Spiegel Online: Firma für Erpresse-Abwehr schützt auch die Erpresser


 

 

 

Spiegel online

18.04.2016

Server-Attacken: Firma für Erpresser-Abwehr schützt auch die Erpresser

Von Uli Ries

Heute kann praktisch jeder andere Webseiten mit Serverattacken abschießen lassen. Erpresser haben deshalb leichtes Spiel - und können sich dabei auf die Hilfe namhafter US-Firmen verlassen.

 

Zwischen 1000 und 5000 Euro verlangten die Erpresser, damit die digitale Sturmflut aufhört. Die Erpresser-Mails waren in holprigem Englisch verfasst, mit Formulierungen, die darauf hindeuten, dass die Täter eigentlich Deutsch sprechen.

 

 

Die Opfer waren gut 50 Betreiber von Online-Apotheken in Deutschland. Mit bis zu 100 Gigabit pro Sekunde strömte der Datenmüll in das Rechenzentrum, in dem das Essener Unternehmen Mauve Software im Auftrag seiner Kunden Shops wie apotheker.com oder apotheke-guenstig.de betreibt.

Der Netzwerk-Fachmann Philipp Berndroth wurde von Mauve hinzugezogen, als die Angriffe im Februar 2016 auf ihrem Höhepunkt waren. Er half, Gegenmaßnahmen einzuleiten und die Erpresser der Gruppe, die sich Gladius nennt, ins Leere laufen zu lassen. Was den Experten am meisten erstaunte, war, wie leicht technisch gänzlich Unbegabte einen solchen DDoS (Distributed Denial of Service) genannten Angriff auf ein beliebiges Ziel im Internet in Gang setzen können: Man kann sie online einkaufen, einfach per Web-Formular ( siehe Fotostrecke ).

 

Sogenannten Booter-Diensten liefert man nur eine Zieladresse - und bezahlt. Sie haben professionell gestaltete Webseiten, die offen im Netz stehen, prahlen mit "erstaunlicher Power" und "dezidierten Servern".

 

Tatsächlich wird der Müll üblicherweise von infizierten PCs (Bots) aus aller Welt aus losgeschickt. Auch im Moment sehen sich diverse Unternehmen in Deutschland und der Schweiz DDoS-Angriffen gegenüber. Manche davon gehen womöglich auf solche für jedermann zugänglichen Angebote zurück.

 

Cloudflares laxe Politik

 

Es gibt Internetdienstleister, die versprechen, ihre Kunden vor solchen Attacken zu schützen. Zum Beispiel die große, in den USA beheimatete Firma Cloudflare. Die bietet einen " Advanced DDoS Protection Service " an. Jetzt wird es abenteuerlich: Auch die meisten der in Untergrundforen als Top 10 der kostenpflichtigen DDoS-Dienstleister geführten Angebote lassen ihre Webseiten von Cloudflare schützen. Anbieter von Netz-Attacken nehmen selbst kostenpflichtigen Schutz vor solchen Attacken in Anspruch.

 

Cloudflare will hierzu keine Auskunft geben: Ohne Zustimmung der betreffenden Kunden könne man nichts über deren Angebote sagen. Außerdem sei es aufgrund der schieren Masse von mehr als 8000 Neuanmeldungen täglich auch nicht machbar, die Webseiten manuell zu überprüfen. Die Vorstellung eines späteren, automatischen Checks, ob einer der Kunden illegale Angebote hinter dem Cloudflare-Schutzwall versteckt, findet ein Cloudflare-Sprecherin "gruselig."

 

Außerdem würde es der Sprecherin zufolge auch nichts nutzen, wenn Cloudflare kriminellen Angeboten den Schutz entzöge: Das Hosting der Webseiten werde ja von anderen Anbietern erledigt, Cloudflare stellt nur den Schutzwall. Die auf das Thema spezialisierte Webseite crimeflare.com listet diverse äußerst dubiose Angebote auf, die sämtlich auf Cloudflare zurückgreifen.

 

Das Unternehmen verweist in diesem Zusammenhang nur auf seine " abuse policy ": Auf der entsprechenden Seite heißt es, man könne Missbrauch melden, entsprechende Meldungen würden dann an Host-Provider und Website-Betreiber weitergeleitet. Und natürlich arbeite man mit den Strafverfolgungsbehörden zusammen.

 

Die Erpresser selbst finden sich ganz harmlos

 

In einer ihrer nicht zum Absender zurückverfolgbaren E-Mails an Mauve Software bezeichneten sich die Online-Schutzgelderpresser als "ehrliche Geschäftsleute". Die erwartete Zahlung sei doch nur eine "Nicht-Angriffsgebühr" . Aber natürlich ist so eine Aktion illegal.

 

Die Betreiber kostenpflichtiger DDoS-Dienste argumentieren zuweilen, Webseiten-Administratoren könnten damit die Widerstandsfähigkeit ihrer eigenen Server testen. Philip Berndroth hält das für eine Schutzbehauptung: "Man würde mit einem solchen Stresstest nicht nur die eigenen Server erreichen, sondern ganze Netzwerke anderer Kunden des gleichen Providers beeinträchtigen", so Berndroth. Kein vernünftig denkender Betreiber greift daher auf einen solchen Dienst zurück.

 

Zudem machen viele Anbieter keinen Hehl daraus, dass sie davon ausgehen, dass man ihre Dienste für Illegales verwenden wird. Sie werben etwa offensiv mit maximaler Anonymisierung, damit, dass eine Netzattacke "niemals zu Ihnen zurückverfolgt werden kann". Unternehmen, die ihre eigenen Netzwerke "testen" wollen, hätten dieses Bedürfnis wohl kaum.

 

DDoS-Kreise setzen auf Paypal

 

Neben Cloudflare bedienen sich die Macher der Erpressungsdienste des Zahlungsdienstleisters Paypal, um Zahlungen bis 50 US-Dollar abzuwickeln; für höhere Beträge akzeptieren sie nur noch Bitcoin. Auch Paypal will sich "aus Gründen des Datenschutzes und aufgrund des Bankgeheimnisses" nicht zu Einzelheiten einzelner Paypal-Konten äußern. Anders als Cloudflare schließt Paypal solche Konten eigenen Angaben zufolge aber, wenn Hinweise auf "illegale Aktivitäten wie DDoS-Angriffe" vorlägen. Außerdem überwache ein Monitoring-System ständig alle Transaktionen mit dem Ziel, fragwürdige Vorgänge aufzuspüren. Auch Meldungen von Dritten gehe man nach.

 

 

All dies kann aber offensichtlich nicht verhindern, dass zahlreiche DDoS-Anbieter nach wie vor auf Paypal zurückgreifen. Auch gut ein Dreivierteljahr, nachdem eine Studie von US-Wissenschaftlern den breiten Einsatz von Papyal in den DDoS-Kreisen offengelegt hat, setzen immer noch etliche der gängigen Dienste auf den Anbieter.

Glück hatten am Ende die Betreiber der Versandapotheken. Denn Gladius setzte nicht zum dauerhaften Beschuss an - obwohl die Erpresser mehrfach damit drohten.

 

Am Ende mussten die Kriminellen feststellen, dass Philip Berndroth und Kollegen Schutzmaßnahmen ergriffen hatten, die Angriffe der zuvor beobachteten Intensität ins Leere hätten laufen lassen. Mehr Angriffs-Wumms kostet bei den DDoS-Dienstleistern auch mehr Geld. Es könnte daher gut sein, dass der reichlich dilettantisch vorgehenden Gladius-Truppe mitten im Angriff das Geld ausgegangen war.

X

Facebook

Twitter

Google Plus