit Kits und ähnlichem. Sie können auch als Botnet Command Center fungieren, als Repositories für gestohlene Daten und Hosts für Phishing-, Porno- oder BetrugsSites. Die meisten Bulletproof-Hosting-Service-Provider täuschen Legitimität vor, doch erlauben sie die Ausführung von bösartigen Aktivitäten. Deshalb betreiben sie ihre Hosts in Ländern mit weniger strengen Gesetzen, um nicht belangt zu werden. Sie setzen üblicherweise auf eines von drei Geschäftsmodellen:
14 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
•
Modell 1: Dedizierte Bulletproof Server: BPHS-Provider erstellen eine überzeugende Geschäftsfassade, um sich nicht verdächtig zu machen. Normalerweise suchen sie sich Kunden, die Inhalte hosten wollen, die in bestimmten Ländern illegal sind.
•
Modell 2: Kompromittierte dedizierte Server: BPHS-Provider kompromittieren dedizierte Server und vermieten diese an Dritte, die darauf bösartige Inhalte lagern wollen.
•
Modell 3: Missbrauchte Cloud-Hosting Services: Cyberkriminelle missbrauchen Cloud-HostingServices wie Amazon Web Services (AWS), Hetzner, OVH und LeaseWeb, um Command-and-ControlServer zu hosten oder gestohlene Daten und andere illegale Dinge dort abzulegen. Die Besitzer bekommen davon nichts mit.
BPHS-Provider im deutschen Untergrund nutzen hauptsächlich die Modelle 2 und 3, denn es ist schwierig, bei den strengen Gesetzen eine Hosting-Umgebung aufzubauen. Keines der deutschen Untergrundforen wird in einem EU-Land gehostet. Die hier beschriebenen Foren und Marktplätze nutzen Proxy-Services wie CloudFlare. Um die lokalen Behörden zu umgehen, sind die Domänennamen der Foren nicht in Deutschland oder der EU registriert. Sie nutzen meist Extensions wie .cc und werden in Asien (Hongkong oder Vietnam) gehostet. Dies erklärt auch, warum Wiederverkaufsoptionen beliebt sind und in den Foren diskutiert werden. Die meisten Mitglieder der Untergrundforen nutzen russische oder ukrainische BPHSs wie 2x4.ru, hosting.ua, infinumhost.ru, anders.ru und bulletproof-web.ru.
Bild 8: Crimenetwork.biz-Diskussion über Hosting eines Botnets, das Nutzer auf russische Hosts verweist, infinumhost.ru, bulletproof.web.ru und ähnliche
Deutsche Untergrundforen umfassen Dutzende russischer BPHS-Reseller. Nutzer können sie direkt kontaktieren und nach Bezahlung deren Dienste nutzen. Die Reseller nehmen eher eine Beraterfunktion wahr und liefern detaillierte Informationen via Private Messaging. Sie sind nicht die tatsächlichen BPHSBesitzer. Die meisten Nutzer kaufen von globalen Playern wie denen im russischen Untergrund. Doch es existieren auch ein paar reale deutsche BPHS-Provider, die aber mit starker Konkurrenz durch größere und bekanntere Provider zu kämpfen haben. Ihre Server stehen typischerweise in den Niederlanden, die im Vergleich zu anderen EU-Ländern eine laxere Gesetzgebung haben. Die Servicepreise und -standorte hängen weitgehend von den mit den Wünschen der Kunden verbundenen Risiken ab.
15 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Bild 9: BPHS-Angebote von Crimenetwork.biz (durch Dedicated-Denial-of-Service geschütztes virtuelles Server-Hosting für 11€; abhängig von der Konfiguration; Hosting dedizierter Server ab 55 €; schnelle FastfluxServices, typischerweise für Phishing und Spamming, weil diese ein vordefiniertes Set an Domänennamen nutzen, die periodisch geändert werden, um die IP-Adressen der C&C-Server zu verstecken) Der Screenshot zeigt einen Nutzer, der Hosting Services in crimenetwork.biz und auch Support über Email sowie Einzelberatungen für Kunden, die spezielle Konfigurationen suchen, anbietet. Er bietet einen speziellen Preis für Fast-Flux-Services, die normalerweise im deutschen Untergrund nicht offeriert werden. Das zeigt, dass er noch versucht, sich in dem Hosting-Markt zu behaupten.
16 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Gefälschte Ausweise Einen relativ hohen Anteil am deutschen Untergrundmarkt haben die Produktion und der Verkauf von gefälschten Ausweisen, einschließlich Reisepässen und Führerscheinen. Kunden, die etwas dieser Art suchen, benötigen normalerweise gefälschte Identitäten, um sich für Packstationen oder für ähnliche Dienste zu registrieren. Andere versuchen, ihr Alter zu fälschen oder neue digitale Identitäten zu erstellen. Der Wiederverkauf von gescannten Kopien tatsächlicher Ausweise ist üblich. Diese Fälschungen werden dazu genutzt, um Bankkonten zu eröffnen oder um zusätzliche Informationen für Social-EngineeringBetrug zu bekommen. Der Bedarf dafür ist hoch. Das zeigt die Zahl der Websites, die dafür Werbung
machen. Bild 10: Werbung für reale Führerscheine, Ausweise und Reisepässe aus Roy’s Dokumenten; Dokumente können angepasst werden, abhängig von den Angaben des Kunden
Bild 11: Eintrag, der gescannte Ausweis-Kopien anpreist, wobei einige davon von Anbietern verifiziert wurden; 60% bleiben ungenutzt (männliche Ausweise kosten 10 € in Bitcoins, weibliche Ausweise kosten 8 €)
17 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Bild 12: Profilbild von Sandmann, einem bekannten Verkäufer gefälschter IDs auf crimenetwork.biz
Bild 13: Sandmanns Angebote gefälschter Ausweise
18 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Gehackte Konten Einige deutsche Untergrundforen verkaufen gehackte Konten, andere wiederum geben sie kostenlos ab – etwas nie Dagewesenes im russischen Markt. Dazu gehören Sky TV-, Netflix-, Amazon- und ZalandoKonten. Diese „Geschenke“ sollen möglicherweise andere Mitglieder freundlich stimmen und den eigenen Ruf stärken, um die Beziehungen zu verbessern. Das Hacking von Konten ist nicht schwer. Zu den eingesetzten Mitteln gehören Phishing und BruteForce-Angriffe. Nutzer können auch einfach ein Botnet konfigurieren, um die gewünschten Informationen von den infizierten Maschinen zu extrahieren. Dafür lassen sich die Browser infizieren, Keylogger oder Bildschirm-Capturer einsetzen oder Browser-Cookies stehlen – alles einfache Aufgaben, die von jedem „cyberkriminellen Einfaltspinsel“ mit Standard-Tools ausgeführt werden können. Sie können MailKonten stehlen, die dann üblicherweise dafür genutzt werden, um Verbindung zu anderen Online-Konten aufzunehmen. Sie haben damit ein Mittel an der Hand, um möglichst viele Informationen für ihre bösartigen Aktionen zu sammeln. Gehackte Konten können für Dropping genutzt oder einfach verkauft werden. Stehlen die Kriminellen die Zugangsdaten eines Amazon- oder Zalando-Kontos, können sie nicht nur den Nutzernamen und das Kennwort abgreifen, sondern auch die Kreditkartendaten und sonstige persönliche Informationen des Opfers. Netflix-Konten können nicht so einfach weiterverkauft werden, denn der Käufer kann darüber kein Video-on-Demand nutzen, da die Konten an die private identifizierbare IP-Adresse gebunden sind. Diese werden hauptsächlich für Dropping oder als Geschenke verwendet.
Crypting-Dienste Crypting ermöglicht es Cyberkriminellen, die bösartigen Routinen ihrer Werke zu verstecken, indem sie eine Malware mit unterschiedlichen Techniken verpacken (Crypting). Es gibt viele Crypting Services im deutschen Untergrund.
Bild 14: Eintrag für den Verkauf von http- und IRC-Bots, RATs sowie Crypters 19 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
ABSCHNITT 3
Alleinstellungsmerkmale
Alleinstellungsmerkmale für Deutschland Zahlungs-, Treuhand- und Dropping-Services Treuhand In den meisten Untergrundumgebungen agieren Treuhänder als Mittelsmänner zwischen Käufer und Verkäufer. Im Untergrund gibt es keinen Rechtsweg, um Ansprüche geltend zu machen. Deshalb bedarf es des Treuhänders, der eine reibungslose Geschäftstransaktion sicherstellt. Der Treuhänder nimmt für seine Dienste eine bestimmte Gebühr, normalerweise 3 – 15% der Summe, die er betreut. Sobald diese Gebühr bezahlt ist, händigt er dem Verkäufer die Summe aus und lässt die Ware dem Käufer zukommen. Bitcoins werden als Zahlungsmittel bevorzugt. Manche Verkäufer wollen mit Gutscheinen bezahlt werden oder mit Geschenkkarten für Online-Shops, um ihre Anonymität zu wahren.
Packstation: Neues Mittel der Ablage Die Akteure im deutschen Untergrund haben ein interessantes Ablagemittel, das Auslieferung vortäuscht, für sich entdeckt. Die meisten Untergrundmärkte verlassen sich auf Dropper, die gestohlene Kreditkarten und Online-Konten zu Geld machen. Die Nutzer im deutschen Untergrund verwenden stattdessen den so genannten Packstation-Service, der diesen Dienst der Deutschen Post nutzt. Dabei können Verkäufer die verkauften Waren in öffentlich zugängliche Metallkästen packen, zu denen die Käufer mit ihrer Zugriffskarte und pTANs Zugang haben.
Bild 15: Banner-Werbung für Packstation-Services
21 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Bild 16: Eine Packstation der DHL Deutsche Cyberkriminelle haben sich ein effizientes System für vorgetäuschte Auslieferungen zunutze gemacht. Packstationen erlauben einen sehr bequemen Güteraustausch und Zahlungsverkehr. Die Adressen der Nutzer können nicht nachverfolgt werden, auch wenn sie den Service mit einer physischen Adresse und einer Mobilnummer (die einfach zu fälschen ist) anfordern. Sie erhalten eine SMS mit ihrer pTAN, um das Päckchen abzuholen.
22 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Bild 17: Eintrag über den Verkauf von Packstationskonten mit Mobilnummern
1. Bitcoin Wallet beschaffen, Bitcoins kaufen 2. Den Packstation-Betreiber kontaktieren, ein gehacktes Packstationskonto kaufen (Es gibt zwei Arten von Packstationskonten: an eine Mobilnummer und Mailadresse gebundene und „reine“, für die eine beliebige Mobilnummer genutzt werden kann) 3. Einkauf einer beliebigen Ware (ohne Ausgaben) aus Online-Shops wie Amazon oder Zalando, die die Auslieferung an Packstationen anbieten
23 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Bild 18: Wie Cyberkriminelle sich den Zugang zu Packstationen zunutze machen
German-plaza.cc Der Druck, reibungslose, schnelle Verkaufstransaktionen zu gewährleisten, hat zur Eröffnung von Untergrundmarktplätzen geführt, die die Foren ersetzen. Es handelt sich um virtuelle Shops mit Standardwaren, also um Handelsplätze mit geregelten Abläufen, um die Bezahlung über technisch erzwungene Regeln zu beschleunigen. Auch wenn der Handel in Foren viel langsamer vonstattengeht, so werden angepasste Güter immer noch dort verkauft, denn sie bedürfen der Änderungen und haben spezielle Preise. Der deutsche Untergrund umfasst etliche Marktplätze für Güter wie Drogen und Kreditkarten. Dazu gehört auch german-plaza.cc, der auffiel, weil es der einzige derzeitige Marktplatz ist, wo Handel stattfindet (gehackte Konten, Verkehr etc.), und zudem ist er eine rein deutsche Entwicklung. Zwar ist er noch nicht ganz ausgereift, doch hat german-plaza.cc ein breites Angebot an Waren. Er existiert erst seit Anfang des Jahres 2015, und die Forscher gehen davon aus, dass er sehr schnell wachsen wird und Nachahmer findet. Die Preise werden durch Angebot und Nachfrage bestimmt und sind auf den deutschen Markt abgestimmt. Für einige Produktkategorien gibt es eine Handvoll Angebote. Im Vergleich zum russischen Untergrund ist das Angebot an weltweiten Produkten kleiner. Der Grund dafür mag sein, dass der Markt noch am Anfang steht, aber auch die geografische Lage und der sprachliche Fokus mögen eine Rolle spielen. Germanplaza.cc, wie der deutsche Untergrund im Allgemeinen, ist ein Ort für Cyberkriminelle, die nach „Höherem” streben und ihren „Vorbildern” nacheifern und die deutschlandspezifische Dinge wie gestohlene Packstationskonten oder deutsche Kreditkartenzugangsdaten suchen.
24 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Bild 19: German-plaza.cc bietet gehackte Konten, gestohlene Kreditkarten, Daten-Dumps (enthalten wahrscheinlich personenbezogene Daten), Lizenzschlüssel für Online-Spiele, Packstationskonten, Root-Zugriff auf Server, Gutscheine und VPN-Dienste Die Konten-Tabs von German-plaza.cc bieten eine Vielfalt deutschlandspezifischer Produkte. Der Marktplatz offeriert auch wahrscheinlich über Phishing gestohlene Online-Bankkonten. Cyberkriminelle können aus einer ganzen Palette von Konten auswählen, nach Banktyp, Kontostand oder Preis. Des Weiteren gibt es Informationen zu den Online-Prozessen und -Verifizierungssystemen (PINs) der Bank, die die Interessenten unter Umständen noch nicht kennen.
Bild 20: Online-Bankkonten, die auf german-plaza.cc verkauft werden
25 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Bild 21: Online-Bankkontoinformationen auf german-plaza.cc
26 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
German-plaza.cc verkauft gehackte Online-Bankkonten für mindestens 10 €, abhängig vom Kontostand und der Menge der dazu gehörigen Informationen. Ein Konto etwa kostete 2.750 €. Das kann daran liegen, dass der Kontostand hoch ist (7.500 – 8.000 €) und dass außerdem eine Telefon-PIN und die persönlichen Informationen über den Besitzer dabei sind. Es ist von entscheidender Bedeutung, diese Informationen zu haben, vor allem wenn Banken darüber benachrichtigt werden, wenn große Geldsummen von einem Konto zum anderen bewegt werden. In einem solchen Fall muss der Cyberkriminelle die richtigen Informationen zur Verfügung haben, sollte er von der Bank angerufen werden.
Bild 22: Einzelheiten zu einem Online-Bankkonto, das für 2.750€ auf german-plaza.cc verkauft wird
27 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Einige Online-Bankkonten haben auch Telefon-Support dabei, was bedeutet, dass der Käufer sich nicht selbst um alle Verifizierungsanrufe der Bank kümmern muss.
Bild 23: Werbung für professionellen Telefon-Support bei Verifizierungsanrufen der Bank Kreditkarten- und Dumps mit personenbezogenen Daten sind standardisierte Angebote in Untergrundmarktplätzen. German-plaza.cc bietet Kreditkartenpakete, die Adressen, das Ablaufdatum usw. enthalten. Diese Informationen sind wichtig für diejenigen, die die Kreditkarten für Online-Einkäufe oder für das Klonen von Karten nutzen wollen.
28 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Bild 24: Kreditkarteninformationen zum Verkauf auf german-plaza.cc Lizenzschlüssel für Online-Spiele und Kontoinformationen werden auf german-plaza.cc ebenfalls feilgeboten, aber auch der Zugang zu Packstationen. Des Weiteren gibt es Angebote von gestohlenen oder gefälschten Gutscheinen für Amazon und ähnlichen Shops. Damit können auf den tatsächlichen Sites Einkäufe getätigt werden. Gutscheine sind sehr einfach über Phishing zu erhalten, und die Nachfrage ist groß. Root-Zugriff auf Server ist über den Kauf von Zugangsdaten zu erhalten. Diese Server können als Proxy für Web-Verkehr eingesetzt werden, und dafür, Sites aufzusetzen, die bösartige Inhalte hosten. Die Preise hängen vom Angebot ab.
Bild 25: Root-Zugriffsoptionen schließen solchen für SMTPS-, RDP- und SSH-Server ein (SMTPS = Simple Mail Transfer Protocol Secure; RDP = Remote Desktop Protocol; SSH = Secure Shell)
29 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
VPN-Zugriff ist ebenfalls im Angebot. VPNs bieten Cyberkriminellen Anonymität, denn neben dem Verbergen der IP-Adressen stellen VPNs sicher, dass keine persönlichen Informationen mit dem Service in Verbindung stehen.
Malware Made in Germany Es gibt im deutschen Untergrund Trojaner, Exploit Kits und andere Basis-Schadsoftware, doch macht diese den Markt nicht einzigartig. Das ist Aufgabe der lokal erstellten Tools. Es ist interessant festzustellen, dass einige deutsche Cyberkriminelle Webanwendungen gegen Bezahlung entwickeln. Besonders ein Entwickler wird von vielen Nutzern für sein Können gelobt.
Bild 26: Banner-Werbung für Coding nach Wunsch
Bild 27: Lob für einen Entwickler von Coding nach Wunsch, der ein funktionsfähiges Phishing-Skript mit Anti-Blacklisting-Funktionalität erstellt hatte
30 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Sphinx, Cube, und Triple CCC Das sind einige der Tools, die zuerst in deutschen Untergrundforen beworben wurden.
Sphinx und Cube Obwohl Sphinx und Cube6 auch in russischen Foren zu haben sind, wurden sie zuerst im deutschen Untergrund angeboten. Daher ist anzunehmen, dass sie von Deutschen entwickelt wurden, oder zumindest von jemandem, der im deutschen Untergrund aktiv ist. Sphinx6, eine ZeuS-Variante, ist in C++ geschrieben. Die Schadsoftware ist darauf ausgerichtet, in TOR betrieben zu werden. Sie ist dadurch immun gegen Sinkholing, Blacklisting oder Tracking.
Bild 28: Crimenetwork.biz-Werbung für Sphinx
31 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Bild 29: Sphinx: Konfigurations-Panel
Bild 30: Sphinx: Aktives Bot-Statistics-Panel
32 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Cube wiederum ist ein Tool, das Cyberkriminelle dazu nutzen, um Dateien aus infizierten Maschinen in einem Botnetz zu stehlen. Es hat Verbindung zur Site nodistribute.com, die anonym Malware gegen die bekanntesten Antivirus-Produkte scannt.
Bild 31: Cube: Kontrollpanel
Bild 32: Cube behauptet, auf allen Plattformen dieses Property-Panels zu funktionieren
33 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Bild 33: Werbung für Cube Recovery 4.1 für Bitcoins im Wert von 3 € auf crimenetwork.biz
Triple CCC Triple CCC, ein deutsches Produkt, umfasst eine Malware- und eine C&C-Komponente. Es ist im Grunde genommen ein Trojaner, der Passwörter von infizierten Maschinen stiehlt. Er infiziert Maschinen, wenn ein in einer Mail eingebetteter Link angeklickt wird oder über einen Exploit. Er kann Passwörter aus einer Vielzahl von Software, Browsern, Messengern und File Transfer Protocol (FTP)-Servern stehlen. Darüber hinaus kann er auch Microsoft-Windows-Lizenzschlüssel zusammen mit Zugangsdaten zu DownloadManagern stehlen. Er kostet 25 Bitcoins im deutschen Untergrund.
34 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Bild 34: Plattformen und Software, von denen Triple CCC stehlen kann
Bild 35: Triple CCC: Kontrollpanel
35 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
ABSCHNITT 4
Überschneidungen mit dem russischen Untergrund
Überschneidungen zwischen dem deutschen und dem russischen Untergrund Die deutschen und die russischen Untergrundforen sind zugekleistert mit Banner-Werbung für CardingServices. Dies sind normale Angebote des russischen Untergrunds, für die in deutschen Foren heftig geworben wird. Rescator.cm, einer der größten russischen Marktplätze für gestohlene Kreditkarten, und SecureVPN.to sind im deutschen Untergrund ebenfalls aktiv. Es ist anzunehmen, dass deutsche Cyberkriminelle häufig den russischen Untergrund besuchen, um von ihren „großen Brüdern“ zu lernen. Auch ist davon auszugehen, dass es eine Zusammenarbeit zwischen den Playern des deutschen und russischen Untergrundmarkts gibt.
Überlappende Profile Die Forscher fanden einen Cyberkriminellen, der seine Waren sowohl im deutschen als auch im russischen Untergrund anbietet. Seine Hauptofferte ist Loki Bot, ein bekanntes Botnet-Framework, das in verschiedenen Foren angeboten wird. „Damage Lab“ fand seinen Weg auch in crimenetwork.biz im deutschen Untergrund. Der Besitzer ist ein sehr aktiver Verkäufer von gestohlenen Zugangsdaten in einigen russischen Untergrundforen.
Bild 36: Werbung für Loki Bot in russischen Untergrundforen 37 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Die Forscher fanden andere Nutzer, die in beiden Untergrundmärkten aktiv waren. Sie verglichen ein paar Tausend Decknamen, die sie aus deutschen Foren hatten, mit denen in russischen Foren und fanden Überlappungen. Um die 300 Nutzer waren in beiden Communities aktiv. Das zeigt eine ziemlich rege Zusammenarbeit zwischen den beiden Untergrundmärkten – eine natürliche Entwicklung, denn Cyberkriminalität kennt keine Grenzen. Der Vergleich basiert jedoch lediglich auf der von den Kriminellen genutzten Sprache. Die Forscher verglichen die Liste der deutschen Nutzer nicht mit denen anderer Märkte (China, Brasilien, Japan und Nordamerika), denn der russische Untergrund ist der derzeit meistfrequentierte.
Gemeinsam genutzte Ressourcen und parallele Sites Die Forscher fanden auch eine deutsche Site, die gestohlene Kreditkarten verkauft (centralship.cn) und einer russischen Carding-Site sehr ähnlich sieht (gocvv.cc). Deshalb untersuchten sie auch, ob sie miteinander verbunden waren. Es zeigte sich, dass sie eine Datenbank und ein Anwendungs-Framework miteinander nutzten.
Bild 37: Homepage von Centralshop.cn (links) und gocvv.cc (rechts)
Bild 38: Login-Bildschirm von Gocvv.cc (Russland, links), centralshop.cn (Deutschland, Mitte) und 2force.cn (Russland, rechts)
38 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Es zeigte sich auch, dass alle drei Marktplätze – gocvv.cc, centralshop.cn und 2force.cn – Partner-Sites sind. Sie nutzen dieselbe Kreditkartendatenbank und grafische Benutzeroberfläche mit leicht geänderten Designs und Inhalten, um den Bedürfnissen ihrer Kunden zu entsprechen (vor allem abhängig von der genutzten Sprache). Jede Site kümmert sich aber um ihre eigene Domänenregistrierung und sorgt auch für eigene Werbeaktionen, vor allem über Banner.
Marktübergreifende Werbung Anonymes Datei-Sharing ist üblich in deutschen Untergrund-Bulletin-Boards. Nutzer können Dateien hochladen und gemeinsam nutzen (normalerweise mit Copyright). Vanille.cc ist ein Beispiel für einen solchen Dienst, der in deutschen Untergrundforen viel Werbung macht. Er gehört einem Mitglied des russischen Untergrunds, das ihn auch betreibt, doch wird er im deutschen Markt stark genutzt. Damit wäre er ein Produkt der deutsch- russischen Untergrundzusammenarbeit.
39 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
ABSCHNITT 5
Fazit
Fazit Der deutsche Untergrund ist ein kleines, doch ausreichend reifes Ökosystem, das den Grundbedarf der lokalen Cyberkriminellen bedient. Es bestehen dynamische Verbindungen zu anderen Untergrundmärkten, vor allem dem russischen. Die Forscher betrachteten das allgemeine Setup des Markts, die Komponenten und Angebote. Vor allem analysierten sie die für den deutschen Untergrund einzigartigen Waren, wie gehackte Packstationskonten und Marktplätze, die auf den Bedarf der lokalen Klientel ausgerichtet sind. Die Forscher untersuchten besonders german-plaza.cc und bewerteten die Website als wachsenden Marktplatz, der sich als Handelsplatz für alle Arten von Crimeware positioniert. Obwohl der deutsche Untergrund noch jung ist, sind seine Malware-Coder geschickt und bieten sogar Coding-Dienste „on-demand“ an. Die deutschen und russischen Cyberkriminellen arbeiten auf vielerlei Art zusammen. Es gibt sogar eine ganze Reihe von Nutzern, die in beiden Umgebungen aktiv sind. Diese Verbindung zeigt sich noch deutlicher über Partner-Sites, die nicht nur ähnlich aussehen, sondern auch dieselben Waren anpreisen (und dabei unterschiedliche Domänen, aber dieselbe Datenbank nutzen). Dies ist nicht überraschend, denn der cyberkriminelle Untergrund kennt keine Grenzen.
41 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
ABSCHNITT 6
Anhang
Anhang User-Guide für “Packstationen” von crimenetwork.biz Schritt 1: BITCOINS Bitcoins sind in der Szene allgegenwärtig und haben nach dem Bust von LibertyReserve den Platz als Anonymes Zahlungsmittel eingenommen. Bitcoins könnt ihr auf verschiedene art und weise Kaufen, ich empfehle immer wieder Virwox.com dort könnt ihr ganz einfach Bitcoins erwerben mit Sofortüberweisung, Kreditkarte, Paypal, Paysafecard, uKash, Skrill (Moneybookers) und Neteller. Da ihr natürlich noch eine Wallet (Brieftasche) benötigt bevor ihr überhaupt Bitcoins empfangen/senden könnt solltet ihr euch auf Blockchain.info Registrieren, dort könnt ihr Bitcoins empfangen / senden – sehr zuverlässiger Service! Einzahlen bei Virwox! Sobald ihr Geld eingezahlt habt wird das in eurem Kontostand angezeigt, danach könnt ihr Bitcoins erwerben dazu geht ihr zuerst auf EUR/SLL um euch die Second-Life Währung zu Kaufen, anschließend könnt ihr die Währung dann unter BTC/SLL in Bitcoin wechseln. Jetzt könnt ihr euer Bitcoin auszahlen, dazu erstellt ihr in eurer Blockchain.info Wallet eine neue Adresse, wählt bei Virwox.com Auszahlen und fügt dort die Adresse ein sowie die Anzahl der Bitcoins die ihr gerne versendet wollt. Bei der ersten Einzahlung dauert es 48 Stunden da Virwox.com die Auszahlung noch einmal Manuell überprüft um Betrugsfälle aufzudecken, alle weiter Auszahlungen werden dann Instant überwiesen (zumindist bei mir)
Schritt 2: Verkäufer von Packstation, Goldcard & Kreditkarten Ripper gibt es überall, Rippen ist in der Szene ein neues Geschäftsmodell geworden ob es nun 5€ oder 15€ sind ist ihnen oft egal hauptsache Geld ohne gegenleistung! Ich biete euch hier eine kleine Liste von Verkäufer, sehr Vertrausnwürdige verkäufer! Packstation ohman auf Crimenetwork.biz Packstation ohne Nummer und mit eMail Zugang – 20 Euro
43 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
(oft sogar 15 Euro sofern eine Aktion stattfindet - Massenrabatt) Packstation MIT Nummer und eMail Zugang – 2 Euro (Mindistabnahme von 10) ICQ Nummer: XXXXX Goldcard Wax auf Crimenetwork.biz Wax ist einer der wenigen Goldcard seller dessen Goldcards auch wirklich GOLD sind, keine weißen Blanko’s! Goldcard – 7 Euro Bitcoin, mit TID 3 Euro Aufpreis Solltet ihr bei ohman eine Packstation erworben haben erhaltet ihr bei Wax die Goldcard sogar für 5 Euro statt 7 Euro. Kreditkarten Ich habe viele CC-Seller kommen und gehen sehen, die Qualität ist dabei oft verdammt unterschiedlich und man bekommt mehr Quantität statt Qualität für den Preis ABER eine Person bzw. Ein Shop sticht total raus und bietet eine wirklich verdammt gute Qualität www.Razzia.biz Classic Random 4 Euro High-Limit Random 8 Euro Classic Fullz 30 Euro High-Limit Fullz 50 Euro Es ist nicht eines von diesen ekelhaften Sahnescript Shops wo man den “Live-Support” ansprechen muss zwecks Bitcoin Cash-In, bei Razzia.biz erhaltet ihr die Ware instant. Ihr wählt euer Produkt aus, fügt eure ICQ Nummer hinzu (erhaltet via ICQ das Produkt aber auch lokal auf der Seite) Löst das Captcha und Kauft es euch. Anschließend erscheint ein Fenster mit einer Bitcoin Wallet und die anzahl der Bitcoins die das ganze kostet, Überweist es via Blockchain.info und wählt auf Razzia.biz “Bezahlt” anschließend überprüft das Script ob eure Bitcoins bereits angekommen sind, es sind 2 Bestätigungen notwendig!
44 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Schritt 3: Wo liegt der Unterschied zwischen den Packstationen? Packstation mit Nummer & eMail Zugriff - Kostenpunkt ~ 5 Euro Hier ist im Panel von DHL bereits eine Handynummer hinterlegt, die Handynummer ist wichtig für die mTan (ähnlich wie bei Onlinebanking) - die mTan benötigst du um das Paket aus der Packstation zu holen. Es ist möglich mithilfe von SE ( Social Engineering) die Nummer über den Support ändern zu lassen, Verlust des Handy’s, neues Vertragshandy mit neuer Nummer etc.pp Packstation OHNE Nummer & eMail Zugriff - Kostenpunkt ~20-25€ Hier kannst du im Panel ganz einfach kurz vor dem Droppen die Handynummer deiner Anonymen Simkarte eingeben (Anosims.biz bietet welche an) und somit deine Pakete Droppen ohne direkt in Kontakt mit einem DHL-Mitarbeiter zu treten.
Schritt 4: Das Bestellen – welcher Shop liefert noch? Es gibt Shops die auf Packstation liefern wie Sand am Meer, natürlich sollte man nicht direkt die großen Anbieter aufsuchen wie MediaMarkt, Saturn oder ähnliches. Beispielweise Zalando liefert auf Packstation, genauso auch kleinere Shops. Am besten sind natürlich Shops die sonst niemand kennt, es ist natürlich nicht einfach solche zu finden aber ab und zu wird man fündig wenn man ein wenig google benutzt.
45 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Hall of Fame: Im Untergrund aktive Nutzernamen in ausgewählten Foren Die nachfolgenden Nutzernamen werden von aktiven deutschsprachigen Benutzern in den Foren verwendet, die im Zuge dieser Forschungsarbeit untersucht wurden:
Secunet.cc __fastcall -Trust::1 !5K0RP!X !mperiaL .Tobi .True [slash #Supreme |9. $hamerock 0ct0r 0ushn 0x0 0x105734 0x2A 11kk11 12qw 1337-LeakeD 1337esel 1337Tr4der 13HansWurst37 2nd LevelPadrino 313373 3dacx 3piC 3xploit 404 4c!D 6RbK9 753951 A!rmax A25414N Aaron Absuro Ac4nth Acanth AccessRaider Acetabs acidraining aClude Acsiii Acymacy aducator AEQUITAS agwawgawg AirSys akinova akmedes834 al3rt Alex Aliina allinkl AllRemebers AltF4 Ambutaga aminakojim AmmarShaarawi anarchy AnD Andrej anni86
Anonymous anox112 Ansgard Ar3s asddsa ASFD0815 asmhax Aurus avitamin Br!Xx b0kerst3l b0ss1337 B1nary B2H B3ND3R B3ND3RZ b3nua B3RbY B4nQQer737 B4sh baba1 backpackhacker bananabob barreta bbking ben berlin21 Bewiz bezen Bierdeckel Bison BitCode Bitschi bl0wf1sh bl4ck blackbez BlackDesert BlackEagle BlackHook bladerone Bloodman BlueEyes boing727 bommel Boom Born2Hack Bossgen Brabusv12 Brokolie BuntspechT bursali c0d3x c1ph3r C1T c3bob Caudex CentOs CEOmAdDiN ch3m chabamaba ChEeTaH chick0n
Chrystal cl91091 comic conrado cooky1 CoolFrog Corono cr3w61 Cr4ck3r crimetology CTU Cube Curuba Cyber Tjak CyberEnte CyberSpy D0b d3mux da_vinci dagunn Dark Smile Darkhammer dasemih dazed dbmm deco Dedhorse deluxeBro Demair derHaxxxxxxxxxxxxxxxxx0 DerAusländer dermitdembuch DerWilleGottes DeSSo devilmk Digitaltourist Domenic double_check Dox dr.bob Dr.Falkenhorst Dr.Security DR.zydz Drohne Dsystem Dynamoking easy easyamigo Echo88 ef-JaY eflo317 EinstiegsGamer Eiswürfel EL!T3 ELIT3 Elite Soldier Eliteterror Elvis emmi EmnmJack EmoCore1990 EmX
46 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
EssHaa exo2 Extasy Extasy8 Eye ezah F0x Fa1L Fall0ut Fapter feVer FIN4LShare firecrash fish3r Fl00der Fl0ckz Flame0 flashbang Fleischpeitsche flownn Found57 FoX FR3DDY Framerater Fraudfeindlich frechdax Fred_durst Froist Fruity g-suz gatgat gehaxelt GeizerDarkICE GenetiC GhostPlug ghosty god gohan Gottberg GP120 Graf c0x Graxl grokis gutzuu H0RR0R H4CK00R H4CK3R h4x0r habanero hachol hackoliu hacktainer Hades HaeckerUpdate hagenharry HAK Haksor haloxss Halux HansPeter Harry Häuptling
Hawk hb0EHuuV HCPHLS He4dPh0n3z Hedrek HikaKin Hoax-TX Holi holomaster horstewald Hugo12 hurr_durr ic3 Ice icemanns idontfeelanything iDope illusi0n ImNichts IMPEGA Imperial iNCEPTiON Installous InternetFreak iPwn Isabella09 J_Bunny J0hn.X3r jarbukk jebiga30 Jerrycan JiigSaw JLine joeroot Johannes Jolyna Jonas JPK Julieh junkfood justnew K3r!x k3uL3 Kain101 kaiz0r kamii kanbi kaps1500 Kataklysmos Kazeshini kennydark kevvv keyb0ardz Keyuko kingbob KingRaven kingshit1337 kioshikazumi KiR0V Know v2.0 KoB24 kobold
Konsul krusty krYon L!NCH L1ght Landerek laser-lord Leeky Legatus LetzFetzii Link lip LLORT loewenherz log lol lolkraft Lryzx33 Luc1d Luke21 lunvar Lut0x M@te M/\TR!X M0R155 m4cx M4gician MacHack Mad Hatter maddixx mainflame Mandela mandi12 Mantrayana Marlboro_14 Maskulin maui mazzl88 mdiek Median Medion megastyl3R megatr0n memories Mfr719 michael middey Mikesz milw00rm Milw0rm minder missundercover mit0hne modnar Mofo mokolo monty most_uniQue Mpie MR.GREEN Mr.Security
mrkrabs MrNice MrNobody MrOverflow mrv2 MS13 Mückenstich Mydayyy myrae Mystic N0P n1312 n3ws ne0n nemoest Neophyte01 Nesoc Netwxrk NewerA Nexon Nexus88 nickMAMA night nilptr no-limit no-mercy No.3xit nomaam NoMercy NoOffence,justtruth Nookie Norky notinsane Novexx NSB Obstsalat ocz Ogen OicSailor Oizo Olli :3 Online Orianbeter originalz ouser ownz0r pandora PAPIER! PAQI Paradox pasza peacem4ker peasy pensioniertDreisT peroxid Pessimist peterdermeter87 pFailuRe* Ph@ntom ph0g PIXeL1337
pnk Poimas PolskaPower proceed ProHex pugnator punisher Puppetmaster purplera1n PwNeD r1cht3r r1ck_ rabulla rainboww Ralpa Rastajan rayesia reverse-proxy rey456 Rhinodanny Roff rumludi ruskov931 russe RuyRun s@rs s0ke S1L3nTL3ARn3R S3aside S3RB33 Saidox Samuel William sandro1243 Sanii SAW F1ghtM4ch1ne Scan7raxx ScenePirat schatzi Scheichmanfred schulek21 Second LevelHunky secunetnoobs Secx SeD³ SensEye Seobusiness sepe99 servit Seventy Shiva SHLAGGY1337 Silenus Since Sirius.GER Sirly SirPhil SkapyTek Skunk Skyline Slaxxer SLinT
Smylie2 sn0wf0x snapo Sniffer Snipp3r snoo snoppy0066 Socke? SolidNerd Some0ne SpecialUser spectator speedywolf Spitfire Splitty SpongeBob spx Srgt.Weed SSIO St0rmi st3aLth Stacyboy starz stefancael Str1k3r Stryder STUDI0 Suffix1337 SuiZiD SuN Sunshen sup3ria SymBose SYS64738 System1000 system1084 takeit Teke tenuces Terrafaux TgZero tHaNaToS thecoon THEDARK TheHaste TheSaint thibo Thor Tick_Trick till7 Tiq3reye Tojen Touch tr4st treeplx TrickyTrisi Tritium trixx3r TrueEBW Trytime trznitu
TUNNY Türke Tw0F1sh txncr4nk tyson30 ugurano Un!t unbekannter UndergroundCrime uni.x unity unkn0wn unnex URAN0S usedefault user44 VainInsanity vanilie VAXU VENNI Vesanius vid vioLa Vip3r Viper ViruZH4CK W4r10ck whiteBit Winning winterz2010 woschtbud Wrongturn X-Ray the unknown x00 x3daudio1_7 x3n xan1m0rphx xartux xenon xerox xisco XlimiT XoiL xoor xtony45 xup3x xxMagierxx YouGo zeeeeeeek1 Zephyr Zepp zepsus ziegenpeter Zipoman zone Zy0x ZyRoX77
0mar 0x0 0x000F 0x01 0x17 0xf 123daweidawei 123kimiya1232 131²
1337 13AC37 18* 1UP 2high 32sdsd 3rdShift 3x3 5K1
637456042 654321 6aus49 6Zweiundsechzig2 777 7894561235 7GUEN 852456 8NiNE3
999soldier999 Abdurachman abit4662 Abnormal ABSCHZ ABUS Abzug Mahmut acab22 ACB
Bus1nezz.biz !5K0RP!X .Fuzzl3 .Litecoin .root @tarik #Blond #Milo �xrahitel� $$cashomat
47 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Acbstyler66 Account147 Acheloos Acheron Hades ACID XD adktd adramax adren advanced Aer aes AEZ affa81 aibatt99 aids Ak’ ak47 akaaka55 akf al-Almani albinoxx ALCHIMIST Aldi aldijochen alee3000 Alex DeLarge alex85 alexej alexwd Alfather alfredeu Alisa allstar Almancun Alpha altec Amazon amfibija Amigo aMinute AMK AMNESiA. AMNEZ1A AMOK Amos An0nspecZ an94 Anabol Anakata and1 andihro andrewpl1984 andythefirst angelo155 Anhed0nic Animanum anisan anniebiafra AnnunaKi anonisyhma Anonym anonym_ghost anonymous AnonymUser AnoPro Anosims.biz Antikörper AntiZion1 Antonio AOE1976 Apiz apo12 Apo1337 Apologize appleblossom AppleFan
apxjdk Ar3s Arces Archangels ardamax ARES81 arias ariek Arktus Armageddon aro2011 Arrina ArthurArsch As-seller AS8 asapasapasap asc06 asmc asmir_cracker Ate Atrax Atrax_ Attastyle audibleavenue audioline AUR0R aurora austrian-elite AV24 Available aXa b.giuseppe74 b11-87 B3B€K BürstenKevin90 babadora Babarecords babo187 babooo babsmer Bad Angel BadBoy Badman BadMotherfucker Bahnschlampe bale Ballerina BamBam BANKBABO BankDropFilling Barken0 Barney™ Batchamlao12 batpol Bauchladen_1312 baxxter BD Service bdmanci bdmancii BeatZ Becks beginning BelAir Benelli Benstar Beppone Bergmannweb Berzerk besenkammer bhk Bi0haZard Bi7hop BiFi BigBoy Bigfoot bigloop
bigman32 Billy Kalender Biometrix biosmanp birne BitcoinRally bitstore.cc BizOp Black Black0230 Blackbird Blackice blackoutxx Blackpit Blackrider BlackRock BlackSecurity BlackStar Blackstyler923 BlackSun blägbierd blink Blodyrane bloeffmaster BloodyKiss blubber Blue Screen Bluthund Blx bobby88 bofrei bomber12 bombji bondaagee Bongjo BonySon boom55 BosnianCrime BOSS boss13 Bossaura Bossde Boston George Bounty BrassKnuckle Brasus bratko Brezzer broke bronson brososto Brower Bruder Bubble Bubblerium buddha BulZz Bundei Burner burning bus1ness Bus1ness Junkie Businessworlds Butt3rs C 14 C!R!S c0la c0re C24 C2H6O c8x Caesars Heaven calc caligula Calypso camel
48 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Camserd CapnCrunch Capo Captain CaptainBong CaptainSpaulding carddecard Carl Marx carlito CarloColucci carlog carlop carls Casablanca casar CASH0UT Cash0ut-777 cashflow cashzoschel CC Babo CC Dealer cccp2014 CCS CCStore CDAI cdcsx CengoHH centurion cha0z chairman chaos Charly75 chefket Chev Chelios Chiko chillaholic Chillhead Chingi chlorum chr0n Chronos chthit chubakka chuchu cigimigi cinq Clemens78 clickster Cliff cLiT cloaker Clonix cls Clusterhead Cobra cocain_ Codein Cody1337 Coin coinotron CoJane Col Cola ColtSivers Combichrist CompactHack Complex congo2 conrad Cookies CoolUp91 cornflakes Corvette cosa council Crash-Override
Crawler crazy17 CRaZzYBeaTzZ CreditcardUser Crime is King CrimeCRD Criminal criston criticalinjury Cro croweyeonetwo crowley crusher Cryme Crypt Service crypt0x Crypt91 CrypteGFZ Crypto CSH cst CStorm CTD cube cup2g Currywurst Pommes cYb Cyb3r CyberAnarchist Cyberbore CyberKitty cyberwhore cyegun cyno Cypress Cyropolis cyrox123 D!DD!E d’Niro D@Vinci D3ADLIN3 D3adMod3 daath DaneSahne danielitto Dante DarkICE darookie Darth Vader DasArcher dasses Davi Davidov dea7h deadman Dealer dealerscup Debaucher DebCore dee.h deevilxxx Defoee degus Dekron Dekronn demoniac Denny denyobanyo der Der Insider Der3er DerBabo DerBabo69 derchillaa DerExchanger DerGeier
derneue DerPate DerPateUC devilsystem Dgaz DIA diablo31 dialecticus Diaro DieLupe dieter7 dimethyl Dingiso Dingo1337 DirtySanchez DirtyWhiteBoy Distelrose divine-intervention Django DJSchwitzkatze dl2oo9 doc zydz DOC-FAKING Doenerbudenali Dolce dolus.cc DOMIAN Don$ donguralesko donner Dope Doram doublec Dr. Mengele Dr. Schizo Dr.Allen-Hu Dr.Arroganto Dr.DRE dr.grow Dr.Gyno dr3ck DramaModz DrDroid0041 drikerise driver DropperFutzi dru9 dtrip Dudelmann duki112 dwdogge dynamix e0s easy-Domain Easysafer1337 Ebola eddyexp egotrip eintevizen Eko ElCabron eldiablo Eleison199 Elektrojude ElGamal elgringo Elihu Yale elpr4d4 Emissary eN0RY Enel engineer Era erfinder2014 ErikOne error
error404 ersguterjunge Erstklassig eskalation EureHoheit evios Evolotion EX1t EX3treem eXept1on Exodia Extensa f00t3r f0rs4k3n F4ker F4T4L1TY Facebook fackyaa Fahrraddieb Fake FAKE-ID.PRO fake2pay fakeerror Falco falschername fanta4 FARID.GANGBANG farid45 Fat Joe Fath0m feierkind Feinkost feltox FeridBang Ferkel Fernandes fetch FHY Fiddler fidi921 Fidibus Fil Filling Service Fillwerker filou Filth Finanzberater Firecrash FirePanther Fl0yd Flavio Fleo flexer1312 FlexNET flipflop Flosstradamus flowbahn Fluxx flyaway Forensic forrest_dampf Fossen Foxtrottp123 FR4M Fra-Mi Fralli france Frank Junior frankagnolo freak0ut FreakedKIddi FredBret fredthebaker freefame freestar freiland
Freiluftfanatiker Frenchlover Fridolino fsx ft-777 Fuck0FF FUCKSCAN Fulk FuNTeX FuxVOL2 G0lD€NCR!M€ g0rf g0rx G0stF4CE Galaxy420 GANG-fickt-DICH Garth Gasparus Gatsby Gauloises1337 Gauloises7mg Gazo gemüse Genetikk GeraxY German-Plaza.cc gingelg gismo1 GOA Golden Eye GoldJunge GoldLabel GoldRock GoLoud gonzo GoodCat Goooofy gora GrafPorno Grauzone greenlight grenzbereich1 gretsche Groove4-live Gruenzeug gtawelt guga123 guram Guter Faize H-Milch h@ck H2O2 h3h3j0 H4xx0red69x Habibo Hack4Revolution hacked Hacker123456 HACKfleisch hackloz Hadolf Haike1337 Haiwan Hallowelt hame Hank Hans91 hansgans Hardwxre Harivi HarryPotter Harvey Hate Hawk Hayvan Haze
49 | Der deutsche U-Markt – eine Nische im weltweiten Schwarzmarkt
Heart4Gamer Heat heaven Hedon Heimat_erde Heimaterde Heineken Heisenberg810 Heisenberg92 heldderarbeit Helios herb herbst Hermann Herzog herzog187 hhtown HiddenM Hide’n’Seek HIGH Definition Himpson Hinterwald hola12 Holomaster honeybird honigmann hostfat Hotdog hottna hqcns HRNSN hrruin htcplaya htw Hubbabubba Huettig hydrocopter Hypnotica I need Money iamalcatraz iamr00t ibm IceCracKer IcEmAnN IceQ IchHabeName Ichigo ickeone ifailit iFr3sHx3 Illuministrator inaktiv Inda. Co. IndiKa INEEDMONEY InFamous infaption Insta instantaccounts.cc Interpol Intexx. Invicible iRapez iraqi ishigami4 IsolatedSystem itachii itaLy Its_Riley-Man itsmy IVORY iwantmoney J45ONX Jablonski jackbauer Jade
Jaheira Jalava Janjij jarbukk Jarod Jason jauz JB-Capital jd21 jdn jecko Jeko Jesse pinkman Jesus Navas jetzthier jimmyjey JimmyT jj3333 jogsvish John Doe John Gotti Johnbow361 Johnkennedy JohnVegas Joktor Doint Jon Snow Jonas jonny112 jor1092 JPSBLACK jstylo jugo Julio110 Jum_p3r junky junky12 just. JUSTBUSINEZZ JustSmile Jutga K1NG K3lly Käse Kaajaa Kabber kackboon238 kaiser kaizor KaliLinux kalle85 kamagra kamaz Kandesbunzler Kaneology KANZLER kaputtesdeutsch karaone KarlEssDerEchte karlnai Karma kartina kasubek kathy0123 KatiL Kay.ZZ kay0 Kayanzo KCIWK keeper Kekzline Kellogg’s Kemal58 kennedy01 Kenny187 ker777 kerox
kesch Kevin Kevin.weppich Kevin7x KevinJunker kevinjunker73 Keymaster KeyserSöze Kido KiezKokain KingZaza kinotkt kit Kitkat KizZamp klaa2 Klarspueler klaudiakuhn kleinkraken Klerus klingelbeutel klitschko75 klomann123 Knuckle KoB24 KokainTeam kokorak KomaKind KONLY0815 Kontaktmann kontrakt kopf KPax kppd Kraenk krb kriminella Kugelfisch kushberry Kygrox Kylo L--G l
