Über die Opfer und deren Leichtsinn

Hansen: Ab wann fühlten Sie sich als «Blackhat», als «Hacker»? Gab es ein ausschlaggebendes Ereignis?

Adam: Das ist schwierig zu sagen. Meine Kumpels und ich bezeichneten uns selbst nie als «Blackhats», das war uns zu sehr James Bond. Wir sahen uns mehr als Menschen, die einen bestimmten Weg des Geldverdienens entdeckt hatten. Uns war es auch egal, wo andere uns einsortierten. Es war alles einfach nur leicht und lustig. Wer ich wirklich war, wurde mir erst in dem Moment klar, als einer meiner «Real Life»-Freunde Opfer von Kreditkartenbetrug wurde. Da habe ich gemerkt, dass es echte Opfer gibt und diese Leute nicht nur Nummern sind, mit denen sich Geld machen lässt.

Hansen: Wie viele Rechner haben Sie in Ihrer Hacker-Hochphase unter Kontrolle gehabt?

Adam: Ich habe zwei getrennte Botnetze betrieben. Das DDoS-Botnetz umfasste öffentliche Rechner und solche in Büros. Diese sind schliesslich den ganzen Tag eingeschaltet und bringen gute Verbindungsgeschwindigkeiten. Zudem findet dort kein Onlinebanking statt. Dafür hatte ich mein um einiges wertvolleres Karten-Botnetz. Da waren die Rechner von Banken, Immobilienmaklern, Supermärkten und Privatrechnern zu finden. Hier habe ich Kundendaten abgegriffen und hatte somit eine dauerhafte, unendlich grosse Versorgung mit Kreditkartendaten und Spam-Munition. Das DDoS-Botnetz umfasst derzeit noch rund 60'000 bis 70'000 Bots, die meisten im Westen der USA. Das Carding-Botnetz hatte mit 5000 bis 10'000 deutlich weniger, die meisten in Asien. Die grösste Zahl an Bots, die ich jemals gleichzeitig kontrolliert habe, lag bei 570'000.

Hansen: Wieviel Geld haben Sie denn ungefähr nach Abzug aller Kosten im Jahr übrig gehabt?

Adam: Ich kann Ihnen nicht die Einzelheiten erzählen, aber nach dem 11. September 2001 haben wir Millionen verdient.

Hansen: Und im vergangenen Jahr?

Adam: Soweit ich es im Kopf habe, rund 400'000 bis 500'000 Dollar. Das letzte Jahr war durchwachsen. Die Leute sind vernünftiger geworden, sie patchen häufiger. Was das laufende Jahr angeht, haben wir bereits drei Viertel des genannten Betrags zusammen.

Hansen: Hatten Sie, als Sie angefangen haben, ein bestimmtes Ziel oder einen bestimmten Geldbetrag im Kopf, den Sie erreichen wollten?

Adam: Das werde ich von den Leuten in den Hackerforen oft gefragt. Bis vor vier Jahren habe ich mir nie Ziele gesetzt. Ich habe damals aus Spass angefangen, aber auch um Aufmerksamkeit zu bekommen und um einfaches, sehr einfaches Geld zu verdienen.

Hansen: Wie genau verdienen Sie mit Ihrem Botnetz Geld?

Adam: Mit einem Botnetz Geld zu verdienen ist einfacher als Zähneputzen - besonders in der automatisierten Industrie. Jede Crew besteht aus mehreren Mitgliedern - dem Botmaster, dem Rechercheur, dem Reverse-Engineering-Experten, dem Verteiler, dem Social Engineer, dem Verkäufer und dem «Fudder» (einem Spezialisten, der Malware so geschickt in Dateien versteckt, dass Virenscanner sie nicht entdecken können, Anm. d. Red.). Die Leute, die Zero-Days verkaufen, verkaufen die Hälfte ihrer Zeit ausschliesslich Zero-Days. Ihre Käufer sind Botmaster ohne eigenes Team. Unsere Crew hat ein Tool entwickelt, das den Bot-Cache nach Facebook- und Twitterkonten durchsucht und die jeweiligen Facebook-Interessen prüft (beispielsweise Justin Bieber). Anschliessend werden Alter, Name, Wohnort geprüft - alles automatisch. Ein Beispiel: Bot Nummer 2 ist bei Facebook eingeloggt. Der Kontobesitzer mag Justin Bieber, ist 14 Jahre alt, weiblich und lebt in den USA - das ist wichtig, um die richtige Sprachauswahl treffen zu können. Unter diesen Voraussetzungen spuckt der Bot eine vorgefertigte Liste mit Links aus und wählt dort beispielsweise die Schlagwortkombination «Justin Bieber sex tape video».

Mit Zero-Days Websites zu unterwandern und dort iFrames einzubinden, ist hingegen recht altbacken, langweilig und nicht immer sehr effizient - es sei denn, Sie schaffen es auf eine grosse und populären Website, dann lohnt sich das. Zero-Days in Websites mit solchen in Programmen wie Java zu verbinden, um Rechner mittels Drive-by-Download zu kapern, ist da schon wesentlich besser - besser jedenfalls als den Nutzer dazu zu bringen, eine bestimmte Datei herunterzuladen. Viele Nutzer wissen ja nicht einmal, dass ihre E-Mail-Adressen über ihre Facebook-Profile öffentlich einsehbar sind und sich wunderbar an Spammer verkaufen lassen. Das Abgreifen lässt sich natürlich automatisieren und damit Geld verdienen.