Angriffsetappen
Die oben dargestellte Klassifikation ist
natürlich nicht statisch. In einzelnen Fällen kann ein und dasselbe Mitglied
einer Verbrecherbande mehrere Rollen übernehmen. Trotzdem sind alle oben
beschriebenen Funktionen, ganz egal von wie vielen Personen sie erfüllt
werden, bei den Ermittlungen praktisch jedes beliebigen Cyberverbrechens
anzutreffen, das mit dem Diebstahl von Geld in Verbindung steht. Und so
arbeiten sie alle in “Echtzeit”.
1. Vorbereitende Aufklärung. Wenn die Rede von
zielgerichteten Attacken auf ein konkretes Unternehmen ist, so bestellt der
Organisator zunächst bei einem Zulieferer Informationen über das
anzugreifende Unternehmen. Mit deren Hilfe kann ein glaubhaftes
Social-Engineering-Schema ausgearbeitet werden, das auf der ersten
Angriffsetappe zum Einsatz kommt. Wenn es um einen Angriff auf individuelle
Anwender geht, entfällt die vorbereitende Aufklärung oder sie beschränkt
sich auf die Auswahl der “Zielgruppe” der Attacke (beispielsweise
Online-Banking-Anwender bestimmter Banken) und die Erstellung von
Phishing-Mails und Phishing-Seiten mit entsprechendem Inhalt.>
2. Infektion. Das Eindringen in das interne Netz
wird mit Hilfe von zielgerichteten (Spear-Phishing) oder massenhaften
Versendungen von Phishing-Mails umgesetzt, die einen schädlichen Link auf
eine Drittressource oder ein speziell aufbereitetes Dokument in Form eines
Anhangs enthalten. Das Öffnen des angehängten Dokuments oder der Klick auf
den mitgeschickten Link führt zur Infektion des Systems mit einem
Schadprogramm. Häufig erfolgt die Infektion automatisch, ohne Kenntnis und
Beteiligung des Nutzers. Nach dem Aufruf des Links wird automatisch ein
Schadprogramm auf seinen Computer geladen (Drive by Download) und dort
gestartet.
In anderen Fällen erfolgt die Infektion über
gehackte populäre Webseiten, über die der Nutzer verdeckt auf eine
Drittressource mit einer Exploit-Sammlung geleitet wird. Landet der Anwender
auf einer solchen Seite, wird sein System mit Malware verseucht.
Im weiteren Verlauf wenden die Cyberkriminellen
eine Reihe von schädlichen Tools an, die für die Festsetzung der
Schadsoftware im System sorgen. Beispielsweise hacken und infizieren sie
interne Seiten der Organisation mit Schadsoftware, um eine Neuinstallation
des Schädlings für den Fall zu gewährleisten, wenn die Schutzlösung auf den
angegriffenen Computern die vorherige Malware-Version gelöscht hat. Außerdem
installieren Cyberkriminelle nicht selten Software in einer angegriffenen
Infrastruktur, die den ungehinderten Zugriff auf die internen Netze der
Organisation von außen ermöglicht.
3. Aufklärung und Umsetzung. Auf die gehackten
Computer werden verborgene Fernsteuerungstools geladen, mit Hilfe derer die
Verbrecher versuchen, sich die Accounts der Systemadministratoren
anzueignen. Es werden großflächig legale Fernwartungs-Programme eingesetzt,
deren Funktionalität vielen Nutzern bekannt ist.
4. Gelddiebstahl. Auf der finalen Etappe wird auf
die Finanzsysteme zugegriffen und das Geld von den Konten der angegriffenen
Organisationen auf die Konten der Kurierdienste überwiesen, oder das Geld
wird direkt von Geldautomaten abgehoben.