Schweizer Polizei an "Operation Krümelmonster" beteiligt

Europol schreibt von einer beispiellosen Aktion, an der Ermittler aus 17 Ländern beteiligt waren: Im Zuge der "Operation Cookie Monster" sei am Dienstag die gefährliche Darknet-Plattform Genesis Market lahmgelegt worden.

Über eine Webseite der niederländischen Strafverfolgungsbehörden können Nutzerinnen und Nutzer überprüfen, ob auch ihre Daten zum Verkauf angeboten wurden.

Was ist passiert?

Am Dienstag prangte auf der Darknet-Seite "Genesis Market" ein Banner, das besagte, dass "alle Domains" von der US-Bundespolizei FBI beschlagnahmt worden seien.

Gleichzeitig seien weltweit Polizeiaktionen gegen die User der Plattform durchgeführt worden. Dies habe zu 119 Festnahmen und 208 Hausdurchsuchungen geführt.

Die über das Anonymisierungs-Netzwerk Tor erreichbare Seite war seit 2018 aktiv. Die Cyberkriminellen haben aber auch eine normal zugängliche Website betrieben. (Source: Europol)

An der Aktion beteiligt waren Strafverfolgungsbehörden aus Australien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Kanada, Island, Italien, Neuseeland, Polen, Rumänien, Schweden, der Schweiz, Spanien und den USA.

Hierzulande waren laut Europol die Bundespolizei (Fedpol) und die Kantonspolizei Zürich beteiligt.

Was machte Genesis Market so gefährlich?

Laut Europol war es einer der gefährlichsten kriminellen Marktplätze, der von Cyberkriminellen für den Handel mit gehackten digitalen Identitäten genutzt wurde.

Auf der Darknet-Plattform wurden sogenannte "Bots" verkauft: Mit Schadsoftware (Malware) wurden die Computer ahnungsloser Opfer ausspioniert und automatisch alle für die Kriminellen interessanten Daten übermittelt.

Im Gegensatz zur Konkurrenz verschaffte Genesis Market den kriminellen Usern Zugang zu "Browser-Fingerabdrücken", die es ihnen ermöglichten, sich als die Webbrowser der Opfer auszugeben – einschliesslich IP-Adressen, Sitzungs-Cookies, Betriebssysteminformationen und Plug-ins.

Kriminelle konnten mithilfe der Bots sogar die Zwei-Faktor-Authentifizierung umgehen.
Beim Kauf eines Bots erhielt Kriminelle Zugriff auf alle gesammelten Opfer-Daten, inklusive der gespeicherten Logins für Online-Dienste und Autovervollständigungs-Daten für Web-Formulare. Die PCs der Opfer wurden in Echtzeit überwacht – und die Käufer wurden heimlich über jede Änderung von Passwörtern usw. benachrichtigt.

Die in den Bots enthaltenen Daten wurden grösstenteils von Infostealer-Malware "geerntet", wie Alexander Leslie, Analyst bei Recorded Future, gegenüber The Record sagte.

Der Preis pro Bot betrug je nach Menge und Art der gestohlenen Daten zwischen 70 Cents und mehreren Hundert US-Dollar. Die Malware ermöglichte es Kriminellen, sich unbemerkt in fremde Banking- und Shopping-Accounts einzuloggen. Dazu erhielten die Käufer einen benutzerdefinierten Browser, der den Browser ihres Opfers nachahmte.

"Dadurch konnten die Kriminellen auf das Konto ihres Opfers zugreifen, ohne eine der Sicherheitsmassnahmen der Plattform auszulösen, auf der sich das Konto befand."

Das illegale Online-Angebot war nur auf Einladung zugänglich, aber die Website war über normale Suchmaschinen auffindbar. Und wie bei den meisten grossen kriminellen Online-Foren waren Einladungscodes weitverbreitet und wurden sogar in YouTube-Videos angeboten, wie es heisst.

Wie viele Opfer gibt es?

Dazu berichtet The Record:

"Basierend auf der aktuellen Anzahl aktiver Einträge, abgewogen gegen eine Stichprobengrösse der Gesamtzahl der Plattform-Referenzen im letzten Monat (1,3 Millionen), halte ich es für möglich, dass Genesis Store irgendwo zwischen 30 und 50 Millionen aktive Einträge hatte." Dies sei nur eine "Annäherung", die tatsächliche Opferzahl könnte noch viel höher sein.

So finden Opfer heraus, dass sie betroffen sind

Die niederländische Polizei betreibt ein Online-Portal, auf dem man überprüfen kann, ob eigene Informationen kompromittiert und zum Verkauf angeboten wurden.

Auf der entsprechenden Website soll man die eigene E-Mail-Adresse eingeben, und wird dann per E-Mail benachrichtigt, falls man tatsächlich zu den Opfern gehört.

Diese Meldung wird angezeigt, wenn man die Mailadresse eingegeben hat:

(Source: Screenshot / politie.nl/en/information/checkyourhack.html)

Wenn die digitale Identität gestohlen wurde, sollte man gemäss Europol folgende Schritte unternehmen:

• Zuerst ein Antivirenprogramm ausführen. In den meisten Fällen werde die Malware entdeckt und entfernt. "Erst dann sollten Sie alle Ihre Passwörter ändern – nicht vorher, wenn Sie nicht wollen, dass die Cyberkriminellen sie in die Hände bekommen."
• Dann die betroffenen Unternehmen benachrichtigen und sie auf den Identitätsdiebstahl aufmerksam machen. Also die eigene Bank, Versicherungsgesellschaften und andere wichtige Dritte kontaktieren.

Dieser Beitrag ist zuerst auf Watson.ch erschienen.