Europol-Bericht wirft Licht auf cyberkriminelle Unterwelt

Europol hat einen ernüchternden jährlichen Internet Organized Crime Threat Assessment (IOCTA) 2020-Bericht veröffentlicht, in dem nicht nur einige neue Falten bei den Arten der gestarteten Cybersicherheitsangriffe aufgedeckt werden, sondern auch detailliert beschrieben wird, inwieweit Cyberkriminelle die COVID-19-Pandemie zu ihrem eigenen Vorteil ausnutzen.

Auf der Grundlage einer Reihe teilstrukturierter Interviews mit Beamten aus Europol-Mitgliedstaaten und mehreren Drittstaaten sowie Partnerländern und Cybersicherheitsexperten des Europäischen Cyberkriminalitätszentrums (EC3) kommt der Bericht zu einem besorgniserregenden Schluss: Cyberkriminelle sind besonders geschickt darin geworden, viele bestehende Formen der Cyberkriminalität so zu verändern, dass sie sich die Unsicherheit und den Bedarf der Öffentlichkeit an zuverlässigen Informationen zunutze machen.

Die Pandemie hat auch bekannte Cybersicherheitsprobleme verschärft, da so viel mehr Menschen von zu Hause aus über unsichere Systeme und Netzwerke arbeiten, heißt es in dem Bericht.

Es gibt jedoch einige neue Taktiken, die von Europol aufgezeigt werden, darunter:

• Im Bereich der Phishing-Angriffe wenden Cyberkriminelle nun einen ganzheitlicheren Ansatz an, indem sie falsche Identitäten annehmen und eng mit anderen Cyberkriminellen zusammenarbeiten. Das Ausmaß dieser Angriffe hat auch zugenommen, da Cyberkriminelle ein breiteres Spektrum von Plattformen für Cyberkriminalität als Dienste nutzen.


• Ransomware-Angriffe sind nicht nur zielgerichteter; Cyberkriminelle drohen auch damit, sensible Daten im Dark-Web auszuwerten oder sie einfach vollständig zu vernichten. Cyberkriminelle haben auch einige traditionelle Banking-Trojaner in fortschrittlichere polymorphe Malware umgewandelt. Der Banking-Trojaner Emotet wurde von Internetkriminellen verwendet, um andere bösartige Malware-Payloads wie Ryuk Ransomware und Trickbot bereitzustellen. Die Entwickler hinter Trickbot fügten der Malware ein Trickbooster-Botnet hinzu, um die Verbreitung zu erhöhen.


• Business Email Compromise (BEC) nimmt weiter zu, da die Kriminellen begonnen haben, sich ein fundierteres Verständnis der internen Geschäftsprozesse und Systemanfälligkeiten anzueignen. Kriminelle verschaffen sich Zugang zu Bankkonten, ermitteln den idealen Zeitpunkt für einen Angriff, verwalten E-Mail-Konversationen über Man-in-the-Middle-Angriffe oder verwenden sogar künstliche Intelligenz (KI), um die Stimme eines CEOs nachzuahmen. Sie beherrschen inzwischen auch die lokalen Sprachen und Kontexte besser und bauen darüber hinaus komplexe kriminelle Netzwerke zur Geldwäsche auf.


• Zahlungskarten werden durch E-Skimming-Angriffe kompromittiert. Bei dieser Taktik, auch als digitales Skimming bekannt, schleusen Cyberkriminelle bösartigen JavaScript-Code in die Checkout-Seite eines Online-Händlers ein, der es ihnen ermöglicht, persönliche Daten und Kreditkartendaten zu erfassen. Bei der häufigsten Art von E-Skimming-Aktivität wird Magecart-Malware eingesetzt. Allerdings werden auch neue Varianten wie Pipka immer häufiger eingesetzt.


• Cyberkriminelle nehmen ganze digitale Identitäten von kompromittierten Rechnern auf. Käufe werden von einem kompromittierten Computer aus getätigt, der es einem Cyberkriminellen ermöglicht, sich als wiederkehrender Kunde auszugeben, indem er dieselben Browsereinstellungen und Kartendaten verwendet.


• SIM-Swapping hat sich als eine neue Art der Kontoübernahme herausgebildet. Kriminelle finden Wege, die SIM-Karte eines Opfers in ihrem Smartphone zu tauschen oder zu portieren, um das zur Authentifizierung verwendete Einmal-Passwort zu erfassen.

Der Bericht stellt auch fest, dass DarkWeb-Administratoren enger zusammenarbeiten, indem sie Code- und Sicherheitsmethoden austauschen, wie z. B. die Beseitigung von Registrierungsanforderungen, da keine Benutzernamen oder digitalen Geldbörsen vorhanden sind, mehrere Signaturen für Bitcoin- und Monero-Transaktionen erforderlich sind und keine JavaScript-Richtlinien erlassen werden. Anstelle von Transaktionsgebühren erhält der Markt eine monatliche Provision. Außerdem setzen die Benutzer von DarkWeb-Diensten sicherere Kommunikationskanäle wie Sonar, Elude58, Discord, Wickr und Telegram ein.

Fügt man all diese Puzzleteile zusammen, so wird deutlich, dass Cyberkriminelle ihre Techniken ständig weiterentwickeln. Europol fordert erneut mehr Zusammenarbeit, Koordination und Informationsaustausch, um diese Bedrohungen zu bekämpfen, sowie eine stärkere Sensibilisierung und, sehr umstritten, eine Erweiterung der rechtlichen Rahmenbedingungen, um den Strafverfolgungsbehörden die Entschlüsselung der Kommunikation zu erleichtern. Es ist unklar, inwieweit in irgendeiner dieser Fragen in naher Zukunft Fortschritte erzielt werden können. In der Zwischenzeit ist es jedoch offensichtlich, dass die Kriminellen von Tag zu Tag gerissener werden.