Schweizer Polizei an "Operation Krümelmonster" beteiligt
In einer internationalen Aktion haben Ermittler die Darknet-Plattform "Genesis Market" lahmgelegt. Auf einer Polizei-Website lässt sich nun herausfinden, ob man zu den Opfern der raffinierten Kriminellen gehört.
![Diese Aufnahme stammt von der britischen National Crime Agency (NCA), wo Ermittler am Dienstag in der Hafenstadt Grimsby einen Verdächtigen festnahmen. (Source: NCA)](https://data.netzwoche.ch/styles/np8_full/s3/media/2023/04/06/screenshot_2023-04-06_104056.jpg?itok=cOC-u8y4)
Europol schreibt von einer beispiellosen Aktion, an der Ermittler aus 17 Ländern beteiligt waren: Im Zuge der "Operation Cookie Monster" sei am Dienstag die gefährliche Darknet-Plattform Genesis Market lahmgelegt worden.
Über eine Webseite der niederländischen Strafverfolgungsbehörden können Nutzerinnen und Nutzer überprüfen, ob auch ihre Daten zum Verkauf angeboten wurden.
Was ist passiert?
Am Dienstag prangte auf der Darknet-Seite "Genesis Market" ein Banner, das besagte, dass "alle Domains" von der US-Bundespolizei FBI beschlagnahmt worden seien.
Gleichzeitig seien weltweit Polizeiaktionen gegen die User der Plattform durchgeführt worden. Dies habe zu 119 Festnahmen und 208 Hausdurchsuchungen geführt.
Die über das Anonymisierungs-Netzwerk Tor erreichbare Seite war seit 2018 aktiv. Die Cyberkriminellen haben aber auch eine normal zugängliche Website betrieben. (Source: Europol)
An der Aktion beteiligt waren Strafverfolgungsbehörden aus Australien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Kanada, Island, Italien, Neuseeland, Polen, Rumänien, Schweden, der Schweiz, Spanien und den USA.
Hierzulande waren laut Europol die Bundespolizei (Fedpol) und die Kantonspolizei Zürich beteiligt.
Was machte Genesis Market so gefährlich?
Laut Europol war es einer der gefährlichsten kriminellen Marktplätze, der von Cyberkriminellen für den Handel mit gehackten digitalen Identitäten genutzt wurde.
Auf der Darknet-Plattform wurden sogenannte "Bots" verkauft: Mit Schadsoftware (Malware) wurden die Computer ahnungsloser Opfer ausspioniert und automatisch alle für die Kriminellen interessanten Daten übermittelt.
Im Gegensatz zur Konkurrenz verschaffte Genesis Market den kriminellen Usern Zugang zu "Browser-Fingerabdrücken", die es ihnen ermöglichten, sich als die Webbrowser der Opfer auszugeben – einschliesslich IP-Adressen, Sitzungs-Cookies, Betriebssysteminformationen und Plug-ins.
Kriminelle konnten mithilfe der Bots sogar die Zwei-Faktor-Authentifizierung umgehen.
Beim Kauf eines Bots erhielt Kriminelle Zugriff auf alle gesammelten Opfer-Daten, inklusive der gespeicherten Logins für Online-Dienste und Autovervollständigungs-Daten für Web-Formulare. Die PCs der Opfer wurden in Echtzeit überwacht – und die Käufer wurden heimlich über jede Änderung von Passwörtern usw. benachrichtigt.
Die in den Bots enthaltenen Daten wurden grösstenteils von Infostealer-Malware "geerntet", wie Alexander Leslie, Analyst bei Recorded Future, gegenüber The Record sagte.
Der Preis pro Bot betrug je nach Menge und Art der gestohlenen Daten zwischen 70 Cents und mehreren Hundert US-Dollar. Die Malware ermöglichte es Kriminellen, sich unbemerkt in fremde Banking- und Shopping-Accounts einzuloggen. Dazu erhielten die Käufer einen benutzerdefinierten Browser, der den Browser ihres Opfers nachahmte.
"Dadurch konnten die Kriminellen auf das Konto ihres Opfers zugreifen, ohne eine der Sicherheitsmassnahmen der Plattform auszulösen, auf der sich das Konto befand."
Das illegale Online-Angebot war nur auf Einladung zugänglich, aber die Website war über normale Suchmaschinen auffindbar. Und wie bei den meisten grossen kriminellen Online-Foren waren Einladungscodes weitverbreitet und wurden sogar in YouTube-Videos angeboten, wie es heisst.
Wie viele Opfer gibt es?
Dazu berichtet The Record:
"Basierend auf der aktuellen Anzahl aktiver Einträge, abgewogen gegen eine Stichprobengrösse der Gesamtzahl der Plattform-Referenzen im letzten Monat (1,3 Millionen), halte ich es für möglich, dass Genesis Store irgendwo zwischen 30 und 50 Millionen aktive Einträge hatte." Dies sei nur eine "Annäherung", die tatsächliche Opferzahl könnte noch viel höher sein.
So finden Opfer heraus, dass sie betroffen sind
Die niederländische Polizei betreibt ein Online-Portal, auf dem man überprüfen kann, ob eigene Informationen kompromittiert und zum Verkauf angeboten wurden.
Auf der entsprechenden Website soll man die eigene E-Mail-Adresse eingeben, und wird dann per E-Mail benachrichtigt, falls man tatsächlich zu den Opfern gehört.
Diese Meldung wird angezeigt, wenn man die Mailadresse eingegeben hat:
(Source: Screenshot / politie.nl/en/information/checkyourhack.html)
Wenn die digitale Identität gestohlen wurde, sollte man gemäss Europol folgende Schritte unternehmen:
- Zuerst ein Antivirenprogramm ausführen. In den meisten Fällen werde die Malware entdeckt und entfernt. "Erst dann sollten Sie alle Ihre Passwörter ändern – nicht vorher, wenn Sie nicht wollen, dass die Cyberkriminellen sie in die Hände bekommen."
- Dann die betroffenen Unternehmen benachrichtigen und sie auf den Identitätsdiebstahl aufmerksam machen. Also die eigene Bank, Versicherungsgesellschaften und andere wichtige Dritte kontaktieren.
Dieser Beitrag ist zuerst auf Watson.ch erschienen.
![(Source: Micha Brändli / unsplash.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/micha-brandli-xteagvru_1u-unsplash.jpg?itok=YakH3APY)
Mandiant stuft nordkoreanische Cyberbande als APT45 ein
![(Source: OrsiO / Pixabay.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/webcat-636172_1280.jpg?itok=4c5VDYw5)
Wenn orangene Katzen Unsinn veranstalten
![(Source: freshidea - stock.adobe.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/02/adobestock_416609395.jpeg?itok=lzCTG-o-)
Erfolgreiche Co-Creation im Digital Banking dank Design Thinking
![Rolf Unterberger, Mitglied des Verwaltungsrats, gratuliert Chief Sales Officer Gianni Mastromarino mit einem Pokal (v.l.). (Source: zVg)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/25/pokaluebergabe_cmyk.jpg?itok=8-ERumlE)
Assmann IT-Solutions feiert 15-Jahre-Jubiläum
![(Source: Kasia Derenda / unsplash.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/kasia-derenda-fl3rf_t8dms-unsplash.jpg?itok=72tLCDjs)
Phisher phishen am liebsten mit Microsoft
![Jean-Pierre Mustier übernimmt als neuer CEO bei Atos. (Source: Atos.net)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/mustier_atos.jpg?itok=c11BX9xf)
Atos ernennt nächsten CEO
![(Source: Pawina / stock.adobe.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/proton_wallet_2024.jpeg?itok=cfViQUYL)
Proton startet mit Kryptowallet
![(Source: NOAA / Unsplash)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/google_wetter-ki_2024.jpg?itok=3ZIDlofC)
Google vereint KI und Physik für Wettervorhersagen
![G.V. Shivashankar entwickelt derzeit am PSI verschiedene Verfahren zur Diagnose und Prognose von Krebs. (Source: Paul Scherrer Institut PSI/Markus Fischer)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/web20231116_shivashankar_0048.jpg?itok=zfzwJ7s8)
KI-Bildanalyse kann Brustkrebs-Stadium besser identifizieren
![(Source: DC Studio/Freepik.com)](https://data.netzwoche.ch/styles/teaser_small/s3/media/2024/07/26/ransomware.jpg?itok=Ke4dCDqV)