Ein Thema, über das auf der Virus-Bulletin-Sicherheitskonferenz vergangene Woche in Genf diskutiert wurde, waren die Strukturen der Cybercrime-Szene. Vor allem in Russland, so Graham Cluley, Experte der IT-Security-Firma Sophos [1], hat sich eine regelrechte Cybercrime-Industrie etabliert, die »Partnerka«.

Affiliate-Netzwerke wie Patnerka vermarkten über das Internet dubiose Produkte, etwa "gefakte" Antivirensoftware oder nutzlose Medikamente.

Cluley berief sich in einem Beitrag in seinem Weblog [2] auf einen Vortag des Security-Fachmanns Dimitri Samosseiko, der für die kanadische Tochter von Sophos tätig ist. Hier der Link zum Vortrag von Samosseiko: The Partnerka – What it is, and why you care? [3].

Bei Partnerka handelt es sich um ein Affiliate-Vertriebsmodell: Subunternehmer, die im Auftrag von Cybercrime-Organisationen gefälschte Versionen von Software an den Mann bringen, erhalten eine Erfolgsprämie. Rund 55 Cent für ein Windows-System und 43 Cent für einen Mac bot beispielsweise der »Entwickler« eines angeblichen Video-Codecs für MacOS. Es handelte sich dabei um ein »Fake«-Programm ohne jeden Nutzen.

Solche Scareware ist weit verbreitet. Dubiose Firmen bieten gegen Bezahlung angebliche Virenscanner, Video- und Audio-Codecs an. Teilweise enthalten diese Programme sogar Schadsoftware, etwa Trojaner oder Rootkits.

Die Aufgabe der Affiliates besteht darin, das Programm verteilen, etwa mittels Spam-E-Mails oder Links auf entsprechende Web-Seiten.

Web-Verkehr umlenken

Eine weitere Technik, die Affiliates verwenden, ist die Manipulation von Suchmaschinen-Ergebnissen mithilfe von DNS-Changer-Trojanern. Diese Software lenkt die Suchanfragen von PC- und Mac-Usern via www.google.de [4] oder www.yahoo.de [5] auf eigene Web-Sites um. Dazu manipulieren sie die DNS-Einträge auf einem mit Malware infizierten Rechner.

Für jeden Macintosh-Rechner, auf dem ein Affiliate diese Pseudo-Video-Codec-Software "platzierte", zählte der Hersteller 43 US-Cent.

Sehr beliebt ist laut Samosseiko der Einsatz von Verfahren zur Suchmaschinen-Optimierung. Die Cyberkriminellen ermitteln mithilfe von Google Trends, welche Suchbegriffe derzeit besonders gefragt sind.

Anschließend erzeugen sie zig Web-Seiten, die mit diesen Begriffen gespickt sind. Das lässt sich mithilfe von Tools wie John22 automatisieren.

Selbst »Fakes« von kompletten Community-Angeboten wie Online-Foren sind gebräuchlich. Google, Yahoo und Co. können den Unterschied zwischen Sites, die von Maschinen oder Menschen aufgesetzt wurden, angeblich nicht erkennen.

Bis zu 25 Dollar Erfolgsprämie

Laut Sophos bieten einige Partnerka-Netzwerke ihren Mitgliedern deutlich höhere Kommissionsgebühren, abhängig vom Verkaufspreis des »Produkts«. Für eine Pseudo-Antivirensoftware, die in Nordamerika und Australien angeboten wurde, belief sich die Erfolgsprämie auf 25 Dollar pro Transaktion, sprich den Kauf des nutzlosen Programms durch einen arglosen Nutzer.

In diesem Fall meldete der Rechner des Opfers nach Installation einer »Testversion« der Software, es seien zig Viren, Trojaner et cetera aufgespürt worden. Eine kostenpflichtige Vollversion des Programms werde das Problem lösen.

Im Internet finden sich sogar Umsatzaufstellungen von Cybercrime-Organisationen.

Auf der entsprechenden Web-Site des Anbieters war nachzulesen, dass 1 Prozent der Internet-Nutzer auf dieses Angebot einging. Der Betreiber einer Affiliate-Web-Site, der pro Tag 10.000 Besucher auf seine Web-Site lockt, kann laut Samosseiko gut und gerne 180.000 Dollar Umsatz pro Jahr machen.

Weil sich solche Affiliate-Modelle lohnen, rechnet der Sicherheitsforscher weiterhin mit einem massiven Anstieg von Spam-E-Mails, infizierten Web-Sites und der Verbreitung von Malware. Allerdings gebe es auch positive Signale: Dank der besseren Zusammenarbeit zwischen Behörden und IT-Sicherheitsexperten würden immer mehr Betreiber von dubiosen Online-Angeboten gezwungen, ihre Aktivitäten einzustellen oder in den Untergrund zu verlagern.