Europol: Privacycoins, dezentrale Marktplätze und Mixer in Wallets erschweren Ermittlungen zunehmend
Quartier Europol in Grenoble. Bild von Guilhem Vellut via flickr.com. Lizenz: Creative Commons
Sowohl Europol als auch das Bundeskriminalamt (BKA) veröffentlichen Lageberichte zum Cybercrime. Die Behörden eint die Sorge darüber, dass Cyberkriminelle professioneller und Kryptowährungen privater werden. Es gibt keine fundamentalen Neuigkeiten – aber von allem mehr. So waren 2019 drei von vier deutschen Unternehmen von Cybercrime betroffen.
Im Jahr 2020 ist alles nichts ohne Corona. Das trifft auch auf das “Internet Organised Crime Threat Assessment” (IOCTA) von Europol zu. Covid hat alles verändert – auch die Cyberkriminalität.
Während der Monate, in denen der Lockdown die Bevölkerung Europas dazu zwang, sich zuhause zu verkriechen, notierte Europol einen sprunghaften Anstieg von Anzeigen wegen Cyberkriminalität. Den Grund vermutet die Polizei darin, dass Leute mehr zuhause und damit im Internet sind, während Unternehmen stärker auf die digitale Infrastruktur angewiesen sind. Zum Teil konnten Server nicht aktualisiert werden, wenn dies die physische Anwesenheit erforderte, zum Teil regte die Unsicherheit bezüglich Covid zu Misinformation und dem Verkauf angeblicher Medikamente im Darknet an.
Ansonsten ist aber beim Cybercrime fast alles beim Alten geblieben. Oder, um es konkreter auszudrücken: Es ist wie schon im Jahr zuvor, nur von allem ein bißchen mehr. Oder, noch präziser: sehr viel mehr.
Ransomware ist weiterhin DIE Cyber-Bedrohung schlechthin
Sowohl für Europol als auch das BKA ist und bleibt Ransomware die größte Bedrohung durch den Cybercrime. Besonders offensichlich wird das beim Bericht des BKA, das mit den “prägenden Cyberangriffen 2019” einleitet. Man könnte die Übersicht auch die Toplist der Ransomware-Angriffe nennen:
Im März befällt die Ransomware LockerGaga den Industriekonzern NorskHydro. Im Mai trifft Emotet diverse Finanzämter, im Juni verschlüsselt eine Ransomware die Systeme des Forensik-Dienstleisters Eurofins, im Juli schlägt Sodinokibi beim Deutschen Roten Kreuz auf. Im August verbreitet sich die Ransomware GermanViper, im Oktober legt Emotet das Kammergericht Berlin lahm, während eine Ransomware die Systeme der Universität Regensburg verschlüsselt. Im November trifft es die Pilz GmbH, im Dezember das Klinikum Fürth sowie die Städte Frankfurt am Main und Homburg sowie die Universität Gießen.
Die Ransomware gehört zu einer kaum mehr zu überblickenden Flut an Malware. Laut dem BKA entstehen AM TAG mehr als 312.000 neue Malware-Varianten. Manche davon, wie Emotet, dienen als Einfallstor, um weitere Malware zu laden, in der Regel Ransomware.
Bei der Ransomware hat sich der Trend zur Double-Extortion durchgesetzt – die Hacker drohen nicht nur damit, den Schlüssel nicht herauszurücken, sondern auch mit der Veröffentlichung sensibler Daten. Für das BKA hat Ransomware “von allen hier dargestellten Phänomenen das in Summe höchste Schadenspotenzial für Unternehmen, öffentliche Einrichtungen, Behörden und Kritische Infrastrukturen.” Der Schaden ist immens.
Neue Trends: Social Engineering, Phishing und Erpressung
Sowohl Europol als auch das BKA erkennen einen neuen Trend im Cybercrime zu Social Engineering, Phishing und Erpressung.
Dabei notiert Europol eine kreative Explosion der Techniken: “Ein Schlüsseltrend der letzten Jahre ist die wachsende Professionalisierung des Phishings. Es wurde schwieriger zu entdecken, da die Mails und Seiten beinah identisch mit dem Original sind, während die Phishing-Kampagnen schneller und automatisierter wurden.” Egal wie vertrauenswürdig eine E-Mail aussieht – man darf niemals Links in ihr anklicken oder Dokumente öffnen, wenn man sich nicht vollkommen sicher ist.
Während ICO-Scams und ein weites Spektrum an Ponzi-Schemen das höchste Volumen krimineller Zahlungen ausmacht, entstehen die meisten Anzeigen und Meldungen durch eine Art von Erpressung. Auch hier wurden die Erpresser zunehmend kreativ und verwenden neben einfachen Drohungen wie bei der Sextortion auch gerne Passwörter, die aus Datenbanken geleakt wurden.
Eine weitere zunehmend beliebte Spielart der digitalen Erpressung ist die Drohung mit DoS-Angriffen. Der BKA-Lagebericht verzeichnet eine ständige Steigerung von Quantität und Qualität der DoS-Angriffe in den letzten Jahren. Die Highlights im Jahr 2019 waren erfolgreiche Angriffe auf Telegram, Wikipedia, Wirecard, die Uni Köln und die Webseite der britischen Labour Partei.
Die Professionalisierung des Cybercrime
Sowohl Europol als auch das BKA stellen eine zunehmende Professionalisierung des Cybercrime-Ökosystems fest. Laut BKA gibt es “eine hohe Arbeitsteilung zwischen den Tatbeteiligten und eine Spezialisierung Einzelner auf ausgewählte relevante Tatteilbeiträge.”
Im Bereich des Cybercrimes findet man mittlerweile eine Menge an Dienstleistern, die bestimmte Aufgaben erfüllen, von Software-Entwicklung und -Anpassung zum Hosten der verschiedensten Services bis hin zur Geldwäsche der Einnahmen.
So kann ein Hacker die Software schreiben, die ein System “knackt”, ein anderer kann sie durch Emails, die er von einem anderen Hacker im Darknet gekauft hat, vielleicht auf einer Plattform, die auf einem spezialisierten Hosting-Service betrieben wird, ins System einer Firma schleusen, woraufhin die Ransomware eines weiteren Hackers geladen wird. Der erhält Bitcoins und beauftragt einen weiteren Dienstleister damit, die Bitcoins zu waschen. Ein Verbrechen – zehn beteiligte Kriminelle.
Diese Professionalisierung verschärft die Problematik für deutsche Unternehmen: “Die Modi Operandi werden”, so das BKA, “immer komplexer und ihr jeweiliges Zusammenspiel sowie die Art des verwendeten Angriffsvektors ausgefeilter und vielfältiger.” Es wird schwieriger, sich gegen die Angriffe zu schützen. Manche Hacker zielen bewusst auf große Unternehmen und verbringen viel Zeit damit, Einfallstore zu entdecken und auszunutzen.
Laut BKA waren 2019 drei von vier deutschen Unternehmen von Angriffen des Cybercrimes betroffen; dabei entstand ein Schaden von mehr als 100 Milliarden Euro.
Kryptowährungen: Längst normal, aber zunehmend herausfordernder
Zu Kryptowährungen verlieren weder BKA noch Europol allzu viele Worte. Bitcoin und andere Coins sind längst ein Teil des Cybercrimes. Sie “ermöglichen Transaktionen durch alle Bereiche des Cybercrimes,” schreibt Europol. “Durch ihre Zuverlässigkeit, Irreversibilität und gefühlte Anonymit wurden Kryptowährungen zur Standardwährung für Zahlungen vom Opfer zum Kriminellen bei Ransomware und anderen Erpressungen, wie auch von Zahlungen von Kriminellen an Kriminelle im Darkwerb.”
Sowohl aus der Monetarisierung der Angriffe – sei es durch Malware, sei es durch DoS – als auch aus der Arbeitsteilung im Cybercrime sind Kryptowährungen nicht mehr wegzudenken. Für die Strafverfolger in diesem Bereich sind sie daher längst Bestandteil der täglichen Arbeit.
Allerdings wird genau das, stellt Europol fest, immer herausfordender.
Einige neue Entwicklungen stören die Arbeit der Ermittler, die versuchen, die Personen hinter den Transaktionen zu finden: Dies sind etwa zentralisierte und dezentrale Mixing-Verfahren, Börsen, die keine ausreichenden KYC-Maßnahmen eingerichtet haben, Privacy Coins, heimliche OTC-Deals, oder Wechselmechanismen, die direkt in die Wallet oder einen andere dezentralen Service integriert sind.
Früher, klagt Europol, ging das Mixen von Coins noch mit dem Risiko durch einen zentralen Mittelsmann einher. Heute gibt es mehr und mehr dezentrale, nicht-treuhänderische Mixer, bei denen es kein solches Risiko mehr gibt.
Zu erwähnen sind vor allem Wallets, die auf Basis von CoinJoin ein Mixing anbieten, etwa Wasabi und Samurai. Diese wurden zu “einer Top-Bedrohung.” Sie lösen den Link der Zahlung nicht vollständig auf, “aber machen die Verfolgung von Kryptowährungs-Zahlungen auf jeden Fall sehr viel herausfordernder”. Zum Teil beginnen Kriminelle, diese Wallets auf auf ihren Plattformen, etwa einem Darknet-Marktplatz, zu integrieren.
Daneben werden andere Coins, etwa Litecoin, Ethereum, Monero, Zcash und Dash von immer mehr Märkten ebenfalls akzeptiert. Insbesondere die Nutzung von Privacycoins hat zugenommen, “wenn auch nicht so sehr wie von ihren Befürwortern erwartet.” Darunter erweist sich Monero zunehmend als Standard. Auch dies, vermerkt Europol, erschwert die Ermittlungen zunehmend.
Besorgt ist Europol auch über den Aufschwung von dezentralen Marktplätzen, auf denen auch illegale Güter gehandelt werden können, etwa OpenBazaar und Particl.io. Dies sei kein neues Phänomen, aber sie beginnen, das Interesse der Szene zu finden. Besonders erwähnenswert sei OpenBazaar, “da verschiedene vorrangige Drohungen dort im letzten Jahr erschienen sind. Darunter findet man Güter, die wie Waffen oder Fentanyl von den Administratoren anderer Marktplätze in Tor verboten werden.”
Nichts an diesen Entwicklungen ist neu. Aber es ist eben von allem mehr.
Jetzt hat Christoph aber geliefert! Jeden Tag zwei Artikel, Wahnsinn diese Schlagzahl 🙂
Und gleich zwei Artikel zum Thema Privacy. 🙂
Ich denke die Bedeutung von Privacy wird den meisten erst bewusst werden, sobald die großen Notenbanken ihren Fiat-Währungen digitale Abkömmlinge verpasst haben.
OpenBazaar’s langfristitge Finanzierung steht derzeit allerdings auf wackeligen Beinen, und Particl’s Marktplatz wartet bereits seit Monaten auf seinen nächsten Release. Noch ist vom Aufschwung der dezentralen Marktplätze nicht viel zu spüren. Jedoch allein die sorgenvolle Vorahnung von Europol lässt darauf schließen, dass dezentral verwaltete Systeme robust und widerstandsfähig genug erscheinen, um den Behörden erhebliches Kopfzerbrechen zu bereiten.
@Tom N., @Kranich
In der Tat sehr viele gute Artikel nach dem Urlaub!
Zu OpenBazaar bin ich ziemlich fest davon überzeugt, dass es die Community aufnimmt und weiterentwickelt / -betreibt, denn OpenBazaar hat einfach eine viel zu hohe Burn-Rate für das, was sie leisten. Die Entwicklung ist seit über einem Jahr abgeschlossen und seither ist leider nicht mehr viel passiert, eine von einem Monero Dev freiwillig implementierte Integration wurde bislang ziemlich ignoriert und man braucht nach eigenen Angaben 100k $ für je drei Monate um die Infrastruktur am Laufen zu halten. Irgendwas ist da komplett aus dem Ruder gelaufen, aber immerhin hat man den gesamten Code, auch für das Backend, mittlerweile Open Source zur Verfügung gestellt und wenn dieser brauchbar ist, sehe ich große Chancen, dass ein paar Entwickler aus ideologischen Gründen übernehmen und zum Erfolg führen, denn ein dezentraler Marktplatz ist ein großer Meilenstein.
Natürlich wird es auch Dinge geben, die man persönlich nicht dort sehen möchte, aber Geld oder auch ein Marktplatz sollte keine zentralisierte subjektive Zensurstelle sein. Ein Sturmgewehr bekommt man in den USA in jedem Supermarkt, Bier in den meisten Staaten jedoch erst ab 21 Jahren. Wer sich radikalisieren möchte, um anderen zu schaden, findet auch in einem LKW eine Tatwaffe dazu, dazu braucht er keinen freien Marktplatz.