XX
24.06.2010, 09:08
Ganz unverhohlen verschicken Abzocker Erpresser-Mails an Webseitenbetreiber, verlangen Geld. Wer nicht zahlt, dem drohen Angriffe auf seine Server. Eine moderne Form der Schutzgelderpressung? Nicht immer: Es gibt auch Trittbrettfahrer der Web-Mafia, die per Droh-Spam Kleingeld einsammeln.
Die Mail, die einem großen deutschen Serviceprovider Anfang Juni erreichte, war an Deutlichkeit kaum zu überbieten - an Dreistigkeit auch nicht. Namentlich unterzeichnet und "mit freundlichem Gruß" stellte sie ein klares Ultimatum:
"Sehr verehrter Shop-Admin.
Am 18.06.2010, um 17:00 Uhr werden wir Ihren Shop für 30 Minuten unerreichbar für Sie und Ihre Kunden setzen. Dies hat folgenden Grund: Wir werden Ihren Online Shop mit einfachem DDoS attakieren, so dass weder Sie, noch Ihre Kunden Zugriff auf Ihre Webseite, geschweige denn auf den Server (xxx.xxx.xxx.xxx) haben. Dies wird nur ein kleiner Testlauf sein für Sie, damit Sie sehen, wie ernst es uns ist.
Wir bieten Ihnen hiermit die Option an, weder die Testattacke noch den folgenden DDoS zu bekommen, indem Sie bis morgen 250 Euro in Form eines uKash Vouchers (an jeder Tankstelle zu erhalten) uns via eMail, an die angegebene E-Mail Adresse senden. Informationen über uKash finden Sie auch auf Easy, safe and private online payments for everyone - Ukash (http://www.uKash.com) oder an Ihrer Tankstelle.
Sollte bis morgen 16:45 Uhr kein uKash Code eingegangen sein, so werden wir um Punkt 17 Uhr den DDoS starten, anfangs nur für 30 Minuten. Danach wird Ihr Service für längere Zeit offline bleiben, falls Sie nicht zahlen, was das Geschäft mit dem iPhone 4 wohl sehr stark sinken lässt.
Mit freundlichem Gruß
XXX"
http://adserv.quality-channel.de/RealMedia/ads/adstream_nx.ads/www.spiegel.de/netzwelt/artikel/1280747888@Sub1,Sub2,Top1,Top2,TopRight,Left,Right ,Right1,Right2,Right3,Right4,Right5,Middle,Middle1 ,Middle2,Middle3,Bottom,Bottom1,Bottom2,Bottom3,Po sition1,Position2,x01,x02,x03,x04,x05,x06,x07,x08, x09,x10,x11,x12,x20,x21,x22,x23,x70,VMiddle2,VMidd le,VRight,Spezial%21Middle2 (http://adserv.quality-channel.de/RealMedia/ads/click_nx.ads/www.spiegel.de/netzwelt/artikel/1280747888@Sub1,Sub2,Top1,Top2,TopRight,Left,Right ,Right1,Right2,Right3,Right4,Right5,Middle,Middle1 ,Middle2,Middle3,Bottom,Bottom1,Bottom2,Bottom3,Po sition1,Position2,x01,x02,x03,x04,x05,x06,x07,x08, x09,x10,x11,x12,x20,x21,x22,x23,x70,VMiddle2,VMidd le,VRight,Spezial%21Middle2)
Der Provider, ein so genannter Shop-Hoster, auf deren Servern zahlreiche Mittelständler ihre Online-Geschäfte anbieten, gab die Warnung auch an die Kunden weiter. Nicht, um diese zur Zahlung aufzufordern, sondern um sie zu warnen: "Sollten auch Sie solche Denial of Service (DOS) Drohungen erhalten, führen Sie bitte die folgenden Schritte aus: Informieren Sie uns über die genaue Drohung, damit unsere Technik für einen Angriff vorbereitet ist und noch intensiver beobachtet werden kann. Erstatten Sie Anzeige bei der Polizei."
Die Gretchenfrage: Bluff oder kein Bluff?
Zu keiner Zeit, sagt Frank Heitmeyer, einer der betroffenen Shopbetreiber, habe er ernstlich geglaubt, dass wirklich etwas passieren würde. Schon die Höhe der Erpressungsforderung war für ihn ein Hinweis darauf, dass er es eher mit Spam zu tun habe - mit einer "Dummenfalle", wie er das nennt. Auf der anderen Seite: Seinen Online-Shop hat er gerade erst eröffnet, echte Auszeiten bedeuten da potentiell werbliche und geschäftliche Ausfälle.
Denn so genau kann man eigentlich nicht wissen, was echt ist und was nicht. Der dreiste Erpresserbrief, trotz seiner Rechtschreib-Schwächen offenkundig aus deutschen Landen, könnte echt sein: Schutzgelderpressung dieser Form ist alles andere als selten, sondern neben der schieren Lust am Vandalismus die Hauptmotivation für DDoS-Attacken.
Häufigstes Opfer: Zocker-Seiten
Und zwar seit langem. 2004 wurde eine ganze Reihe von Fällen öffentlich, in denen die Betreiber von Online-Wettbüros oder Web-Casinos auf diese Weise erpresst wurden. Die Forderungen bewegten sich in einem satt fünfstelligen Dollarbereich, die Schäden waren am Ende wohl sogar noch höher: In mindestens zwei Fällen verweigerten die Betreiber die Zahlung, ihre Seiten gingen unter tagelang andauernden DDoS-Attacken in die Knie.
Auch ein deutscher Anbieter war im Sommer 2006 kurzzeitig betroffen. Dass dies im Vorfeld der Fußball-Europameisterschaft geschah, war nicht zufällig: Wettanbieter erwischt es stets im Vorfeld großer Sportereignisse. Eine ganze Serie von "Bookie"-Ausfällen registrierten Behörden so auch vor dem amerikanischen Superbowl 2004 und seitdem immer wieder.
Niemand weiß, wieviele Webseiten-Betreiber dieses Risiko erst gar nicht eingehen und lieber zahlen. Im Sommer 2009 sagte BKA-Chef Jörg Ziercke: "In dieser Art von Angriffen mit Massen-Spams sehe ich das Drohpotential der Zukunft gerade zur Erpressung von Unternehmen: Entweder ihr zahlt, oder wir legen eure IT-Struktur lahm."
Trittbrettfahrer
Die Eingangs zitierte Drohmail aber ist von anderer Natur. "Natürlich", sagt Heitmeyer, "ist nichts passiert." Denn offenbar geht es hier eher um das klassische Geschäftsfeld Spam: Man verschickt irgend etwas massenhaft und hofft, dass zumindest einige darauf reagieren. Da Spam-E-Mailversand so gut wie kostenlos ist, lohnt sich die Sache schon, wenn man nur einige Male Erfolg hat. Doch wie gesagt: Wirklich wissen, ob es sich um leere Drohungen handelt oder nicht, kann man in solchen Fällen vorher nicht. Interessant ist die in diesem Fall gewählte Zahlungsmethode. Ukash und verwandte Online-Bezahlsysteme, bei denen man per Bareinzahlung geldwerte PIN-Nummern generiert, die sich per Mail weitergeben lassen, werden immer wieder für diverse Betrugstricks missbraucht. Im bisher spektakulärsten Fall versuchte im Sommer 2008 ein Erpresser, die Discounterkette Lidl um 250.000 Euro zu erpressen, zu überweisen in Form von Ukash-Pincodes. Der Täter wurde gefasst, bevor man hätte herausfinden können, wie er das so unkonventionell überwiesene Erpressungsgeld einzulösen gedachte - an der örtlichen Tankstelle hätte das wohl kaum geklappt. Doch die bei Kleinsummen so praktische PIN-Überweisung anonymisiert die Täter nicht in dem Maße, wie diese anscheinend hoffen. Wenn die Behörden schnell agieren, lässt sich der Weg der Zahlung durchaus verfolgen.
"Wir raten davon ab, zu bezahlen", sagt deshalb auch Thomas Baumgärtner, IT-Security-Beauftragter bei Microsoft Deutschland: "Besser ist es, Strafanzeige zu stellen und einen richterlichen Durchsuchungsbeschluss zu erwirken. Bei den meisten E-Mail-Providern können die Strafverfolgungsbehörden damit die Herausgabe von Daten verlangen, um den Empfänger des Zahlungscodes zu identifizieren. Alles andere hätte auch eine falsche Signalwirkung an die Täterkreise. Die Täter können sich dabei nicht auf einen Betrugs- oder Nötigungsversuch herausreden, sondern müssen mit einer harten Strafe wegen versuchter Erpressung rechnen."
(via (http://www.spiegel.de/netzwelt/web/0,1518,701879,00.html))
Die Mail, die einem großen deutschen Serviceprovider Anfang Juni erreichte, war an Deutlichkeit kaum zu überbieten - an Dreistigkeit auch nicht. Namentlich unterzeichnet und "mit freundlichem Gruß" stellte sie ein klares Ultimatum:
"Sehr verehrter Shop-Admin.
Am 18.06.2010, um 17:00 Uhr werden wir Ihren Shop für 30 Minuten unerreichbar für Sie und Ihre Kunden setzen. Dies hat folgenden Grund: Wir werden Ihren Online Shop mit einfachem DDoS attakieren, so dass weder Sie, noch Ihre Kunden Zugriff auf Ihre Webseite, geschweige denn auf den Server (xxx.xxx.xxx.xxx) haben. Dies wird nur ein kleiner Testlauf sein für Sie, damit Sie sehen, wie ernst es uns ist.
Wir bieten Ihnen hiermit die Option an, weder die Testattacke noch den folgenden DDoS zu bekommen, indem Sie bis morgen 250 Euro in Form eines uKash Vouchers (an jeder Tankstelle zu erhalten) uns via eMail, an die angegebene E-Mail Adresse senden. Informationen über uKash finden Sie auch auf Easy, safe and private online payments for everyone - Ukash (http://www.uKash.com) oder an Ihrer Tankstelle.
Sollte bis morgen 16:45 Uhr kein uKash Code eingegangen sein, so werden wir um Punkt 17 Uhr den DDoS starten, anfangs nur für 30 Minuten. Danach wird Ihr Service für längere Zeit offline bleiben, falls Sie nicht zahlen, was das Geschäft mit dem iPhone 4 wohl sehr stark sinken lässt.
Mit freundlichem Gruß
XXX"
http://adserv.quality-channel.de/RealMedia/ads/adstream_nx.ads/www.spiegel.de/netzwelt/artikel/1280747888@Sub1,Sub2,Top1,Top2,TopRight,Left,Right ,Right1,Right2,Right3,Right4,Right5,Middle,Middle1 ,Middle2,Middle3,Bottom,Bottom1,Bottom2,Bottom3,Po sition1,Position2,x01,x02,x03,x04,x05,x06,x07,x08, x09,x10,x11,x12,x20,x21,x22,x23,x70,VMiddle2,VMidd le,VRight,Spezial%21Middle2 (http://adserv.quality-channel.de/RealMedia/ads/click_nx.ads/www.spiegel.de/netzwelt/artikel/1280747888@Sub1,Sub2,Top1,Top2,TopRight,Left,Right ,Right1,Right2,Right3,Right4,Right5,Middle,Middle1 ,Middle2,Middle3,Bottom,Bottom1,Bottom2,Bottom3,Po sition1,Position2,x01,x02,x03,x04,x05,x06,x07,x08, x09,x10,x11,x12,x20,x21,x22,x23,x70,VMiddle2,VMidd le,VRight,Spezial%21Middle2)
Der Provider, ein so genannter Shop-Hoster, auf deren Servern zahlreiche Mittelständler ihre Online-Geschäfte anbieten, gab die Warnung auch an die Kunden weiter. Nicht, um diese zur Zahlung aufzufordern, sondern um sie zu warnen: "Sollten auch Sie solche Denial of Service (DOS) Drohungen erhalten, führen Sie bitte die folgenden Schritte aus: Informieren Sie uns über die genaue Drohung, damit unsere Technik für einen Angriff vorbereitet ist und noch intensiver beobachtet werden kann. Erstatten Sie Anzeige bei der Polizei."
Die Gretchenfrage: Bluff oder kein Bluff?
Zu keiner Zeit, sagt Frank Heitmeyer, einer der betroffenen Shopbetreiber, habe er ernstlich geglaubt, dass wirklich etwas passieren würde. Schon die Höhe der Erpressungsforderung war für ihn ein Hinweis darauf, dass er es eher mit Spam zu tun habe - mit einer "Dummenfalle", wie er das nennt. Auf der anderen Seite: Seinen Online-Shop hat er gerade erst eröffnet, echte Auszeiten bedeuten da potentiell werbliche und geschäftliche Ausfälle.
Denn so genau kann man eigentlich nicht wissen, was echt ist und was nicht. Der dreiste Erpresserbrief, trotz seiner Rechtschreib-Schwächen offenkundig aus deutschen Landen, könnte echt sein: Schutzgelderpressung dieser Form ist alles andere als selten, sondern neben der schieren Lust am Vandalismus die Hauptmotivation für DDoS-Attacken.
Häufigstes Opfer: Zocker-Seiten
Und zwar seit langem. 2004 wurde eine ganze Reihe von Fällen öffentlich, in denen die Betreiber von Online-Wettbüros oder Web-Casinos auf diese Weise erpresst wurden. Die Forderungen bewegten sich in einem satt fünfstelligen Dollarbereich, die Schäden waren am Ende wohl sogar noch höher: In mindestens zwei Fällen verweigerten die Betreiber die Zahlung, ihre Seiten gingen unter tagelang andauernden DDoS-Attacken in die Knie.
Auch ein deutscher Anbieter war im Sommer 2006 kurzzeitig betroffen. Dass dies im Vorfeld der Fußball-Europameisterschaft geschah, war nicht zufällig: Wettanbieter erwischt es stets im Vorfeld großer Sportereignisse. Eine ganze Serie von "Bookie"-Ausfällen registrierten Behörden so auch vor dem amerikanischen Superbowl 2004 und seitdem immer wieder.
Niemand weiß, wieviele Webseiten-Betreiber dieses Risiko erst gar nicht eingehen und lieber zahlen. Im Sommer 2009 sagte BKA-Chef Jörg Ziercke: "In dieser Art von Angriffen mit Massen-Spams sehe ich das Drohpotential der Zukunft gerade zur Erpressung von Unternehmen: Entweder ihr zahlt, oder wir legen eure IT-Struktur lahm."
Trittbrettfahrer
Die Eingangs zitierte Drohmail aber ist von anderer Natur. "Natürlich", sagt Heitmeyer, "ist nichts passiert." Denn offenbar geht es hier eher um das klassische Geschäftsfeld Spam: Man verschickt irgend etwas massenhaft und hofft, dass zumindest einige darauf reagieren. Da Spam-E-Mailversand so gut wie kostenlos ist, lohnt sich die Sache schon, wenn man nur einige Male Erfolg hat. Doch wie gesagt: Wirklich wissen, ob es sich um leere Drohungen handelt oder nicht, kann man in solchen Fällen vorher nicht. Interessant ist die in diesem Fall gewählte Zahlungsmethode. Ukash und verwandte Online-Bezahlsysteme, bei denen man per Bareinzahlung geldwerte PIN-Nummern generiert, die sich per Mail weitergeben lassen, werden immer wieder für diverse Betrugstricks missbraucht. Im bisher spektakulärsten Fall versuchte im Sommer 2008 ein Erpresser, die Discounterkette Lidl um 250.000 Euro zu erpressen, zu überweisen in Form von Ukash-Pincodes. Der Täter wurde gefasst, bevor man hätte herausfinden können, wie er das so unkonventionell überwiesene Erpressungsgeld einzulösen gedachte - an der örtlichen Tankstelle hätte das wohl kaum geklappt. Doch die bei Kleinsummen so praktische PIN-Überweisung anonymisiert die Täter nicht in dem Maße, wie diese anscheinend hoffen. Wenn die Behörden schnell agieren, lässt sich der Weg der Zahlung durchaus verfolgen.
"Wir raten davon ab, zu bezahlen", sagt deshalb auch Thomas Baumgärtner, IT-Security-Beauftragter bei Microsoft Deutschland: "Besser ist es, Strafanzeige zu stellen und einen richterlichen Durchsuchungsbeschluss zu erwirken. Bei den meisten E-Mail-Providern können die Strafverfolgungsbehörden damit die Herausgabe von Daten verlangen, um den Empfänger des Zahlungscodes zu identifizieren. Alles andere hätte auch eine falsche Signalwirkung an die Täterkreise. Die Täter können sich dabei nicht auf einen Betrugs- oder Nötigungsversuch herausreden, sondern müssen mit einer harten Strafe wegen versuchter Erpressung rechnen."
(via (http://www.spiegel.de/netzwelt/web/0,1518,701879,00.html))