Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

09.05.1997 - 

Auch heuer wieder Betrugsfälle mit Kreditkartengeneratoren aus dem Netz

Der gläserne Mensch ist im Internet bereits Realität

Manche Netizens dürften derzeit herzlich über den verschlafenen deutschen Michel lachen. Während nämlich Staatsanwaltschaft und Politik hierzulande zur Jagd auf Online-Dienste und Internet-Service-Provider (ISPs) blasen, um die abendländische Kultur vor Pornografie und Nazipropaganda zu retten, hat sich im Untergrund des globalen Netzes eine Gemeinschaft versammelt, die sich einen Teufel um Copyright, Datenschutz oder die Gesetze gegen Wirtschaftssabotage schert.

Außer den weiter unten beschriebenen Servern, auf denen Raubkopien von Software und Musikstücken sowie destruktive Tools zu finden sind, offenbart eine Reise durch den Untergrund des Netzes noch eine andere Gefahr: Die umfassende Überwachung ê la Orwell ist zumindest im Internet bereits auf einigen Servern realisiert. So traute der Verfasser seinen Augen nicht, als ihn einer der Untergrund-Hosts mit dem Login-Namen seiner eigenen Windows-95-Workstation begrüßte. Doch es sollte noch besser kommen. Ein anderer Rechner zeigte dem Redakteur zur Begrüßung erst einmal an, welchen Datenmüll der Datenreisende auf den vier Festplatten seines privaten Rechners angesammelt hatte. Ebensowenig lassen andere Hosts den Anwender über das verwendete Betriebssystem und den eingesetzten Browser im unklaren. Auf dem Eingangsbildschirm klärte der Server darüber auf, daß der Autor Windows 95 in der Version OSR2 verwendet und gegenwärtig mit dem internationalen Release des Netscape-Browsers "3.0 Gold" auf der Reise ist.

Vor diesem Hintergrund sind denn auch die Pläne der Bundesregierung, sich mit dem Telekommunikationsgesetz ein Hintertürchen zu den Einwählknoten der Provider zu verschaffen und jegliche Kryptografie nur mit staatlich genehmigtem Dietrich zu erlauben, in einem anderen Licht zu sehen. Wer versichert dem Bürger eigentlich, daß die Staatsorgane nicht ebensolche Daten erheben wie die Betreiber der beschriebenen Server? Diese wären dann trefflich für Rasterfahndungen geeignet, wie sie in der von Terroranschlägen gebeutelten Bundesrepublik der 70er Jahre üblich waren. Doch auch für Unternehmen, die ihre Daten im Zuge der Internet- und Intranet-Manie dem globalen Netzverbund anvertrauen, dürfte die Verschlüsselung im ureigensten Interesse sein, wollen sie im globalen Wettbewerb vor Internet-Spionage und anderen Gefahren, die durch zahlreiche im Netz zu findende Tools drohen, geschützt sein.

Setzen wir nach dieser Zwischenbemerkung unsere Netzreise fort. Den entsprechenden Einstiegspunkt vorausgesetzt (um keinen strafbaren Handlungen Vorschub zu leisten, werden im folgenden entgegen der sonstigen COMPUTERWOCHE-Praxis keine Internet-Adressen genannt - etwaige Nachfragen sind ebenso sinnlos, da der Verfasser die entsprechenden Links wieder gelöscht hat), findet der Surfer schnell Internet-Angebote, die er nur auf sogenannten schwarzen, illegalen Mailboxen erwartet hätte.

Von den neuesten Spielen, die meist in gecrackter Form vorliegen, abgesehen, liest sich das Inhaltsverzeichnis manches Hosts wie der Katalog eines großen Software-Versandhauses. Angefangen von der kompletten Microsoft-Produktpalette bis hin zu "Adobe Photoshop 4.0" oder den teuren CAD/CAM-Programmen der Firma Autodesk ist im Untergrund des Internet eigentlich fast jedes Programm zu bekommen. Ist eine Applikation nicht vorhanden, kein Problem. Eine Mail reicht, und in kürzester Zeit steht das gewünschte Produkt zum Download bereit.

Für die prompte Lieferung sorgt eine strikte Organisation der Untergrund-Server. Gildenähnlich haben sich die Besitzer zu mehr oder weniger geheimen Gruppen zusammengeschlossen, die in Ringstruktur organisiert sind. Mitglied wird nur, wer eine Empfehlung vorweisen kann und sich für die Organisation als Hacker, Paßwort-Cracker oder ähnliches nützlich zeigt.

Andere Rechner haben die Natur als Vorbild: Einem symbiotischen Verhältnis gleich muß der Surfer dem Wirts-Server erst geklaute Software aufspielen, bevor er das gewünschte Programm herunterladen kann. Im Gegensatz zur Natur läßt sich im globalen Netz das Verhältnis zwischen Wirts-Host und Sauger in konkreten Zahlen ausdrücken: 1 MB Upload gegen 5 oder 7 MB Download, um nur eine gebräuchliche Praxis zu nennen. Wem das zu aufwendig ist, der kann auch auf einem anderen Server gegen die pauschale Zahlung von zehn Mark eine Download-Erlaubnis kaufen. Dafür gibt's dann beispielsweise eine der ersten Betaversionen von Windows NT 5.0.

Doch warum zahlen oder umständlich Online-Zeit für Dateien-Uploads vergeuden, wenn sich in den Katakomben des Netzes auch Listen finden, die den direkten Zugang zu den FTP-Servern der Softwarehäuser eröffnen? So kursiert im Netz beispielsweise die Adresse von Microsofts FTP-Server einschließlich Login und Paßwort, von dem "Memphis", die Beta-Variante der nächsten Windows-95-Version, gesaugt werden kann. Andere Listen öffnen dagegen den Zugang zu McAfees Software-Schätzen - statt der üblichen Shareware ist so der Zugriff auf die lizenzierten Vollversionen offen. Wem selbst das Downloaden zu lange dauert, der kommt auch schneller zum Ziel. Zahlreiche Listen verraten Seriennummer und Kennwort, mit denen sich die zahlreichen auf CD vielen Demoversionen in kostenlose Vollversionen umfunktionieren lassen. Ebenso kommen knausrige Netzadministratoren auf Kosten der ehrlichen Anwender zu ihrem Ziel: Netware von der Fünf-User-Version auf die 100-Anwender-Lizenz upzugraden ist kein Problem, die Listen verraten die passende Lizenznummer.

Anwender und Systembetreuer, die nun glauben, sie könnten sich voller Schadenfreude gemütlich zurücklehnen, da den Schaden nur die gutverdienenden Softwaregiganten wie Microsoft hätten, seien gewarnt: In den Untergrundarchiven schlummern nämlich Edelsteine, die manchem Netzadministrator schlaflose Nächte bereiten dürften. Tools, die das Paßwort des Netware-Supervisor auslesen und diesen unter Umständen sogar aus dem eigenen System aussperren, gehören ebenso zum "guten" Ton wie Programme, die die kompletten User-Listen der Server erfassen. Mitarbeiter, die sich nicht unbedingt im besten Einvernehmen von ihrem Arbeitgeber trennen, finden hier auch Programme, mit denen sie diesem einen nachhaltigen Denkzettel verpassen könnten. Destruktive Fieslinge halten hier ein Angebot vor, das von einfachen Virenkonstruktionskits über Bauanleitungen für Stealth-Viren bis hin zu Baukästen für Trojanische Pferde reicht. Eine andere Möglichkeit für rachsüchtige Zeitgenossen eröffnen zudem die zahlreichen Mail-Bomben, die im Netz erhältlich sind.

Glaubte der Verfasser dieser Zeilen, daß ihn nun wirklich nichts mehr schockieren könnte, so wurde er einige Surf-Stunden später eines Besseren belehrt. Ein Programm zur Generierung von AT&T-Calling-Cards lud zum kostenlosen Telefonieren ein. Und was dem Telefonierer recht ist, kann dem Internet-Shopper nur billig sein. Um am Electronic Commerce zum Nulltarif teilnehmen zu können, haben findige Köpfe analog Programme zur Generierung von Kreditkartendaten geschrieben. Ob diese wirklich funktionieren, wollte der Datenreisende in der Praxis lieber nicht ausprobieren.

Die Deutschlandvertretungen der Kreditkartenorganisationen Visa und Mastercard/Eurocard räumen allerdings ein, daß diese Programme durchaus ein Problem darstellen. Bei Mastercard/Eurocard, das im letzten Jahr Schadensfälle in Höhe von 30 Millionen Mark durch den Mißbrauch von Kreditkarten verbuchte, sieht man die eigentliche Bedrohung aber nicht in den Counterfeeds, wie die gefälschten Kartennummern im Branchenjargon heißen, sondern im Kartendiebstahl, der noch immer mehr als 50 Prozent der Fälle ausmache. Zudem sei die Gefahr eines Mißbrauchs durch schwarz errechnete Kartennummern seit der Einführung von "Falcon" 1994 drastisch zurückgegangen. Das System überprüft bei jeder Transaktion, ob der Karteneinsatz zum sonstigen Kauf- und Nutzungsprofil des Inhabers paßt. Im Zweifelsfall verlangt das System dann eine genauere Authentifizierung des Kartenbenutzers oder verweigert die Transaktion.

Manfred Müller, beim Konkurrenzunternehmen Visa International Deutschland zuständig für das Risiko-Management, bestätigt, daß Programme wie das vom Autor gefundene (siehe Abbildung) für vielfältige Schwierigkeiten sorgen. "Allerdings haben wir heuer erst zwei Betrugsfälle mit generierten Nummern gehabt", relativiert Müller die Bedrohung. Nach zwei Tagen, so der Sicherheitsfachmann weiter, sei der Spuk dann aber beendet gewesen, da man anhand der Monitoring-Software den gefälschten Nummernkreis errechnete und sperrte. Sind dabei möglicherweise Kunden mit echten Karten betroffen, so erhalten sie kostenlos ein neues Exemplar.

Zum Glück für die ehrlichen Benutzer haben die illegalen Kartengeneratoren dem Visa-Mitarbeiter zufolge einen gravierenden Schwachpunkt: Sie generieren kein Gültigkeitsdatum, das laut Müller beim Online- oder Telefoneinsatz dringend erforderlich ist - die Trefferwahrscheinlichkeit liegt für die Betrüger aber bei vielversprechenden eins zu 24, ausgehend von einer zweijährigen Gültigkeit. Erschwerend kommt hinzu, daß der Fälscher die Karten nicht beliebig berechnen kann; um den Satz der real existierenden Karten zu treffen, muß er die Zahlen von einer gültigen Karte hochrechnen. Früher hatte der Finsterling dabei eine fast 100prozentige Erfolgschance, "doch mittlerweile vergeben alle Visa-Partner die Nummern nicht mehr sequentiell", womit, wie Müller weiter erklärt, auch bei Vorlage einer realen Karte die Chance, weitere Nummern zu errechnen, deutlich geringer ist.

Am Ende dieser Reise, die nur einen kleinen Einblick in die Abgründe des Internet geben konnte, muß der eindringliche Rat an jeden Anwender stehen, künftig seine Kreditkartenabrechnungen peinlichst genau zu prüfen. Ebenso sollte der Umgang mit Paßwörtern nicht auf die leichte Schulter genommen werden. Und manchem Unternehmen, das seine Mitarbeiter immer noch mit Modems ungeschützt in den Weiten des Netzes surfen läßt, sei folgende Frage ins Stammbuch geschrieben: Kostet eine Firewall wirklich mehr als der Schaden, der durch das Ausspionieren der Finanzdaten und Zukunftspläne eines Unternehmens entsteht?.