Das Deep Web erkunden

Transkript

1 Unter der Oberfläche: Das Deep Web erkunden Dr. Vincenzo Ciancaglini, Dr. Marco Balduzzi, Robert McArdle und Martin Rösler Forward-Looking Threat Research Team Ein TrendLabs SM Forschungspapier

2 HAFTUNGSAUSSCHLUSS Die in diesem Dokument bereitgestellten Informationen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie stellen keine Rechtsberatung dar und sind nicht als solche auszulegen. Die in diesem Dokument bereitgestellten Informationen finden womöglich nicht auf alle Sachverhalte Anwendung und spiegeln womöglich nicht die jüngsten Sachverhalte wider. Die Inhalte in diesem Dokument sind ohne eine Rechtsberatung auf der Grundlage der vorgestellten besonderen Fakten und Umstände nicht als verlässlich oder als Handlungsanweisungen zu verstehen und nicht in anderer Weise auszulegen. Trend Micro behält sich das Recht vor, die Inhalte dieses Dokuments zu jeder Zeit und ohne Vorankündigung zu ändern. Übersetzungen in andere Sprachen sind ausschließlich als Unter stützung gedacht. Die Genauigkeit der Übersetzung wird weder garan tiert noch stillschweigend zugesichert. Bei Fragen zur Genauigkeit einer Übersetzung lesen Sie bitte in der offiziellen Fassung des Dokuments in der Ursprungssprache nach. Diskrepanzen oder Abweichungen in der übersetzten Fassung sind nicht bindend und haben im Hinblick auf Compliance oder Durchsetzung keine Rechtswirkung. Trend Micro bemüht sich in diesem Dokument im angemessenen Um fang um die Bereitstellung genauer und aktueller Informationen, über nimmt jedoch hinsichtlich Genauigkeit, Aktualität und Voll ständigkeit keine Haftung und macht diesbezüglich keine Zusicherungen. Sie erklären Ihr Einverständnis, dass Sie dieses Dokument und seine Inhalte auf eigene Gefahr nutzen und sich darauf berufen. Trend Micro übernimmt keine Gewährleistung, weder ausdrücklich noch stillschweigend. Weder Trend Micro noch Dritte, die an der Konzeption, Erstellung oder Bereitstellung dieses Dokuments beteiligt waren, haften für Folgeschäden oder Verluste, insbesondere direkte, indirekte, besondere oder Nebenschäden, entgangenen Gewinn oder besondere Schäden, die sich aus dem Zugriff auf, der Verwendung oder Un möglichkeit der Verwendung oder in Zusammenhang mit der Verwendung dieses Dokuments oder aus Fehlern und Auslassungen im Inhalt ergeben. Die Verwendung dieser Informationen stellt die Zustimmung zur Nutzung in der vorliegenden Form dar. Inhalt 4 Deep Web Stand des Deep Webs 35 Das Deep Web und die reale Welt 39 Die Zukunft des Deep Webs 41 Fazit

3 Das Interesse am Deep Web erreichte 2013 einen Höhepunkt, als das FBI den Silk Road-Markt schloss und den berüchtigten Internet-Untergrund für den Drogenverkehr offen legte. Ross Ulbricht, Dread Pirate Roberts genannt, wurde wegen Drogenhandel, Computer-Hacking und Geldwäsche angeklagt. Die Berichte bezogen sich vom technischen Standpunkt zwar auf das Dark Web, den Teil der Internets, der nur mit einer speziellen Browsing-Software zugänglich ist, etwa TOR [1], doch erhielt dadurch auch das Deep Web negative Schlagzeilen. Das Deep Web bezeichnet einen riesigen Bereich des Internets, der über Suchmaschinen nicht zugänglich ist. Doch nur ein Teil davon wird von Kriminellen dazu genutzt, um anonym ihren illegalen Aktivitäten nachzugehen [2]. Das Dark Web war ursprünglich nicht darauf ausgerichtet, anonyme kriminelle Aktivitäten zu ermöglichen. TOR wurde eigentlich für eine sichere Kommunikation entwickelt, die Nutzern helfen sollte, etwa der Zensur zu entgehen und eine freie Meinungsäußerung zu gewährleisten. Das Dark Web half beispielsweise bei der Mobilisierung der Proteste während des arabischen Frühlings. Aber wie bei den meisten Tools kann sich der Zweck verändern, je nach der Absicht der Nutzer. In dem Whitepaper von 2013 Deep Web und Cybercrime [3] und dessen Updates [4, 5, 6] analysierten die Sicherheitsforscher von Trend Micro die verschiedenen Netzwerke, die einen anonymen Zugriff aufs Deep Web für Cyberkriminelle gewährleistet. Dabei stellten sie fest, dass in den undurchsichtigen Teilen des Deep Webs viel mehr vor sich geht als der Handel mit Partydrogen. Das Deep Web ist ein sicherer Hafen für kriminelle Aktivitäten geworden, sowohl im digitalen als auch im physischen Bereich. Dieses Forschungspapier stellt einige wichtige Statistiken vor, die aus der Sammlung von Deep Web-URLs hervorgehen, und gibt Einsichten dazu, wie kriminelle Elemente das Deep Web für sich nutzen. Hinzu kommen Beispiele, die vor Augen führen sollen, dass die Leute nicht nur deswegen ins Deep Web gehen, um anonym Schmuggelware zu kaufen sondern auch um kriminelle Aktionen durchzuführen, Identäten zu stehlen, mit Waffen zu handeln oder gar um Auftragskiller anzuheuern.

4 ABSCHNITT I Deep Web 101

5 Deep Web 101 Was ist das Deep Web? Die Bezeichnung Deep Web bezieht sich auf alle Internet-Inhalte, die aus verschiedenen Gründen von Suchmaschinen wie Google nicht indiziert sind oder auch nicht indiziert werden können. Diese Definition bezieht dynamische Webseiten ein, geblockte Sites (etwa solche, die vor dem Zugang eine CAPTCHA-Antwort erwarten), nicht verlinkte, private Sites (über Zugangsdaten gesichert), nicht-html/ kontextuelle/ Skripted Inhalte sowie Netzwerke mit einschränktem Zugriff. Letztere umfassen all jene Ressourcen und Services, die normalerweise mit einer Standard- Netzwerkkonfiguration nicht zugänglich sind und damit böswilligen Akteuren interessante Möglichkeiten bieten, teilweise oder ganz unerkannt zu agieren. Dazu gehören Sites, deren Domänennamen auf Domain Name System (DNS)-Roots registriert wurden, die nicht von Internet Corporation for Assigned Names and Numbers (ICANN) verwaltet werden und daher URLs mit vom Standard abweichenden Top-Level-Domänen (TLD) zulassen, die üblicherweise einen bestimmten DNS-Server benötigen, um die Adressen richtig aufzulösen. Des weiteren sind es Sites, die ihre Domänennamen auf ganz anderen Systemen als Standard-DNS registriert haben, wie etwa.bit-domänen (siehe Bitcoin Domains [7]). Diese Systeme umgehen nicht nur die Domänennamen-Vorschriften der ICANN, ihre dezentrale Art der alternativen DNS erschwert es auch, sie bei Bedarf zu finden. In diesen Netzwerken mit einschränktem Zugriff finden sich auch Darknets und Sites, die auf Infrastruktur gehostet werden, die für den Zugriff die Nutzung von Software wie TOR erfordern. Ein Großteil des Interesses am Deep Web fußt auch auf den Aktivitäten, die innerhalb der Darknets ablaufen. Diese Netzwerke werden von den Suchmaschinen nicht durchkämmt. Gateway Services wie tor2web bieten eine Domäne, die Nutzern den Zugriff auf Inhalte aus den verborgenen Serrvices erlaubt. Üblicherweise wird das Deep Web mit einem Eisberg verglichen, doch ein besseres Bild wären unterirdische Schürfaktivitäten sowohl bezüglich der Größenordnung, Flüchtigkeit und des Zugriffs. Wenn alles, was sich über der Erde befindet, Teil des durchsuchbaren Internets ist, so gehört alles unter der Erde zum Deep Web versteckt, schwerer zugänglich und nicht sofort sichtbar. 5 Unter der Oberfläche: Das Deep Web erkunden

6 Welchen Zweck erfüllt das Deep Web? Jemand, der online Drogen kaufen will, möchte die entsprechenden Schlüsselwörter nicht in einen regulären Browser eingeben. Vielmehr wird dieser Interessent anonym eine Online-Infrastruktur suchen, wo niemand seine IP-Adresse oder gar den physischen Standort zurückverfolgen wird. Auch Drogenverkäufer werden keinen Shop in einem Netz aufsetzen, in dem die Polizei einfach die IP-Adresse mit der tatsächlichen in Verbindung bringen kann. Es gibt viele andere Gründe dafür, dass Menschen anonym bleiben oder Sites aufsetzen wollen, die nicht zu der physischen Adresse zurückverfolgt werden können. Diejenigen, die ihre Kommunikation vor staatlicher Überwachung schützen wollen, benötigen ebenfalls den Schutz durch Darknets. Whistleblower wollen riesige Mengen Insider-Informationen an Journalisten weitergeben, ohne Spuren zu hinterlassen. Auch Dissidenten suchen die Anonymität, um über die Zustände in ihrem Land zu berichten. Auf der anderen Seite aber suchen auch solche Menschen, die etwa die Ermordung einer prominenten Zielperson planen, ein nicht zurückverfolgbares Medium. Schließlich fordern illegale Services wie der Verkauf von Dokumenten, Pässen oder Kreditkarten, eine Infrastruktur, die Anonymität garantiert. Das Surface Web vs Deep Web Das Oberflächen-Web ist das Gegenteil des Deep Webs, das von Such-Engines nicht indiziert wird und über Standard-Browser nicht zugänglich ist. Das durchsuchbare Internet wird manchmal auch als Clearnet bezeichnet. Das Dark Web versus Deep Web Der Unterschied zwischen diesen beiden ist für viele nicht klar, und Dark und Deep Web werden häufig verwechselt. Dark Web ist nur Teil des Deep Webs. Dark Web beruht auf Darknets oder Netzwerken, in denen Verbindungen zwischen vertrauenswürdigen Partnern hergestellt werden. Beispiele für das Dark Web sind TOR, Freenet oder das Invisible Internet Project (I2P) [8]. In der Schürf-Methapher wäre das Dark Web der tiefere Bereich des Deep Webs, der für einen Zugang sehr spezielle Tools oder Ausrüstung erfordert. Site- Besitzer haben noch bessere Gründe, ihre Inhalte zu verstecken. 6 Unter der Oberfläche: Das Deep Web erkunden

7 ABSCHNITT II Der Stand des Deep Webs

8 Der Stand des Deep Webs Es gibt viele Studien und Reports (siehe auch die von Trend Micro [3, 4, 5, 6]) zu den verschiedenen Aktivitäten im Deep Web. Sie vermitteln den Eindruck, dass die große Mehrheit der Sites im Deep Web dem Verkauf von Drogen und Waffen dienen. Doch das ist nicht die ganze Wahrheit, denn ein guter Teil der Deep Web Sites ist profaneren Aktivitäten gewidmet persönlichen oder politischen Blogs, Nachrichten, Diskussionsforen, religiösen Themen oder auch Radiostationen. Die Nischen-Sites gehören Menschen, die hoffen, zu Gleichgesinnten zu sprechen, wenngleich anonym. Deep Web Radio für diejenigen, die nur anonym Jazz hören können Das Wesen des Deep Webs macht es unmöglich, die Zahl der Seiten und die Menge der Inhalte zu einer bestimmten Zeit zu ermitteln oder ein umfassendes Bild aller Dinge, die darin existieren zu zeichnen. Niemand kann sagen, er habe das Deep Web in seiner Gesamtheit erkundet. Um eine Beobachtung zu ermöglichen, erstellte das Forward Looking Threat Research Team von Trend Micro ein System, den Deep Web Analyzer, der damit verbundene Links sammelt, einschließlich über TOR und I2P versteckte Sites, Freenet Resource Identifier und Domänen mit Nicht-Standard TLDs. So konnte das Team wichtige Informationen zu diesen Domänen filtern, so etwa Seiteninhalte, Mailadressen, HTTP Headers und vieles mehr. 8 Unter der Oberfläche: Das Deep Web erkunden

9 Während des zweijährigen Einsatzes des Deep Web Analyzers sammelte Trend Micro 38 Millionen Ereignisse, die URLs umfassten, von denen tatsächlich HTML-Inhalte hatten. Aufgrund dieser Daten konnte Trend Micro eine Reihe von Berichten zu den Untergrundforen veröffentlichen [9]. Wer ist im Deep Web Es ist schwierig zu sagen, wer im Deep Web vorhanden ist. Denn die gewährleistete Anonymität für die Nutzer macht es auch den besten Sicherheitsforschern schwer, deren Profile zu erstellen. Aufgrund der Analyse der Site-Inhalte und -Bekanntheit lässt sich die Zusammensetzung der Nutzerbasis einschätzen.. Sprachverteilung Während der letzten zwei Jahre beobachtete und analysierte Trend Micro eine Riesenzahl an Deep Web-Seiten und teilte sie unter anderem nach der genutzten Sprache ein. So konnten die Forscher mögliche geografische Regionen ausmachen, in denen die Deep Web-Nutzer ansässig sind. Nach Anzahl der Domänen zu urteilen, ist Englisch die Hauptsprache von mindestens Sites von insgesamt beobachteten Domänen. Das sind etwa 62 % der Gesamtzahl der Sites. An zweiter Stelle liegt Russisch (228 Domänen) gefolgt von Französisch (umfasst sowohl französische als auch kanadische Sites, 189). Englisch Russisch Französisch Katalanisch Deutsch Italienisch Portugiesisch Spanisch Andere 62.36% 6.60% 5.47% 4.46% 2.72% 2.58% 1.91% 1.42% 12.48% Die am meisten genutzten Sprachen auf der Grundlage der Zahl der Domänen, die Seiten in dieser Sprache besitzen 9 Unter der Oberfläche: Das Deep Web erkunden

10 Geht man bei der Beurteilung der Sprachverteilung von der Zahl der URLs aus, so schlägt Russisch Englisch, denn trotz einer geringeren Zahl von Sites gibt es mehr Seiten, die die russische Sprache verwenden. Derzeit gibt es ein besonders großes russisches Forum, das nicht direkt mit bösartigen Aktivitäten in Verbindung steht, doch sowohl in TOR als auch in I2P gespiegelt ist. Dies allein bringt eine Riesenzahl an russischen Seiten. Russisch Englisch Koreanisch Französisch Bulgarisch Polnisch Deutsch Finnisch Portugiesisch Katalanisch Andere 41.40% 40.74% 3.71% 2.00% 1.89% 1.67% 1.66% 1.31% 1.25% 1.12% 3.25% Die am meisten genutzten Sprachen auf der Grundlage der Zahl der URLs mit Inhalten in dieser Sprache Häufige Nutzerprofile Wie bereits erwähnt, ist das Erstellen von Nutzerprofilen im Deep Web eine schwierige Aufgabe. Mehr noch als die Sprache liefern die verschiedenen Marktanbieter zuverlässige Indizien auf die Nutzer. So lässt sich ahnen, was Netzwerke wie TOR oder I2P so anziehend macht. Zuverlässige Informationen erhielten die Sicherheitsforscher aus den Daten in Das ist eine auf das Tracking von Aktivitäten in allen Darknet-Märkten spezialisierte Site. Eine Analyse der Top-15 Anbieter über alle Marktplätze hinweg zeigte, dass weiche Drogen die am häufigsten abgesetzte Ware im Deep Web war. An zweiter Stelle lagen Medikamente wie Ritalin und Xanax, harte Drogen und auch Raubkopien von Spielen sowie Online-Konten. Diese Daten stützten die These, dass die Mehrheit der Deep Web-Nutzer, zumindest diejenigen, die häufig die Top-Marktplätze besuchen, sich dort illegale Arzneimittel und Drogen besorgt. 10 Unter der Oberfläche: Das Deep Web erkunden

11 Cannabis Arzneimittel MDMA LSD Meth Mushrooms Heroin Hanfsamen Videospiele Konten 31.60% 21.05% 10.53% 5.26% 5.26% 5.26% 5.26% 5.26% 5.26% 5.26%. Anbieter auf der Basis von Daten vom 3. Juni 2015 Cannabis Arzneimittel MDMA LSD Meth Mushrooms Heroin Hanfsamen Videospiele Konten 27.28% 22.39% 14.43% 7.47% 3.93% 3.41% 3.31% 3.92% 6.93% 6.93% Käufer auf der Basis von Daten vom 3. Juni Unter der Oberfläche: Das Deep Web erkunden

12 Woraus besteht das Deep Web? Viele Nutzer wisssen unter Umständen gar nicht, dass im Deep Web mehr als nur Standard-Sites vorhanden sind. Trend Micro konnte aufgrund der zweijährigen Datensammlung und Erforschung die URLs nach deren URI-Schema (HTTP, HTTPS, FTP etc.) kategorisieren. Nahezu der gesammelten Domänen nutzten entweder das HTTP- oder das HTTPS-Protokoll, weil sie vor allem Daten hosteten. Lässt man diese jedoch weg, so bleiben interessante Daten übrig. IRC IRCS Gopher XMPP FTP Telnet Webcal News Mailto SMTP POP Git IMAP RHTTP Mumble Im Deep Web neben HTTP/HTTPS genutzte Protokolle Mehr als 100 Domänen nutzen entweder das IRC- oder IRCS-Protokoll normalerweise Chat Server, die als Treffpunkt für böswillige Akteure dienen können, sei es als Kommunikationskanal für Botnets oder zum Zweck des Warenaustausches. Dasselbe Konzept gilt auch für sieben XMPP- und eine Mumble-Domäne Protokolle für Chat Server in TOR. 12 Unter der Oberfläche: Das Deep Web erkunden

13 Verdächtige Seiten Die Sicherheitsforscher sammelten für jede beobachtete Deep Web-Seite die URLs in den Seiten-Links. Mithilfe der Web Reputation-Technologie wurden die URLs für jeden Link bewertet, der ins Surface Web zeigte. So konnten sie die verdächtigen identifizieren. Trotz des eingeschränkten Rahmens lassen sie sich dennoch als Indikatoren nutzen. Insgesamt fanden die Forscher verdächtige Seiten, einschließlich derer die Phishing Kits, Malware oder Drive-by Downloads hosten oder windige Marktplätze betreiben. Beispiel-Site mit Links zu Keyloggern 13 Unter der Oberfläche: Das Deep Web erkunden

14 Die folgende Abbildung zeigt die verdächtigen Sites nach Kategorie, die mithilfe der Web Reputation Technologie und URL-Bewertung ermittelt wurde. Infektionsvektor Proxy-Umgehung Kindesmissbrauch Hacking Pornografische Inhalte mit Infektionsvektor Bösartige Adware C&C Server Phishing Password cracking Pornografische Inhalte mit bösartiger Adware Andere 33.74% 31.69% 26.07% 4.74% 2.00% 0.46% 0.29% 0.28% 0.25% 0.15% 0.33% Gründe für die Einschätzung von Surface Web URLs als verdächtig Mehr als 30% der Links in den Webseiten waren verdächtig, wobei Infektionsvektoren Nutzer zu Download Sites für Schadsoftware umleiteten. Die am zweithäufigsten vorgenommene Klassifizierung waren Proxy- Vermeidung, URLs, die VPN-Zugriff liefern oder Möglichkeiten, die Unternehmens-Firewall zu umgehen oder Missbrauch von Kindern. Hidden Wiki, ein Link-Verzeichnis Neuer Hidden Wiki 2015, ein Link-Verzeichnis Hidden Wiki Klon Wiki Tierra, ein Link-Verzeichnis Nicht zensierter Hidden Wiki 44.16% 27.59% 18.06% 1.50% 0.91% Nicht zensierter Hidden Wiki-Kopie 0.89% Ein chinesischer Blog auf TOR ParaZite, ein Forum The Hidden Wiki, ein Link-Verzeichnis Flibustaeous, ein russisches Forum Andere 0.76% 0.57% 0.40% 0.23% 4.93% Sites mit der höchsten Zahl verdächtiger Surface Web Links 14 Unter der Oberfläche: Das Deep Web erkunden

15 Was geht im Deep Web vor? Das Deep Web liefert eine gewisse Anonymität, die Menschen darin zu illegalem Handeln verführt. Die verschiedenen Transaktionen liefern ein gutes Bild dessen, was Menschen tun würden, wenn ihre Vertraulichkeit garantiert wäre. Anders als im cyberkriminellen Untergrund haben die meisten Aktivitäten einen klaren, wenn auch nicht drastischen Effekt auf die reale Welt. Viele der schädlichen Tools und Services, die im cyberkriminellen Untergrund verkauft werden, dienen dem eigenen finanziellen Profit. Die im Deep Web gehandelten Services etwa Mordaufträge haben offensichtlich einen anderen, finsteren Zweck. Die Authentizität der genannten Waren und Services lässt sich nicht eindeutig feststellen, Beweise dafür liefert nur die Werbung auf den Sites. Der Schadsoftware-Handel In vielerlei Hinsicht passt das Deep Web und Schadsoftware perfekt zusammen, vor allem wenn es um das Hosting von Command -and- Control (C&C)-Infrastruktur geht. Es liegt in der Natur von verborgenen Services und Sites wie TOR und I2P, den physischen Standort von Servern mithilfe von starker Verschlüsselung zu verstecken. Damit ist es für forensische Forscher mit traditionellen Mitteln wie die Prüfung einer Server IP- Adresse oder Registrierungseinzelheiten unmöglich zu recherchieren. Außerdem ist es nicht besonders schwierig, diese Sites und Services zu nutzen. Es gibt daher eine Reihe von Cyberkriminellen hinter den allgegenwärtigen Schadsoftware-Familien, die TOR oder Teile davon in ihrem Setup einsetzen. Sie bündeln einfach den legitimen TOR-Client mit ihrem Installationspaket. Trend Micro schrieb 2013 zum ersten Mal darüber, als die MEVADE Malware [10] erhebliche Spitzen im TOR- Verkehr verursachte, weil die Schadsoftware auf via TOR versteckte Services für C&C umgestellt wurde. Andere Schadsoftware-Familien wie ZBOT [11, 12] folgten bald in VAWTRAK VAWTRAK Malware umfasst Banking-Trojaner, die über Phishing Mails verteilt werden. Jedes Sample kommuniziert mit einer Liste von C&C-Servern, deren IP-Adressen durch das Herunterladen einer verschlüsselten Icon-Datei (favicon.ico) von hart codierten TOR Sites extrahiert werden. Der Vorteil dieses Vorgehens liegt in der Anonymisierung des Standorts eines kriminellen Servers, aber nicht der zugreifenden Nutzer. Dies ist jedoch kein Problem, denn die Nutzer sind mit der Schadsoftware infizierte Systeme. Mehr dazu in der Steganografie Blog-Serie [13, 14, 15]. 15 Unter der Oberfläche: Das Deep Web erkunden

16 VAWTRAK C&C-Server, der eine legitim aussehende favicon-datei zeigt Aufgrund dieser favicon.ico-datei und des C&C-Server Setups (auf vielen läuft openresty/ ) konnten die Sicherheitsforscher eine vollständige Liste solcher Sites im eigenen System suchen und die neueste C&C- Serveradresse täglich herunterladen. Die erkannten VAWTRAK C&C-Server 16 Unter der Oberfläche: Das Deep Web erkunden

17 CryptoLocker CryptoLocker ist eine weitere große Malware-Familie, die Deep Web nutzt. Es ist eine Ransomware-Variante, die die persönlichen Dokumente der Opfer verschlüsselt, bevor sie diese auf eine Site weiterleitet, wo sie für den erneuten Zugriff auf ihre Dateien zahlen sollen. Die Schadsoftware ist auch schlau genug, um automatisch die Bezahlseite auf die Sprache und Zahlungsmöglichkeiten des jeweiligen Opfers umzustellen. TorrentLocker eine CryptoLocker-Variante nutzt TOR für das Hosting der Bezahl-Sites zusätzlich zu Bitcoins als Zahlmittel. Dies zeigt, warum Cyberkriminelle, die ihre Infrastrukturen gegen mögliches Abschalten sichern wollen, mit Vorliebe das Deep Web einsetzen. Folgende Screenshots zeigen Bezahlseiten, die der Deep Web Analyzer aufgenommen hat. Sie sind in unterschiedlichen Sprachen aufgesetzt und zeigen, auf welche Opfer sie zielen. Automatisch formatierte CryptoLocker-Seiten für Opfer aus Taiwan 17 Unter der Oberfläche: Das Deep Web erkunden

18 18 Unter der Oberfläche: Das Deep Web erkunden Automatisch formatierte CryptoLocker-Seiten für Opfer aus Italien

19 Unbekannt/kann 56.24% nicht festgestellt werden Englisch Französisch Türkisch Italienisch 18.75% 15.63% 6.25% 3.13% Die von CryptoLocker-Seiten am häufigsten genutzten Sprachen Angesichts der Vorteile, die Cyberkriminelle aus dem versteckten TOR-Hosting der permanenten Teile ihrer Infrastruktur ziehen, ist davon auszugehen, dass mehr und mehr Schadsoftware-Familien ins Deep Web wechseln werden. Deshalb implementiert der Deep Web Analyzer Heuristiken, um neue Malware-Familien (so genannte unknown unknowns ) zu finden. Über diese Funktion werden die Sicherheitsforscher jedes Mal benachrichtigt, wenn versteckte Services plötzlich eine Menge Verkehr verursachen oder wenn es große Spitzen für eine Reihe von Sites gibt. Mehr als alle anderen Formen von Malware, die mit C&C-Servern kommuniziert, sind Bots dafür bekannt, dass sie statische URI-Abfrage Strings nutzen oder über längere Zeit dieselben Parameter. Diese Tatsache nutzt der Deep Web Analyzer, sodass er automatisch jeglichen Verkehr als verdächtig markiert, der statische Abfragemuster nutzt. Ein spezifischeres Beispiel für diese Anwendung findet sich im Anhang. Illegale Drogen Es gibt viele Berichte darüber, welche illegalen Drogen und Waffen im Deep Web zu haben sind. Ohne deshalb ins Detail zu gehen, sollte nochmals darauf hingewiesen werden, dass es auch nach der Verurteilung von Personen wie Ross Ulbricht [16] sehr einfach ist, sich im Deep Web mit Drogen zu versorgen. 19 Unter der Oberfläche: Das Deep Web erkunden

20 Die Verfügbarkeit von illegalen Betäubungsmitteln variiert im Deep Web. Einige Sites verkaufen alles, von geschmuggeltem Tabak bis zu Cannabis, psychedelischen Drogen, Kokain usw. Peoples Drug Store verkauft Heroin, Kokain, Ecstasy und mehr Grams die Deep Web Suchmaschine für Drogen Zusätzlich zu den speziellen Shops und Foren, erlaubt eine sehr beliebte Site, Grams, einfach Deep Web Sites, die mit illegalen Drogen handeln, zu durchsuchen und zu indizieren. Mit einem Logo, das Google nachempfunden ist, wurde Grams zur Defacto-Suchmaschine in diesem Bereich. 20 Unter der Oberfläche: Das Deep Web erkunden

21 Die Forscher fanden sogar TOR-Sites, die Informationen zu einem aktiven Cannabis-Glashaus lieferten. Es gab Angaben zur Temperatur und Feuchtigkeit sowie eine Live-Kamera mit Bildern zu den Pflanzen und deren Entwicklung. Cannabis-Glashaus Live-Aufnahmen und Streaming Das Beispiel des Drogenhandels zeigt, dass das Schließen eines kriminellen Marktplatzes wie Silk Road keine grundlegende Lösung bietet (siehe auch das Expert Insights Video [17]). Der Bedarf bleibt bestehen und wird dann von einem anderen Marktplatz befriedigt. 21 Unter der Oberfläche: Das Deep Web erkunden

22 Bitcoin- und Geldwäsche-Services An sich ist Bitcoin eine Währung, die mit dem Ziel der Anonymität entwickelt wurde. Als Ergebnis wird sie häufig für die Bezahlung von illegalen Waren und Services genutzt [18]. Zwar sind alle Bitcoin -Transaktionsen anonym (so lange der Nutzer nicht seinen Wallet-Code mit seiner tatsächlichen Identität verbindet), aber sie sind dennoch öffentlich. Weil jede Transaktion in der Bitcoin-Blockkette öffentlich verfügbar ist, können Ermittler sie untersuchen. Auch lässt sich die Bewegung des Gelds durch das System nachverfolgen, wenngleich dies nicht ganz einfach ist. Deshalb sind Services aufgetaucht, die weitere Anonymität für das System bieten. Sie wird grundsätzlich dadurch erreicht, dass die Bitcoins gemixt werden sie werden durch eine Art Spinnennetz von Mikrotransaktionen übertragen, bevor sie zum Nutzer zurückkehren. Die Geldsumme ändert sich nicht (außer einer minimalen Verwaltungsgebühr), doch lässt sich die Transaktion viel schwerer verfolgen. EasyCoin Bitcoin-Geldwäsche-Service Bitcoin Geldwäsche-Services erhöhen die Anonymität der Geldtransfers durch die Bitcoin-Systeme. Doch schließlich wollen die meisten Bitcoin-Nutzer ihr Geld aus dem System holen und in Bargeld oder andere traditionelle Zahlungsmittel umwandeln. Dafür gibt es im Deep Web einige anonyme Services. Sie ermöglichen es, Bitcoins über PayPal, Automated Clearing House (ACH), Western Union oder gar Mail in Geld umzuwandeln. 22 Unter der Oberfläche: Das Deep Web erkunden

23 WeBuyBitcoins, ein Service, der Cash umtauscht oder eine elektronische Bezahlmöglichkeit für Bitcoins anbietet Sites wie WeBuyBitcoins tauschen Bargeld in Bitcoins zu günstigen Kursen im Vergleich zu nicht anonymen Services aus dem Surface Web. Kriminelle, die bereit sind, ein höheres Risiko einzugehen, haben eine weitere Option den Kauf von gefälschter Währung mithilfe von Bitcoins. 23 Unter der Oberfläche: Das Deep Web erkunden

24 Sites, die gefälschte 20 $ oder 20 für etwa deren halben Wert anbieten, andere bieten auch gefälschte 50 $- oder 50 -Scheine 24 Unter der Oberfläche: Das Deep Web erkunden

25 Gestohlene Konten zum Verkauf Der Kauf und Verkauf von gestohlenen Konten ist ganz bestimmt nicht auf das Deep Web beschränkt. Es ist eine sehr verbreitete Praxis in kriminellen Untergrundforen, die auch im Surface Web vorhanden sind, etwa im russischen [19, 20] und chinesischen [21] Untergrund. Kreditkartennummern, Nummern von Bankkonten und Zugangsdaten für Online-Auktionen oder Spiele-Sites gehören zu den am häufigsten verkauften Waren. Wie auch im Surface Web variieren die Preise auf den verschiedenen Sites, doch ausgereiftere Angebote (etwa gestohlene Zugangsdatenn zu PayPal-Konten) erzielen die höchsten Preise. Solche Konten werden im Allgemeinen auf zwei Arten verkauft als qualitativ hochwertige verifizierte Konten mit genauen Kontoständen oder in der Masse (eine bestimmte Anzahl nicht verifizierter Konten, wobei normalerweise ein Mindestprozentsatz an validen Konten garantiert ist). Erstere Kategorie ist meistens teurer, da der ROI wahrscheinlicher ist. Gestohlene verifizierte deutsche PayPal-Konten (Kontostand: 500 $ 700 $) zum Verkauf für 250 $ 25 Unter der Oberfläche: Das Deep Web erkunden

26 Nicht verifizierte PayPal-Konten, die im Bündel verkauft werden (80% valide oder Ersatzangebot) Ein häufig im Deep Web zu findendes Angebot sind tatsächliche Kreditkarten. Zwar gibt es sie auch im Surface Web, jedoch sind sie seltener. Auch erscheinen die Sites im Deep Web mit derartigen Angeboten vom Ansatz her professioneller. Replika-Kreditkarten mit gestohlenen Zugangsdaten 26 Unter der Oberfläche: Das Deep Web erkunden

27 Reisepässe und Staatsbürgerschaften zum Verkauf Reisepässe und IDs sind einzigartige, wichtige Dokumente und die gefälschten noch mehr. Sie dienen nicht nur als Ausweis beim Grenzübertritt, sondern auch für das Eröffnen eines Bankkontos, Beantragen eines Kredits oder beim Kauf von Grundstücken. Es gibt eine ganze Reihe von Sites im Deep Web, die Reisepässe und andere Arten offizieller IDs zu von Land zu Land unterschiedlichen Preisen offerieren. Deren Gültigkeit ist schwer zu prüfen, ohne tatsächlich die Ware zu kaufen. Dies gilt insbesondere für Staatsbürgerschaften. US-Staatsbürgerschaft zum Verkauf für mindestens $ 27 Unter der Oberfläche: Das Deep Web erkunden

28 28 Unter der Oberfläche: Das Deep Web erkunden Preise

29 29 Unter der Oberfläche: Das Deep Web erkunden Beispiele gefälschter Reisepässe und anderer Dokumente

30 Veröffentlichte Daten: Regierung, Polizei und Prominenz Unter Hackern und bis zu einem gewissen Grad unter Online-Gamern ist es üblich, dass Gruppen Gleichgesinnter sich in lose gebildeten Gruppen treffen. Aufgrund ihrer Tätigkeiten kommt es häufig zu Rivalitäten und Streit unter konkurrierenden Gruppen. Eine häufige Taktik dabei ist das Doxing des Rivalen. Darunter versteht man die Erforschung und Veröffentlichung der PII (Personally Identifiable Information). Im Fall eines Hackers heißt dies, dass er enttarnt wird. Die Mittel, um dies zu erreichen, sind unterschiedlich, doch werden normalerweise öffentlich zugängliche Daten mit Social Engineering und direktem Hacking kombiniert. Cloudnine Doxing Site (bemerkenswert die Anfragen nach Daten zur Sozialversicherung, medizinische und finanzielle Daten etc.) Doxing oder das Veröffentlichen von privaten Informationen ist nicht auf Hacker untereinander beschränkt, sondern betrifft auch Unternehmen, Prominente und andere öffentliche Personen, die von Hackern ins Visier genommen werden. Im Fall von Unternehmen können aber auch Insider dahinter stecken, wie bei Wikileaks (das Deep Web liefert hier eine Seite, auf der die neuen Informationen anonym veröffentlicht werden). Es ist schwierig festzustellen, ob die Einzelheiten stimmen, in vielen Fällen enthalten die Informationen Geburtsdatum, Sozialversicherungsnummern, persönliche Mailadressen, Telefonnummern, Wohnadressen und mehr. Beispielsweise listet die Site Cloudnine Dox-Informationen für öffentliche Personen wie einige FBI-Agenten Politiker wie Barack und Michelle Obama, Bill und Hillary Clinton, Sarah Palin, US-Senatoren usw. Prominente wie Angelina Jolie, Bill Gates, Tom Cruise, Lady Gaga, Beyoncé, Dennis Rodman und andere 30 Unter der Oberfläche: Das Deep Web erkunden