Thema: Cybercrime ...

[SiLæncer]

Das Magazin Wired berichtet, dass Kreditkarten-Kriminelle einen regelrechten technologischen Durchbruch bei der Entschlüsselung von PIN-Nummern erzielt haben, die in den Tranksaktionssystemen zwischengespeichert werden.

Bryan Sartin, der Direktor der Untersuchungsabteilung von Verizon Business, hat einen neuen Jahresbericht zur Sicherheit von Banktransaktionen erstellt.

Er stellt fest, dass einige Attacken der Kriminellen eine neue Grenze durchstoßen haben: So wurden einige Attacken festgestellt, bei denen man bisher glaubt, dass diese ausschließlich in akademischen Szenarien anwendbar seien. Es geht dabei vor allem um die Entschlüsselung von PIN-Nummern, die innerhalb des Banktransaktionssystems zur Authetifizierung genutzt werden. So nutzt man beispielsweise Schwachstellen in der Hardware des vernetzten Banksystems, um an verschlüsselte PIN-Nummern, sowie die Keys zur Entschlüsselung zu erhalten.

Die Hacks, die bislang im Jahr 2009 gesichtet wurden, sind "viel gezielter, komplexer, und technologisch ausgereifter als das, was wir in den letzten Jahren beobachten konnten", heißt es in dem Report. Dabei werden Hacks und Exploits genutzt, unter anderem um auch an verschlüsselte PIN-Nummern zu dekodieren. Diese galten bisher als sicher, sodass auch größerer Datendiebstahl bei Kaufhäusern oder ähnlichen Läden nicht zu den gravierenden Problemen führt, die man nun beobachten können soll. Sobald es dem Eindringling gelingt, eine PIN-Nummer in einem System zu dekodieren, soll es für ihn ein Leichtes sein, auch andere Nummern in dem System zu knacken. Der Besitzer der Karte bekommt von alledem nichts mit - und wird den Betrug auch kaum beweisen können.

Eines der Hauptprobleme sei, dass die Hardwarekonfiguration meist sehr komplex ist, da unterschiedliche Anbindungen - auch international - gewährleistet werden müssen, um unterschiedliche Verbindungen an einem Terminal zu bedienen. Oftmals sind deswegen Funktionen aktiv, die eigentlich nicht benötigt werden, aber das Risiko von Exploits maßgeblich erhöhen. Die Schwachstellen sollen nur dadurch behoben werden können, indem man das gesamte weltweite Bezahlsystem rundum erneuert - doch dazu seinen die Banken nicht bereit, sagt Sartin. Man müsste theoretisch jeden Verkaufsplatz, an welchem ein elektronisches Zahlsystem befindet, erneuern.

Doch gäbe es im aktuellen System auch andere Schwachstellen. Viele der Administratoren der Netzwerksysteme würden sich schlichtweg zu sehr auf Viren-Scanner verlassen. "Die Opfer sehen meist nicht, was geschieht. Sie verlassen sich auf die Anti-Viren-Software - schauen sich aber nicht die 30GB-Datei an, die tagtäglich größer wird."

Quelle : www.gulli.com

[SiLæncer]

Die Sorglosigkeit, mit der viele Internetnutzer ihre privaten Daten preisgeben, wurde in den letzten Jahren häufig thematisiert. Nun sieht es jedoch so aus, als würde sich das Verhalten in diesem Bereich langsam ändern. Der aktuelle "Norton Cybercrime Report" zeigt, dass gut die Hälfte der Deutschen durch verwenden unwahrer Informationen und Identitäten ihre Daten zu schützen versucht.

Der "Norton Cybercrime Report", eine weltweit durchgeführte Studie der IT-Sicherheitsfirma Symantec, befasst sich mit den Auswirkungen der Online-Kriminalität auf die Nutzer. Bei der Studie wurden gut 7000 erwachsene Internetnutzer in 14 Ländern (Australien, Brasilien, Kanada, China, Frankreich, Deutschland, Indien, Italien, Japan, Neuseeland, Spanien, Schweden, Großbritannien, USA) befragt. Dabei kam ans Licht, dass Deutsche im internationalen Vergleich besonders häufig aus Angst vor Online-Betrug und Datenverlusten zu unzutreffenden Daten greifen. Dabei steht der Versuch, sich und seine Daten zu schützen, im Vordergrund. Dementsprechend haben viele Nutzer auch kein schlechtes Gewissen dabei, in derartigen Situationen die Unwahrheit zu sagen. Diese Denkweise ist jedoch nicht überall gleichermaßen verbreitet: Während 53% der Deutschen sich schon mindestens einmal einer erfundenen Identität bedient haben, sind es im internationalen Durchschnitt nur 33 Prozent der Befragten.

Generell kommt der Cybercrime Report zu dem Schluss, dass mittlerweile die Mehrheit der Menschen sich der im Internet vorhandenen Risiken bewusst ist. 9 von 10 Deutschen machen sich über dieses Thema Gedanken und nur ein verschwindend geringer Teil von 3 Prozent glaubt, nicht zum Opfer von Cyberkriminellen werden zu können. Gleichzeitig wissen aber viele Deutsche nicht, wie sie sich vor Online-Kriminellen effektiv schützen können. Vertrauen in den Staat jedenfalls haben in dieser Frage die Wenigsten der Befragten: 88% glauben nicht, dass die verantwortlichen Cyberkriminellen jemals zur Rechenschaft gezogen werden. Dementsprechend schaltet auch nur rund die Hälfte der Befragten die Polizei ein, wenn sie zum Opfer von Online-Verbrechen wird.

Ebenso gab nur rund die Hälfte der Befragten an, nach einem derartigen Vorfall ihr Nutzungsverhalten zu verändern. Dementsprechend ziehen die Autoren der Studie ein gemischtes Fazit: das Bewusstsein für cyberkriminelle Aktivitäten steigt - gleichzeitig aber macht sich ein Gefühl der Machtlosigkeit unter vielen Benutzern breit. Prof. Dr. Borwin Bandelow von der Universität Göttingen spricht von "erlernter Hilflosigkeit" und erklärt hierzu: "Wer Opfer der Internet-kriminalität wird, empfindet wie jemand, dem die Wohnung ausgeraubt wurde, während er schlief: Angst, Wut, Machtlosigkeit. Und es gibt keine einfachen, handfesten Maßnahmen dagegen wie Vorhängeschlösser und Wachhunde. Unter erlernter Hilflosigkeit versteht man das Phänomen, dass man die Erfahrung gemacht hat, einer Gefahr machtlos ausgesetzt zu sein. Wer die Mechanismen des Datenklaus nicht durchschaut, ist wie gelähmt und wehrt sich oft nicht gegen das erfahrene Unrecht." Allerdings ist es fraglich, inwiefern dieses Gefühl der Hilflosigkeit von der Realität abweicht. Schutzmaßnahmen und Verhaltensänderungen können durchaus erlernt werden und einen signifikanten Unterschied machen - eine Identifizierung und Bestrafung der Täter findet jedoch nur selten statt, was viele Nutzer als großes Problem empfinden. Die Behörden drängen trotzdem - oder gerade deswegen - auf eine verstärkte Mithilfe der Benutzer. "Die Behörden können nur Fälle verfolgen, die ihnen gemeldet werden. Deshalb ist es besonders wichtig, selbst die kleinste Straftat im virtuellen Raum zu melden", erklärt auch Adam Palmer, Cyberkriminalität-Experte bei Symantec. Ob dies jedoch auf fruchtbaren Boden fällt, muss sich zeigen.

Quelle : www.gulli.com

[SiLæncer]

Trau keiner Statistik, auch wenn sie nicht gefälscht ist: Zur Vorstellung der polizeilichen Kriminalstatistik 2011 war die Freude groß; die Zahl der Internet-Straftaten sei rückläufig, verkündete Bundesinnenminister Friedrich (CSU), der die "positive Gesamttendenz" betonte. Ob diese Statistik überhaupt ein aussagefähiges Bild vom Cybercrime in Deutschland zeichnet, ist allerdings fraglich. Denn beispielsweise die Ransomware, die als BKA-, GVU- oder Bundespolizei-Trojaner Computernutzer schädigte, zählt als Auslandsstraftat – und taucht dementsprechend nicht in der Statistik auf.

Genaue Zahlen gibt es nicht, doch alles deutet darauf hin, dass sich die Ransomware recht erfolgreich in Deutschland verbreitet hat. Allein in Bayern haben etwa 6500 Geschädigte Anzeige erstattet. Die Zahl der Geschädigten in Deutschland schätzt ein in der Sache ermittelnder Beamter mittlerweile auf über 40.000; in Spanien sollen es immerhin 30.000 sein. In anderen Ländern liegen die Fallzahlen hingegen deutlich niedriger. Dabei dürfte die Dunkelziffer deutlich höher sein: Die Betroffenen, die sich selber helfen können und den Trojaner entfernt haben, melden den Vorfall selten bei der Polizei.

Kommt ein solcher Trojaner-Fall bei der Polizei zur Anzeige, wird er als Auslandsstraftat geführt, bestätigte BKA-Sprecherin Clemens gegenüber heise online. "Die Kriminalstatistik hat eine merkwürdige Zählweise", meint dann auch Thomas Mischke, Verbandssprecher Bundespolizei beim Bund deutscher Kriminalbeamten. Sein Verband kritisiert die Statistik als Schönfärberei. Im Gespräch mit heise online bewertete Mischke auch das von Innenminister Friedrich gelobte Cyber-Abwehrzentrum: "Das Cyber-Abwehrzentrum ist ein erster wichtiger Schritt, aber die Handvoll Leute da koordinieren doch nur." Ein echter Fortschritt sei es hingegen, dass trotz allem Förderalismus die Netzspezialisten der Länder jetzt endlich zusammenarbeiten, doch "wir haben in jedem Bundesland so 10 bis 20 Leute, die was machen, das ist zu wenig", lautet das Fazit des BDK-Sprechers.

Genaue Zahlen zum Ausmaß der Trojanerschäden könnte nur die Staatsanwaltschaft Göttingen geben, die für alle Ermittlungen in dieser Erpressungsserie zuständig ist und das Sammelverfahren BKA-/GVU-/Bundespolizei-Trojaner betreibt. Doch derzeit gibt es keine Auskunft, weil man noch dabei ist, einen Schadensüberblick zu erstellen.

Gut möglich, dass die Behörden beim Zählen und Ermitteln der Trojaner-Attacken bald Arbeit bekommen, die aus dem Fall eine Inlandsstraftat machen könnte. Der ehemals als BKA-Trojaner bekannt gewordene Schädling wird längst als Software-Kit im Internet gehandelt und von verschiedenen Gruppen weiterentwickelt. Es gibt auch bereits Varianten, die – wie man es etwa von Baukasten-Trojaner wie Zeus kennt – von Laien an die eigenen Bedürfnisse und Vorhaben anpassbar sind. Damit handelt es sich bei künftig auftretenden Trojanerattacken nicht mehr um eine einzelne, überschaubare Tätergruppe, die aus dem Ausland operiert, sondern eher um "eine Seuche", die die "positive Gesamttendenz" nachhaltig zerstören wird.

Quelle : www.heise.de