Dark Web-Monitoring: Die vielen Gesichter der Unterwelt

Dark Web-Monitoring: Die vielen Gesichter der Unterwelt
Photon Research Team
Read More From Photon Research Team
February 12, 2020 | Lesedauer 22 Min

Dark Web Monitoring – Auf einen Blick

Im Kampf gegen Cyberkriminelle kann der Zugriff auf Quellen im Deep und Dark Web für Unternehmen eine mächtige Waffe sein – vorausgesetzt sie wissen diese gezielt einzusetzen. Erfolgreich sind vor allem die Strategien, die klare Ziele verfolgen: Dazu gehört die Betrugsaufdeckung, das Überwachen von Bedrohungen und das Aufspüren von geleakten Zugangsdaten.

Wie lassen sich diese Quellen aber überhaupt einsehen und überwachen? Tatsächlich gibt es nur wenige Monitoringtools, die eine breite und umfassende Abdeckung leisten. Grundsätzlich ist das Deep und Dark Web voll von potentiellen Informationsquellen wie Marktplätzen und kriminellen Foren, Messaging-Diensten und Paste-Seiten. Es gibt allerdings nur wenige Anbieter, die all diese Quellen im Blick haben. Und noch weniger bieten mehr als ein bloßes „Scraping“, das heißt eine oberflächliche Prüfung der Webseiten.

Leider ist das Dark Web noch immer von einer Wolke aus Angst, Unsicherheit und Unsicherheit umgeben. Jeder kennt den Vergleich mit einem Eisberg, bei dem das Deep und Dark Web bedrohlich und verborgen unter der Wasseroberfläche lauert. In Wahrheit macht das Dark Web nur einen vergleichsmäßig kleinen Teil der cyberkriminellen Welt aus. Wer sich ein realistisches Bild der Bedrohungslandschaft machen will, muss daher weitere Datenquellen miteinbeziehen.

Was ist das Dark Web?

Das Dark Web ist ein Bereich des Internets, der nur mit einer speziellen Browsersoftware wie Tor oder I2P zugänglich ist. Anonymität ist die wichtigste Eigenschaft dieses Netzwerks: Identität und Standort eines Nutzers sind mittels Verschlüsselungstechnologien geschützt. Zudem werden Daten über unterschiedliche Server auf der ganzen Welt umgeleitet – was das Zurückverfolgen von Einzelpersonen extrem schwierig gestaltet.

Seine Anonymität macht das Dark Web zu einem attraktiven Ort für kriminelle Geschäfte. Die Türen bleiben dabei für den normalen Webbesucher fest verschlossen. Es braucht nicht nur Erfahrung und Know-how, um sich Zugang zu verschaffen. Auch smarte Technologien sind nötig, um die Quellen zu monitoren und auf Missbrauch und Datenschutzverletzungen zu überprüfen.

Wie auch immer, lassen Sie uns zuerst einige Irrtümer im Zusammenhang mit dem Dark Web aus dem Weg räumen.

Irrtum #1: Das Dark Web ist Synonym für das kriminelle Internet. Ja, das Dark Web wird von Kriminellen genutzt – jedoch nicht nur. Auch ganz legitime Unternehmen wie die New York Times oder Facebook bieten Tor-basierte Dienste an und veröffentlichen dort ihre Inhalte. Nicht alles was sich im Dark Web findet, muss daher automatisch kriminell sein.

Irrtum #2: Dark Web und Deep Web sind ein und dasselbe. Das Deep Web lässt sich als der Bereich im Internet definieren, der nicht von traditionellen Suchmaschinen indiziert ist. Damit ist es nicht überraschend, dass sich im Deep Web auch Kriminelle bewegen. Betrug und Cyberkriminalität finden sich zudem im offenen Netz (Open oder Clear Web). Oder einfach gesagt: Cyberkriminalität lässt sich nicht auf einen Teil des Internets reduzieren.

Das Deep Web bleibt den meisten Internetnutzern in der Regel gänzlich unbekannt. Das heißt nicht, dass sich dort zwangsläufig hochspannende Informationen verbergen. Tatsächlich werden dort meist völlig banale Daten gespeichert, wie E-Mail- oder Facebook-Konten, deren Inhalte ohne Registrierung nicht einsehbar sind. Sicherlich gibt es auf einigen Deep und Dark Web-Webseiten auch wertvollere Informationen zu finden. Dazu muss man allerdings wissen, wo genau. Ansonsten entwickelt sich die Recherche im Dark und Deep Web schnell zur Suche nach der Nadel im Heuhaufen.

Gewinnen Sie Einblick in kriminelle und betrügerische Aktivitäten im Dark und Deep Web, die Ihrem Unternehmen und Ihrer Marke schaden können

Hier Weiterlesen

Der Kampf um Marktplätze im Dark Web

Im Juli 2017 begannen Behörden aus den USA und den Niederlanden mit der Operation Bayonet. Im Rahmen der Aktion wurden zwei der bekanntesten Umschlagsplätze im Dark Web, AlphaBay und Hansa, beschlagnahmt und die Webseiten deaktiviert. Der US-Generalstaatsanwalt Jeff Sessions erklärte:

„(Operation Bayonet) ist eine der wichtigsten kriminellen Untersuchungen des Jahres. (…) Sie hat die amerikanischen Bürger sicherer gemacht – sicherer vor Identitätsdiebstahl und Betrug, vor Malware und vor tödlichen Drogen

Vor ihrer Auflösung gehörten Alpha Bay und Hansa zu den wichtigsten Dark Web-Marktplätzen im englischsprachigen Raum. Hunderttausende von Verkäufern und Käufern handelten dort mit illegalen Waren und setzten über eine Milliarde US-Dollar um.

Doch Operation Bayonet war nur der Anfang.  Am 7. Mai 2019 wurden bei einer internationalen Operation zwei weitere Marktplätze, Wall Street Marketplace und Valhalla Marketplace (Silkkitie), geschlossen. Gleichzeitig gelang es den Strafverfolgungsbehörden DeepDotWeb zu deaktivieren. Die beliebte Infoseite bot selbst zwar keine Schmuggelware zum Verkauf an, dafür aber eine nützliche Übersicht der kriminellen Webseiten in Verbindung mit Affiliate-Links. Die Aktionen zeigen, dass Strafverfolgungsbehörden in der ganzen Welt die illegalen Handelsnetzwerke hinter den Marktplätzen stärker ins Visier nehmen und dabei auch Nebenakteure und Geldwäscher nicht entwischen lassen.

Bei den Recherchen für den Report Seize and Desist: The State of Cybercrime in the Post-AlphaBay and Hansa Age hat das Team von Digital Shadows das Ende der Marktplätze und seine Folgen für das Dark Web genauer untersucht. Das Ergebnis: Das Geschäft mit der Cyberkriminalität – insbesondere im russischsprachigen Raum – wurde kaum gestört. Die Aktionen lösten allerdings eine Vertrauenskrise innerhalb der kriminellen Cyberwelt aus.

Nach dem Ende von AlphaBay, Hansa und Silk Road existieren zwar immer noch Marktplätze, wie Tochka und Empire. Einen ähnlichen Bekanntheitsgrad konnten sie jedoch nicht erreichen. Noch verzeichnen die neuen Marktplätze wenig Wachstum, oder halten sich aus Angst vor strafrechtlichen Aktionen und Takedown-Verfahren ganz bewusst bedeckt. Wie in der legalen Welt sind die Neulinge auf eine gute Reputation und langfristige Finanzierung angewiesen, um das Vertrauen von Nutzern zu sichern und ihren Kundenstamm auszubauen.

Ein gutes Beispiel dafür war Market.ms Marketplace. Die Seite wurde von einem ehemaligen Administrator des renommierten Exploit[.]in-Hacking-Forums betrieben, der zufälligerweise auch das aufstrebende XSS-Forum (ehemals Damagelab) leitete. Zu 100% auf Cyberkriminalität fokussiert, war MarketMS nahezu konkurrenzlos. Doch trotz des anfänglichen Erfolgs gelang es auch marketMS nicht, langfristig profitabel zu bleiben und die Seite zu einem tragfähigen Marktplatz zu etablieren.

Cyberkriminelle verlassen sich nie nur auf eine Webseite, sondern bewegen sich auf unterschiedlichen Plattformen und Marktplätzen. So gehen sie auf Nummer sicher, dass ihr Name allen potentiellen Käufern bekannt ist. Der auf Marktplätzen bereitgestellte Treuhandservice ist für Käufer als auch für Verkäufer in der unsicheren Welt der Cyberkriminalität ein wichtiges Argument. Parallel zu den neuen Marktplätzen im Dark Web werden auch verstärkt Messaging-Dienste wie Telegram und Jabber genutzt, um Geschäfte auszuhandeln und die Glaubwürdigkeit von Angeboten zu prüfen.

Kein Ende in Sicht:Innovative Cyberkriminalität

Trotz aller Bemühungen der Strafverfolgungsbehörden wächst das Ausmaß der Cyberkriminalität stetig – und in immer neuen Variationen. Automated Vending Carts (AVCs) beispielsweise bezeichnen Webseiten, die mit großen Mengen an Kreditkartendaten und Logindaten handeln und nur wenig Interaktion zwischen Verkäufer und Händler voraussetzen. Ihre Aktivitäten sind, abgesehen von der Schließung von XDedic im Januar 2019, weitgehend unberührt geblieben. Joker’s Stash, ein prominenter AVC für gestohlene Kreditkarten, ist weiterhin in Betrieb und experimentiert gleichzeitig mit neuen Technologien wie Blockchain-DNS.

Die AVC-Seite Enigma-Markt hat ebenso schnell an Bekanntheit gewonnen und seine Angebote zwischen Februar und Juli 2019 sogar verdoppelt. Ihr Gründer operiert unter dem Namen Stackz420 und verfolgt ein aggressives Marketing auf kriminellen Foren und Marktplätzen. Der Erfolg gibt ihm Recht: Das anfängliche Portfolio von 11.000 gehackten Logindaten wuchs schnell auf 20.000 an.

Lesen Sie mehr zu diesem Thema:

 Market.ms: Heir to the AlphaBay and Hansa throne?

https://www.digitalshadows.com/blog-and-research/market-ms-heir-to-the-alphabay-and-hansa-throne/

How Cybercriminals are using Blockchain DNS

https://www.digitalshadows.com/blog-and-research/how-cybercriminals-are-using-blockchain-dns-from-the-market-to-the-bazar/

A Growing Enigma: New AVC on the Block

https://www.digitalshadows.com/blog-and-research/a-growing-enigma-new-avc-on-the-block/

Vertrauen unter Kriminellen: Gegenseitige Kontrolle

Nicht nur die strafrechtliche Verfolgung durch Behörden macht Cyberkriminellen zu schaffen. Auch in den eigenen Reihen gibt es schwarze Schafe und Betrüger.

Ein gutes Beispiel dafür war der erfolgreiche Olympus Marketplace. Als AlphaBay und Hansa von der Bildfläche verschwanden, etablierte sich Olympus als seriöser, englischsprachiger Umschlagsplatz. Viele erwarteten, dass er die Lücke füllen würde. Doch das Gegenteil war der Fall: Der Marktplatz stellte den Betrieb ein, da die Administratoren laut Berichten einen Exit-Betrug planten – und dabei Gelder ihrer Nutzer unterschlugen. Olympus zeigt, dass der Platz als Marktplatz #1 seinen Preis hat und mit viel Aufwand, Kosten und steigendem Risiko verbunden ist, dem nicht alle Betreiber gewachsen sind.

Auch Dream Market, einst größter Konkurrent von AlphaBay und Hansa, stellte nach mehreren DDoS-Angriffen seine Tätigkeit ein. Die Angreifer konnten sich auf Grund wiederholter Passwortvergabe Zugang zu Nutzerkonten verschaffen. Es wird allgemein davon ausgegangen, dass es sich dabei um eine polizeiliche Operation handelte. Zwar gelang es den Behörden nicht, die Seite völlig zu übernehmen. Die Aktion führte aber dazu, dass die Administratoren schließlich den Marktplatz aufgaben.

Mit dem Verschwinden verlässlicher Marktplätze ist die Zahl an Betrugsfällen in den eigenen kriminellen Reihen gestiegen. Eigens entwickelte Phishing-Kits ermöglichen es, Nutzer auf Dark Web-Marktplätzen zu bestehlen und die Ware selbst weiterzuverkaufen. Dabei kommen auch bewährte Betrugsmaschen wie das Manipulieren von Weblinks (Typosquatting) zum Einsatz. Da Tor-Links in der Regel länger und komplexer als klare Weblinks sind, ist es umso einfacher „m“ durch „rn“ zu ersetzen oder komplexe Zeichenfolgen zu fälschen, um andere Betrüger zu täuschen.

Betrüger, die andere Cyberkriminelle hinters Licht führen, werden in der Cyberwelt als „Ripper“ bezeichnet. Insbesondere in der russischsprachigen Community haben sich Gruppen und Dienste etabliert, die ihre Webseiten vor diesen Rippern schützen wollen. Die Webseite Ripper[.]cc beispielsweise bietet eine umfassende Datenbank über bekannte Ripper – einschließlich ihrer Betrugsmaschen. Das Betrüger gegen Betrüger vorgehen mag skurril erscheinen. Doch auch die Welt der Cyberkriminalität basiert auf einem Ökosystem aus Services und Partnern, das geschützt werden muss, soll es Gewinn abwerfen.

Lesen Sie mehr zu diesem Thema:

Cybercriminal Marketplaces: Olympus Has Fallen
https://www.digitalshadows.com/blog-and-research/cybercriminal-marketplaces-olympus-has-fallen/

Dark Web Typosquatting: Scammers v. Tor
https://www.digitalshadows.com/blog-and-research/dark-web-typosquatting-scammers-v-tor/

Reducing the Risk of Ripper Fraud
https://www.digitalshadows.com/blog-and-research/innovation-in-the-underworld-reducing-the-risk-of-ripper-fraud/

Ein umfangreiches Ökosystem: Kriminelle Services & Support

Die Serviceseite von Ripper[.]cc verdeutlicht das umfangreiche Ökosystem aus Services und Support-Leistungen, die im Deep und Dark Web gewachsen ist. Tatsache ist: Cyberkriminelle können nicht vollständig isoliert voneinander arbeiten. Vielmehr werden sie von einem vielfältigen und ausgereiften Netzwerk unterstützt, das Möglichkeiten zur Geldwäsche, Malware und die nötige Infrastruktur bereitstellt.

Das Outsourcing von Geldwäsche ermöglicht es Cyberkriminellen, finanzielle Gewinne zu generieren und abzuwickeln. Services gibt es rund um digitale Währungen, illegale Geldtauscher, Transferspezialisten und sogenannte „Money Mules“. AlphaBay hatte den Online Geldwäsche-Dienst Mixer in seinen Marktplatz integriert. Heute können sich Cyberkriminelle und Betrüger verstärkt auch an externe Dienste wenden, um ihr Geld zu waschen.

Neben Geldwäsche ist der Zugang zur neuesten Malware für Cyberkriminelle extrem wichtig. Angebotene Dienste umfassen die Entwicklung und den Einsatz von Schadsoftware sowie Kryptographie-Dienste und Exploit-Kits. Zwar haben Exploit-Kits nach ihrem vorläufigen Höhepunkt in 2016 an Popularität verloren, sie werden trotzdem immer noch gerne zur Auslieferung von Malware verwendet. So zum Beispiel bei der Verbreitung der Nemty-Ransomware über das RIG Exploit-Kit.

Und schließlich sind Cyberkriminelle auch auf eine Infrastruktur angewiesen, die ihren „Betrieb“ zuverlässig schützt. Dazu gehört ein angriffssicheres Hosting, Counter-Anti-Virus-Dienste, und Tools zur Sicherung der Anonymität. Solche Services sind sehr beliebt, da sie das Risiko einer Beschlagnahmung der Webseite und strafrechtlicher Konsequenzen reduzieren.

Ein sicheres, unangreifbares Hosting (Bulletproof-Hosting) ist für den Online-Handel mit illegalen Waren tatsächlich wichtiger als ein Tor-Browser. Damit steht Personen oder Gruppen eine geschützte Internetstruktur zur Verfügung, die einen weitgehend freien Raum für illegale Aktivitäten schafft. In der Regel wird eine solche Infrastruktur auf Servern in Ländern gehostet, in denen strafrechtliche Verfolgung von Cyberkriminalität schwierig und der Zugriff über westliche Strafverfolgungsbehörden nur eingeschränkt möglich ist. Nutzer können so gesetzliche Regelungen zu Inhalten und ihrer Verbreitung einfach umgehen.

Es gibt durchaus Stimmen, die sich im Kontext von Privatsphäre, Datenschutz, Meinungs- und Pressefreiheit für Bulletproof-Hosting als eine Art Bürgerrecht aussprechen. In der Realität ist ihre Existenz entscheidend für das Funktionieren von Cyberkriminalität, da sie Schutz vor Strafverfolgung bieten. Dabei gibt es zwei Seiten zu beachten: die Anbieter solcher Hosting-Dienste und die Kunden, die mit ihrer Hilfe illegale Webseiten betreiben.

Sehr viele Anbieter von Bulletproof-Hosting betreiben ihre Server in China und Russland sowie den ehemaligen Sowjetstaaten. Der weltgrößte Anbieter ist unter dem Pseudonym „Yalishanda“ (Mandarin: Alexander) aktiv. Seine wahre Identität sowie sein Aufenthaltsort sind Sicherheitsbehörden bekannt. Da er durch seinen Wohnsitz in Russland aber geschützt ist, konnte er bislang einer Festnahme entgehen.

Die Hosting-Dienste werden von Nutzern in aller Welt gekauft oder gemietet. Die Absicht dahinter ist meist klar: Sie wollen ihre kriminellen Dienstleistungen und Angebote rund um Phishing, Malware und Zugangsdaten schützen. Magecart, eine Gruppe von Kriminellen im Finanzbereich, nutzen so beispielsweise Server in der Ukraine, um unbehelligt mit Zugangsdaten handeln zu können.

Auch wenn sich die Strafverfolgung schwierig gestaltet, stehen die Behörden dem Treiben nicht ganz tatenlos gegenüber. In einem bislang einzigartigen Fall konnten US-Behörden, mit staatlicher Unterstützung des Heimatlandes Rumänien, den Anbieter von Bulletproof-Hosting für die Banken-Malware Gozi stellen und verhaften.

Aktionen, die zum Takedown gefährlicher Dienste, wie Counter-Antivirus oder Bulletproof-Hosting führen, sind damit mehr als nur eine interessante Schlagzeile. Vielmehr gehen die Behörden taktisch vor und zielen auf zentrale Nervenstellen, die das kriminelle Ökosystem im Ganzen treffen.

Das kriminelle Ökosystem entwickelt kontinuierlich Strategien und Taktiken, um der Strafverfolgung zu entgehen. Und auch Cyberkriminelle finden stets neue und innovative Wege, um ihr Fachwissen zu Geld zu machen. Erfahrene Betrüger und Händler von Login-Daten bieten mittlerweile sogar Cybercrime-Kurse an, in denen sie einem interessierten Publikum diverse Techniken beibringen. Diese reichen von Kreditkartenbetrug, der Manipulation von Geldautomaten und Geldwäsche bis zu Social Engineering, Botnets und dem Exploit von Sicherheitslücken.

Die Einführungsveranstaltung ist meist kostenlos und wird über Peer-to-Peer-Netzwerken wie Telegram oder Jabber beworben – zusammen mit anderen (kurs)relevanten Dark-Web Marktplätzen und AVC-Seiten. Einsteiger können das Seminar für 75.000 Rubel (ca. 1.080 Euro) buchen und erhalten damit Zugang zu weiteren E-Learning Kursen, einschließlich Schulungs- und Informationsmaterial sowie den Kontakt zu „Tutoren“. Gezahlt wird in Bitcoins. Für Organisationen und Unternehmen ist das Fortbildungsangebot im Dark Web brandgefährlich, da nun auch Amateure das nötige Training erhalten, um eine erfolgreiche kriminelle Karriere zu starten.

Wie Sie Dark Web-Monitoring nutzen können

Die effektive Überwachung des Dark Webs, ist nicht einfach. Es setzt ein umfassendes Wissen der Bedrohungslandschaft voraus, den Zugang zu geschlossenen Foren und Marktplätzen sowie die passende Technologie für das Monitoring.

Die Abdeckung aller Quellen im Dark Web allein ist komplex. Neben relevanten Tor- und I2P-Seiten müssen auch Telegram-Kanäle und Chats, kriminelle Foren und Paste-Seiten untersucht werden – Seiten, die sich also auch außerhalb des Dark Webs finden.

Einen Einblick in das Dark Web bieten unterschiedliche Technologien. OnionScan zum Beispiel unterstützt Sicherheitsexperten und staatliche Ermittler dabei, Seiten im Dark Web zu identifizieren und zu tracken. Digital Shadows stellt einen kostenlosen 7-tägigen Zugang seiner Monitoringlösung bereit, mit der Anwender sich per Suchmaschine durch das Dark Web bewegen.

Sichtbarkeit allein reicht jedoch nicht aus.

Ebenso wichtig ist es, nicht relevante Quellen zu eliminieren, und Ergebnisse, die keine unmittelbare Bedrohung für das eigene Unternehmen oder die Branche darstellen, herauszufiltern. Welche Quellen tatsächlich überwacht werden sollen, hängt vom unternehmensinternen „Threat Modell“ ab. Einmal definiert, heißt es, proaktiv nach Unternehmens-Assets, Erwähnungen, ungeschützten Zugangsdaten oder Fake-Webseiten zu suchen – entweder in langwieriger Handarbeit oder über eine automatisierte Lösung.

Wer sich Zugang zu einem exklusiven, kriminellen Forum verschaffen will, ist auf spezielles Know-how angewiesen. Beispielsweise um die Nuancen der verschiedenen Sprachen zu verstehen, auf bestimmte Standorte zuzugreifen oder nach unternehmenseigenen Daten zu suchen. Einige Webseiten fragen sogar gezielt vermeintliches Fachwissen im Bereich IP oder Whitelisting/Blacklisting ab, ehe sie Besucher zulassen. Das Infiltrieren geschlossener Gruppen und Plattformen kostet viel Zeit, Expertise und Geld. Fehlt es hier an Effektivität, bleibt auch der Vorteil des Dark Web-Monitoring für das Unternehmen aus.

Unserer Erfahrung nach, lohnt es sich als Unternehmen drei zentrale Schwerpunkte für das Dark Web-Monitoring zu setzen:

  1. Bedrohungen aufspüren und verfolgen
  2. Ungeschützte Login-Daten identifizieren
  3. Betrugsversuche entdecken

Mit dem Fokus auf diese drei Punkte gewinnt die Überwachung des Dark Webs an Effizienz und Relevanz für Unternehmen.

Dark Web-Monitoring für Unternehmen

Die umfassende Abdeckung von Quellen im Open, Deep und Dark Web nützt nur wenig, wenn Unternehmen in der Flut an irrelevanten und banalen Suchergebnissen untergehen zu drohen. Dabei kann das Dark Web-Monitoring für ein Unternehmen extrem wertvoll sein – solange klar ist wo, und wonach gesucht wird. Digital Shadows hat drei Schwerpunkte definiert: das Ausmachen von Bedrohungen, das Auffinden von Login-Daten sowie die Entdeckung von Betrugskampagnen.

Bedrohungen aufspüren

Wer hat es auf mein Unternehmen, die eigene Marke, den CEO oder Aufsichtsrat abgesehen? Eine effektive Untersuchung der Quellen auf diese Frage ermöglicht einen ersten Überblick der eingesetzten Tools, den Taktiken, Techniken, Prozessen (TTPs) sowie den Angreifern und ihren Motiven. Der Informationsgewinn lässt sich wiederum für die Sicherheitsstrategie im Unternehmen nutzen.

Seine Angreifer zu verstehen ist von entscheidender Bedeutung. Um einschätzen zu können, wie ernst Akteure genommen werden müssen, braucht es Zusatzinformationen. Was und wer steckt hinter dem Forum, auf dem der Anbieter aktiv ist? Wie ist seine Reputation im Dark Web? Wie wickelt er Geschäfte ab und wo liegt sein Fokus? Und was ist seine bevorzugte Taktik? Solche Daten kontinuierlich zu erfassen und zu tracken hilft, Bedrohungsakteure in einen Kontext zu setzen. Gelingt das, lassen sich Angriffe besser vorhersagen und Verteidigungsstrategien frühzeitig planen.

Das gleiche gilt auch für sogenannte „Insider“, die auf Foren und Marktplätzen mit sensiblen und wertvollen Daten handeln. Diese Art von Bedrohung lässt sich nicht einfach einmal schnell beheben, sondern stellt Sicherheitsteams vor echte Herausforderungen.

Eine „Bedrohung“ kann auch ein Tool oder eine Malware bezeichnen. Trends und aktuelle Vorfälle zu beobachten kann hier einen echten Wissensvorsprung darstellen – egal ob es sich um eine Schadsoftware für eine kürzlich bekannt gewordene Schwachstelle handelt oder eine neue Variante von Ransomware (siehe Screenshot unten).

Das Wissen über Akteure und der kriminellen Landschaft des Dark Webs verleiht dem Tracking und Monitoring von Bedrohungen neue Schlagkraft: Unternehmen können proaktiv aufdecken, wer ihre Marke oder ihre Mitarbeiter ins Visier nimmt.

Mehr über Insider-Bedrohungen lesen Sie hier:  https://www.digitalshadows.com/blog-and-research/digital-shadows-contributes-to-insider-threat-research/

Login-Daten

Dark Web-Monitoring mindert zudem das Risiko von geleakten oder gestohlenen Daten, v. a. sensiblen Zugangsdaten. Noch immer nutzen viele Nutzer dieselben Passwörter zur Anmeldung auf unterschiedlichen Plattformen. Credential Stuffing macht sich diese wiederkehrenden Login-Daten zu Nutze und verschafft Cyberkriminellen Zugriff auf Webseiten und sensible Daten. Einmal geleakte oder gestohlene Login-Daten werden im Dark Web zum Paket-Preis verkauft. Die Kombination aus Benutzername und Passwort wird dann für automatisierte Angriffe auf Konten genutzt (z. B. über das Zurücksetzen des Passworts). Das Monitoringtool von Digital Shadows, SearchLight, hat mehr als 14 Milliarden solcher ungeschützten Login-Daten aufgespürt und konnte damit die Angriffsfläche für Unternehmen sowie ihrer Partner und Kunden deutlich verkleinern.

Nach Beobachtungen des Digital Shadows- Teams stehen jedoch nicht nur Zugangsdaten zum Verkauf. Der Marktplatz Genesis Store verkauft beispielsweise Bots, die Zugangskontrollen mit biometrischen Fingerabdruck umgehen können. Käufer erhalten neben Fingerabdrücken auch Cookies, Protokoll-Logs, gespeicherte Passwörter und andere personenbezogene Informationen, um Nutzer zu imitieren und Sicherheitsvorkehrungen zu umgehen. Das Angebot scheint gut anzukommen. Mit dem Start des Services Richlogs hat der Genesis Market sogar Konkurrenz bekommen.

Mehr über das Genesis-Botnet lesen Sie hier:  https://www.digitalshadows.com/blog-and-research/genesis-botnet-the-market-claiming-to-sell-bots-that-bypass-fingerprinting-controls/

Betrug

Der Kauf von Login-Daten dient meist einem Zweck: Betrug. Das kann der Handel mit Kreditkartendaten, gefälschten Markenartikeln oder die Verwendung für Phishing-Kampagnen sein. Eine Sammlung an Login-Daten, wie sie im Genesis Store zu finden ist, erlaubt es Kriminellen, neue und effektive Möglichkeiten auszutesten, um sich als Online-Nutzer auszugeben und Betrugsmaschen abzuwickeln.

Akteure setzen Phishing und andere Betrugstechniken ein, um ihre Opfer dazu zu bringen, ihre sensiblen Daten weiterzugeben. Phishing-Kits sehen den Original-Webseiten täuschend ähnlich und können bestimmte IP-Adressen bekannter Sicherheitsunternehmen blockieren – so dass Sicherheitswarnungen gar nicht erst ankommen. Betrügerische Webseiten, Produkte oder Aktivitäten frühzeitig zu identifizieren, kann daher wesentlich zu besseren Sicherheitspraktiken beitragen.

Ein Beispiel ist der Betrug mit Geschenkarten bzw. Gutscheinen. Digital Shadows identifizierte 2019 in nur sechs Monaten tausende von Geschenkkarten, mit denen auf kriminellen Foren, Dark Web-Marktplätzen und -Webseiten, IRC und Telegram gehandelt wurde.

Eine Betrugsmasche kann sich auch mit der Zeit ändern und anpassen. Der bekannte Telegram-Markplatz „OL1MP“ beispielsweise nutzt einen Bot, um die Suche nach bestimmten Infos –  Urlaubsangebote, Hotels, Taxis, Führerscheine und Dokumente – zu automatisieren.  OL1MP nutzt die Privatsphäre und die Verschlüsselung des Telegram-Chats, ist aber ein automatisierter Marktplatz, auf dem Käufer ganz ohne Betrugsrisiko mit einem seriösen Händler chatten können.

OL1MP ist nur ein Beispiel für die vielen kriminellen Chat-Plattformen, die für den Schmuggel mit Waren genutzt werden. Verschlüsselte Chat-Dienste, wie Telegram und Discord, beherbergen zahlreiche Chat-Kanäle, die illegale Praktiken fördern. Nach dem Ende von AlphaBay und Hansa entdeckte Digital Shadows rund 5.000 Erwähnungen und Werbeanzeigen, die auf Telegram-Seiten verwiesen. Das Dark Web hat sich also längst den neuen Marktgegebenheiten angepasst und bleibt trotzt aller Bemühungen von Seiten der Behörden eine Bedrohung für legitime Unternehmen und Personen. Im Umkehrschluss heißt das für Unternehmen, dass auch sie den Markt im Auge behalten müssen, um sich zu schützen.

Wie überwacht Digital Shadows das Dark Web?

SearchLight überwacht und indiziert kontinuierlich Hunderte von Millionen Seiten im Dark Web, auf Telegram, IRC und I2P sowie Paste-Seiten und kriminelle Foren. Das Monitoringtool ist darauf programmiert nach spezifischen Risiken für Ihre Organisation zu suchen.

Dark Web-Seiten
Unsere proprietäre Spider-Software durchsucht Tor- und I2P-Seiten und identifiziert neue Inhalte und Quellen mit relevanten Informationen.

Tracking von rund 50 Millionen indizierten Tor- und I2P-Seiten

IRC- und Telegram
Unsere Technologie überwacht Dienste, die von Gruppen und Einzelpersonen genutzt werden, um über geplante Kampagnen, Betrugsmaschen sowie den neuesten Taktiken und Techniken zu chatten.

Monitoring von mehr als 30 Millionen Unterhaltungen

Kriminelle Foren
Digital Shadows legt einen Fokus auf die automatisierte, kundenspezifische Sammlung in exklusiven Foren und kann dort eine Vielzahl von Aktivitäten identifizieren, von Exploit-Kits bis zum Verkauf von geleakten Daten. Viele dieser Foren werden auf Tor oder I2P gehostet, andere finden sich auch im Open und Deep Web. Unser Spezial-Team für schwer zugängliche Foren entwickeln Personas und treten den Foren verdeckt zur weiteren Recherche bei.

Zugang zu mehr als 23 Millionen indizierten Foren

Paste-Seiten
Eine weitere Quelle an Informationen, die nicht auf das Dark Web beschränkt ist, sind Paste-Seiten. Dabei gibt es unterschiedliche Arten, die sowohl im Open als auch im Dark Web existieren. Böswillige Akteure nutzen diese Webseiten, um offengelegte Daten auszutauschen und Listen an Angriffszielen zu erstellen.

Rund 60 Millionen indizierte Paste-Seiten im Blick

Dark Web-Marktplätze
Seit dem Ende von AlphaBay und Hansa ist die Zahl der Marktplätze im Dark Web deutlich gestiegen. Die unermüdliche strafrechtliche Verfolgung durch Behörden macht ähnlich langlebige und erfolgreiche Marktplätze eher unwahrscheinlich. Neue Anbieter wie MarketMS stehen in den Startlöchern und erhalten Unterstützung von angesehenen Persönlichkeiten aus der russischen Szene.

Beobachten von rund 1 Million indexierter Marktplatzeinträge

Die (nach Forrester) branchenführende Technologie von Digital Shadows wird ergänzt durch ein Spezial-Team an Sicherheitsexperten und WhiteHats. Sie verschaffen sich Zugang zu kriminellen Foren, interagieren mit Kriminellen mittels speziell entwickelter Personas und berichten in Threat Intelligence über die neuesten cyberkriminellen Trends.

Mit der integrierten ShadowSearch Suchfunktion können Unternehmen zudem selbst die indizierten Daten durchsuchen und Bedrohungsakteure, Kampagnen und Betrugsfälle nachverfolgen.

Neugierig geworden? Machen Sie jetzt eine Tour durch das Dark Web mit der kostenlosen Version Test Drive.

dark web monitoring tool

Dark Web-Monitoring: Effektiv und Relevant

Die Aufgabe, das Dark Web zu überwachen, kann für Unternehmen auf den ersten Blick einschüchternd sein. Interne Daten auf kriminellen Seiten zu finden und dagegen vorgehen zu müssen ist heikel. Aber das muss es nicht sein.

Dark Web-Monitoring ist dann erfolgreich, wenn die Überwachung kontinuierlich auf neue Quellen ausgedehnt wird. Die Technologie übernimmt mit dem Sammeln der Daten die Schwerstarbeit und konzentriert sich dabei auf vorab definierte Schwerpunkte. Gleichzeitig bewegen sich Sicherheitsexperten als verdeckte Ermittler in kriminellen Foren und stellen Kontakt zu Anbietern und Hackern her. Dieser kombinierte Ansatz erlaubt es, einen tiefen Blick in die finstersten Ecken des Dark Webs zu werfen. Unternehmen können so Insiderhandel, Betrug, Fake- und Phishing-Webseiten sowie geleakte Unternehmensdaten sicher und schnell aufspüren.

Das gewissenhafte Beobachten von digitalen Risiken im Dark Web kann sich durchaus positiv auf das Geschäft ausschlagen. Wer aktuelle Bedrohungen im Blick hat, kann Compliance-Probleme, finanzielle Verluste und Reputationsschäden besser abfedern oder sogar verhindern. Digital Shadows arbeitet mit Unternehmen zusammen, um gemeinsam eine wirkungsvolle Sicherheitsstrategie zu entwickeln und vor dem Exploit von Daten im Open, Deep und Dark zu schützen. Damit haben Unternehmen im Katz-und-Maus-Spiel der cyberkriminellen Welt die Nase vorn.

Laden Sie sich die Übersicht des Dark Web-Monitorings von Digital Shadows herunter.

Mehr zum Thema Dark Web-Monitoring

Threat Intelligence mit Test Drive

SearchLight 7 Tage kostenlos testen
Jetzt ausprobieren

Folgen Sie uns