Piraten Brasiliens: Integration der Stärken der russischen und chinesischen Hacker-Communitys [Bericht]

### Wichtige Urteile

• Das Kardieren ist im Land stark verbreitet. Es gibt eine starke Aktivität im Bereich der von Algorithmen generierten Kreditkarten – im lokalen Slang „Geradas“ genannt. Dies wird von der Insikt Group in den anderen von dieser Reihe abgedeckten Regionen nicht beobachtet, zumindest nicht explizit.
• Spam per E-Mail, SMS, über soziale Medien und Messenger ist noch immer eine der häufigsten Methoden zur Verbreitung von Malware und Phishing. Lokale Akteure machen sich weniger strenge Sicherheitsmechanismen in SMS zunutze, um URLs oder Malware-Beispiele zu verbreiten.
• Massenhafte Pharming-Angriffe auf anfällige Kundenanlagen (Customer Premises Equipment, CPE), die erstmals im Jahr 2014 beobachtet wurden, sind noch immer eine wichtige Methode zum Sammeln von Anmeldeinformationen. Typische Ziele sind Finanzinstitute, Streaming-Dienste und Webhosting-Unternehmen.
• Brasilianische Cyberkriminelle lassen sich von der Zwei-Faktor-Authentifizierung (2FA) nicht einschüchtern. Während die Mehrheit der Hacker auf Einstiegsniveau zu anderen Aktivitäten übergeht, bestehen Hacker auf hohem Niveau darauf, diese Sicherheitskontrolle zu umgehen – und es gelingt ihnen auch. Zu den von der Insikt Group beobachteten Techniken zählen SIM-Swap-Angriffe, die vollständige Kompromittierung von Desktops, die für das Internet-Banking verwendet werden, sowie die direkte Interaktion und Störung von Banksitzungen durch Hacker.

Brasilianische Gemeinschaften: Piratengeist

Ähnlich wie russischsprachige Cyberkriminelle verfügen brasilianische Cyberkriminelle vor allem über eines: Geld. Die Hacker-Communitys in Brasilien unterscheiden sich hinsichtlich ihrer Nachbarschaft, Motivationen, Ziele und bevorzugten Kommunikationsplattform.

Telegram, eine für Brasilien sehr relevante Quelle, die kürzlich zu Recorded Future hinzugefügt wurde.

Während wir „Diebe“ und „Geeks“ verwendeten, um den russischen bzw. chinesischen Untergrund zu definieren, beschreiben wir brasilianische Hacker als „Piraten“, da sie nicht nur spezialisierte Diebe sind wie die russischsprachigen Akteure, sondern bereit sind, ihre TTPs und Forenplattformen jederzeit zu ändern, je nachdem, wo das leichte Geld zu finden ist und was Strafverfolgungsbehörden und Sicherheitsforscher tun, um Informationen über sie zu sammeln. Gleichzeitig ähnelt eine sehr kleine Gruppe brasilianischer Cyberkrimineller ihren chinesischen Kollegen insofern, als sie in der Lage sind, die strengen Sicherheitskontrollen beim Internetbanking und die Sicherheit von Geldautomaten auf beeindruckende Weise zu umgehen.

Geschichte des brasilianischen Untergrunds

Das kommerzielle Internet wurde in Brasilien zwischen 1995 und 1996 eingeführt. In den späten 90er Jahren wurden Internet Relay Chat (IRC)-Netzwerke und der ICQ-Messenger – sowie Bulletin Board-Systeme (BBS), webbasierte Foren und Chats – zu den wichtigsten Chat-Plattformen in Brasilien.

IRC-Kanäle waren in den 2000er und frühen 2010er Jahren die Foren der Wahl für professionelle Hacker. Zu den Aktivitäten gehörten Werbung für Produkte und Dienstleistungen, umfangreiche Kreditkarteninformationen und Diskussionen – nichts davon nach Themen geordnet. Beispielsweise beherrschten die von den Gruppen Silver Lords und FullNetwork betriebenen IRC-Server – die man eher als IRC-Netzwerk denn als Gruppe beschreiben kann – jahrelang den Untergrund.

„mIRC“ – der Name eines sehr beliebten IRC-Clients, der zum Synonym für den brasilianischen Begriff für IRC-Client wurde – erfreute sich bei Benutzern aller Art großer Beliebtheit. Brasirc und Brasnet waren die beliebtesten IRC-Netzwerke und aus ihren Kanälen gingen einige der ersten bekannten Bedrohungsaktivitäten in Brasilien hervor: absichtliche IRC-Flooding-Angriffe (eine Art Denial-of-Service-Angriff) auf den IRC-Server-Host, Übernahmen von Benutzernamen und koordinierte Angriffe.

Das IRC-Protokoll war eine günstige Umgebung für Hackerdiskussionen und verfügte über Funktionen wie kontrollierten Zugriff auf Kanäle und Server, die Möglichkeit, jedem Benutzer bestimmte Berechtigungen zu erteilen, und Bots. Zunächst trafen sich Hacker in öffentlichen IRC-Netzwerken wie Brasirc und Brasnet, aber mit der Zeit begannen sie, ihre eigenen IRC-Server zu hosten. Es war schwieriger, diese Server zu finden, was Benutzern und Administratoren ein gewisses Maß an Privatsphäre bot. Genau wie in Webforen mit speziellem Zugang in russischsprachigen Ländern gab es eine Zugangskontrolle. Um Kanälen auf bestimmten Servern beizutreten, war ein registrierter „Nick“ (Spitzname) erforderlich und der Bot (Dienst), der die Nicks verwaltete (NickServ), war nicht immer verfügbar.

Ein gemeinsames Interessengebiet brasilianischer Hacker unterschiedlicher Gruppen, Fähigkeitsstufen und Motive sind Penetrationstests. Dies ist eines der Hauptthemen der meisten lokalen Hackerkonferenzen und Einsteiger-Webforen, auf denen Tools und Tutorials ausgetauscht werden.

In Brasilien war die Verunstaltung von Websites schon immer eine der häufigsten Arten von Hackerangriffen. Die Brasilianer gehörten schon immer zu den Hauptmeldern von Website-Verunstaltungen an das beliebte Defacement-Archiv zone-h[.]org und tun dies auch weiterhin.

Verifizierte Einsendungen der ProtoWave Reloaded-Gruppe an Zone-H, ein berüchtigtes Web-Defacement-Archiv. Bis heute hat diese brasilianische Gruppe mehr als 1.250 Webseiten verunstaltet.

In der Vergangenheit waren die meisten Brasilianer, die an der Verunstaltung von Websites beteiligt waren, Teenager, die lernten, wie man Software-Schwachstellen und schlecht konfigurierte internetbasierte Systeme ausnutzt. In Ermangelung von Sicherheitsrahmen wurde Defacement als Lernerfahrung betrachtet – von der Aufklärung über Penetrationstests bis hin zur Ausnutzung von Schwachstellen.

Von 2005 bis heute gibt es im brasilianischen Untergrund noch immer eine bedeutende Website-Defacement-Community und das Motiv hat sich vom Warnen von Administratoren zum Hacktivismus entwickelt. Auch in Brasilien deckt sich das Thema der Defacemente mit den aktuellen Schlagzeilen in den Zeitungen: Naturkatastrophen, politische Skandale und so weiter.

Einige der berüchtigtsten Hackergruppen der frühen 2000er Jahre entstanden während der IRC-Ära:

• Website-Defacement: Prime Suspectz¹, Silver Lords, Insanity Zine, HFury, DataCha0s, Crime Boys
• Hacking: Unsekurity Scene oder einfach „unsek“ und ihre „Ablegergruppen“ Clube dos Mercenários (CDM), Front The Scene (FTS)

Im Zusammenhang mit Hacking konzentrierten sich die Aktivitäten hauptsächlich auf Sicherheitsforschung zu Aufklärung, Penetrationstests und der Ausnutzung bekannter Schwachstellen. Angesichts der damaligen Einschränkungen – es gab keine umfangreiche Literatur zu Penetrationstests, Frameworks wie Metasploit oder Tools wie Kali Linux – ist es möglich, dass einige dieser Forscher als Akteure im Bereich Web-Defacement begannen.

In einer 2001 veröffentlichten Artikelserie interviewte der investigative Journalist Giordani Rodrigues die wichtigsten Web-Defacement-Gruppen dieser Zeit. Die Darsteller waren überwiegend zwischen 15 und 22 Jahre alt. Höchstwahrscheinlich hat sich diese Altersspanne nicht wesentlich verändert. Akteure in dieser Altersgruppe neigen dazu, unverantwortlich zu handeln – Reife und Ethik sind es, die einen Web-Defacer, der zum Sicherheitsexperten wird, von jemandem unterscheiden, der nach einem Eindringversuch andere Konsequenzen hat, wie etwa Datenexfiltration oder Lateral Movement.

Im Jahr 2010, als die Aktivitäten von Anonymous weltweit begannen, konnte die gleiche Aktivität auch in Brasilien beobachtet werden. Es begann in der zweiten Hälfte des Jahres 2010 als Unterstützung für Wikileaks und dauert in verschiedenen Formen bis zum heutigen Tag an. Die höchste Anonymous-Aktivität gab es zwischen 2011 und 2015, als die meisten globalen Operationen von lokalen Gruppen unterstützt wurden. Die Ziele waren zumeist politischer Natur und der am häufigsten eingesetzte Angriffstyp war Distributed-Denial-of-Service (DDoS). Im Jahr 2011 untersuchte die brasilianische Bundespolizei die Aktivitäten von Anonymous in Brasilien, da mehrere Regierungswebsites im Ziel von Angriffen waren.

Seit 2016 variieren die Ziele von Gruppen, die behaupten, die Sache von Anonymous zu unterstützen, je nach den Schlagzeilen der lokalen Nachrichten und der öffentlichen Meinung. Korrupte Politiker, in Korruptionsskandale verwickelte Unternehmen, Wahlkandidaten, die Olympischen Sommerspiele 2016 in Rio de Janeiro, die FIFA-Weltmeisterschaft 2014 in Brasilien – jedes Ziel oder Thema kommt für eine lokale Anonymous-Kampagne in Frage. Nachdem DDoS-Angriffe wirkungslos geworden waren, wurde und wird das Lecken von Sicherheitsdaten zum typischsten Angriffstyp. Im vergangenen Jahr zielten die Aktivitäten von Anonymous vor allem auf politische Ziele. Beim jüngsten Vorfall hat AnonOpsBR, eine der wenigen Gruppen mit jüngsten und wiederkehrenden Aktivitäten, das brasilianische Verteidigungsministerium und den nun gewählten Präsidenten Jair Bolsonaro sowie den Vizepräsidenten angegriffen.

Organisation des brasilianischen Untergrunds

In Brasilien könnte jede zur Interaktion genutzte Plattform als Hackerforum angesehen werden. Wie wir bereits erwähnt haben, lässt sich die typische Organisation russischsprachiger krimineller Untergrundgemeinschaften nicht auf das anwenden, was wir in Brasilien beobachten, da nicht jedes Forum einem einzigen Zweck dient und sie auch nicht gut organisiert sind und es ihnen an festen Threads für Produkte oder Dienstleistungen oder gut strukturierten Posts mit Funktionen und Preisen mangelt. Dies macht einen großen Unterschied im Verständnis des lokalen Untergrunds.

Anders als in russischsprachigen Ländern war Jabber/XMPP in brasilianischen Hackerforen nie eine beliebte Chat-Plattform. Wir können mit großer Sicherheit sagen, dass Interessengemeinschaften ab 2015 vom IRC auf moderne mobile Chat-Plattformen wie Telegram, WhatsApp, TeamSpeak (Gaming) und Discord (Gaming) übergesprungen sind. Auf Datenschutz ausgerichtete Messenger wie Wickr und Signal sind häufiger in den Foren und Märkten des Tor-Darkwebs zu sehen.

Orkut von Google war das erste populäre soziale Netzwerk in Brasilien. Von 2004 bis 2010 war es für die Brasilianer – und auch die Hackerszene – das Zentrum des Internets. Es wurden private Orkut-Gruppen zum Verkauf von Hacking-Produkten und -Diensten erstellt. Die Organisation der Anzeigen war sehr ähnlich zu dem, was wir in russischsprachigen Webforen sehen. Um das Jahr 2010 herum begannen viele Benutzer, darunter auch Hacker, zu Facebook zu wechseln. Im Jahr 2014 wurde Orkut von Google eingestellt.

Die Nutzung sozialer Netzwerke für Cyberkriminalität zeigt, wie unprofessionell bestimmte Gruppen brasilianischer Hacker vorgehen. Jeder Akteur in russisch- oder chinesischsprachigen Foren weiß, dass soziale Netzwerke ein riskanter Ort für illegale Geschäfte sind. Die Unternehmen, denen diese Netzwerke gehören, sind grundsätzlich zur Zusammenarbeit mit den örtlichen Behörden verpflichtet, was es den Strafverfolgungsbehörden erleichtert, gegen Hacker zu ermitteln und diese festzunehmen.

In Brasilien begannen Cyberkriminelle, Facebook für Werbung zu nutzen, sobald das soziale Netzwerk im Jahr 2011 im Land populär wurde. Gruppen wurden geschlossen, es gab jedoch kein strenges Prüfungs- oder Kontrollverfahren – man musste lediglich Zugriff beantragen und dieser wurde gewährt.

Im Jahr 2011 entdeckte Kaspersky Lab eine Website, auf der Hacker überprüfen konnten, ob ein anderer Hacker, mit dem sie Geschäfte machten, vertrauenswürdig war oder ein „Ripper“ (Betrüger). Der Dienst trug den Namen „SPC dos Hackers“, was so viel bedeutet wie „Hacker-Kreditauskunft“, und bestand aus einer Datenbank mit Benutzernamen, den mit jedem dieser Benutzernamen verknüpften Kontaktinformationen und Bewertungen dieser Benutzer – ob positiv oder negativ.

Im Durchschnitt zeigen brasilianische Cyberkriminelle auf der unteren bis mittleren Ebene keine Bedenken hinsichtlich der operativen Sicherheit (OPSEC) und der Strafverfolgung. Es kommt im Land häufig vor, dass Kriminelle wegen Cyberkriminalität festgenommen und erst Tage oder Wochen später wieder freigelassen werden.

Aktuelle Landschaft

Brasilianische Webforen spielen im brasilianischen Untergrund keine bedeutende Rolle. Das haben sie nie getan und werden es höchstwahrscheinlich auch nie tun. Im Jahr 2010 waren die bekanntesten Hacker-Webforen im Wesentlichen dieselben wie die aktivsten im Jahr 2019: Fórum Hacker und Guia do Hacker. Einige Foren entstanden und wurden in der Zwischenzeit freiwillig geschlossen, wie beispielsweise Perfect Hackers, das 2018 geschlossen wurde. Allerdings bleiben diese prominenten Foren die wichtigsten und für die Öffentlichkeit zugänglichen Hacker-Communitys. Für die Registrierung bzw. die kostenpflichtige Registrierung gibt es kein Prüfverfahren. Jeder kann diesen Foren beitreten.

Brasilianische Webforen bieten eine Umgebung, in der man lernt, wie man ein Hacker wird, und in der man Informationen und Tools austauscht. In Brasilien sind Foren seit mindestens 2010 eine Heimat für Hacker auf Einstiegsniveau (Script Kiddies). Sie bleiben in den Foren, solange es für sie nützlich ist, Hacking-Methoden zu erlernen. Kameradschaft wird gelobt und gefördert. Es gibt Produkte und Dienstleistungen zum Verkauf. Mobile Foren – insbesondere Telegram-Kanäle – wurden zur bevorzugten Umgebung für die Werbung für Produkte und Dienstleistungen.

Als Gruppen kürzlich zu Telegram wechselten, wurde festgestellt, dass die Zugriffskontrolle für die meisten Kanäle nur minimal ist – ein definierter Benutzername ist die notwendige und ausreichende Voraussetzung, um Zugriff auf einige Kanäle zu erhalten. Auf der Plattform sind öffentliche brasilianische Telegrammkanäle verfügbar .

Telegrammkanal mit Werbung für Phishing-Kits.

Im Screenshot oben macht der Administrator einer Telegram-Gruppe Werbung für „Telas Fake“ – ein lokaler Slang-Ausdruck für Phishing-Kits. In diesem speziellen Fall gibt es drei verschiedene Produkttypen: Erfassung der Bankkontodaten für 250 BRL (66 USD), Erfassung grundlegender Kreditkarteninformationen für 200 BRL (53 USD) und Erfassung vollständiger Kreditkarteninformationen (einschließlich Name und Adresse) für 150 BRL (40 USD). Handysymbole zeigen an, dass das Kit mit Mobiltelefonen kompatibel ist.

Viele Brasilianer halten Webforen wie Forum Hacker und Guia do Hacker für eine gute Möglichkeit, sich mit Netzwerk- und Informationssicherheit zu befassen. Den meisten Hackern auf Einsteigerniveau gelingt es nicht, in die White-Hat- und Black-Hat-Communitys in Brasilien einzudringen. Der beste Beweis hierfür ist der abgeschottete Charakter brasilianischer Hackerkonferenzen, zu denen man nur auf Einladung Zugang erhält.

Sacicon ist eine weitere eintägige Konferenz, zu der man nur auf Einladung Zugang erhält und die seit 2012 in Sao Paulo stattfindet. Diese Konferenz ähnelt der YSTS und legt den Schwerpunkt auf hochtechnische Vorträge und Partys. Diese Konferenz wird von denselben Organisatoren veranstaltet wie die Hackers to Hackers Conference, die erste (seit 2004) und bekannteste Hackerkonferenz in Brasilien. Die Organisatoren von Roadsec, einer Konferenz, die sich mehr als an jedes andere Publikum an Sicherheitsexperten auf Einstiegsniveau oder Studenten richtet, unterstützen Sacicon ebenfalls.

You Shot The Sheriff (YSTS), eine jährliche eintägige Hackerkonferenz, die seit 2007 in Sao Paulo stattfindet und zu der man nur auf Einladung Zugang erhält, ähnelt DEF CON in Bezug auf Inhalt und parallele Aktivitäten wie Schlösserknacken und Hardware-Hacking. Der Tagungsort ist immer eine Bar. Eintrittskarten für diese Konferenz werden nur selten verkauft, und wenn sie stattfindet, sind die Preise für die meisten Berufseinsteiger oder Studenten vor Ort unerschwinglich. Aus Sicht der Sicherheitsforschung gilt sie als eine der besten Hackerkonferenzen in Brasilien.

AlligatorCon, das in Recife (PE, Brasilien) stattfindet, ist eine Black-Hat-Konferenz, zu der man nur auf Einladung Zugang erhält. Diese Konferenz ähnelt Sacicon in ihrem Ziel, Inhalte auf hohem technischem Niveau zu präsentieren, geht aber darüber hinaus – zu den Themen gehören die Ausnutzung von Schwachstellen, neue Hacking-Tools und die Offenlegung von Zero-Day-Schwachstellen. Anders als bei Sacicon konzentriert sich diese Konferenz ausschließlich auf lokale Forschung, die auf brasilianischem Portugiesisch präsentiert wird.

Wir haben mehrfach erwähnt, wo sich brasilianische Hacker nicht aufhalten: in Webforen. Aber wo sind sie? An den gleichen Orten wie die übrigen Brasilianer. Die gewählten Kommunikationsplattformen sind dabei in der Regel dieselben, die auch die lokale Bevölkerung allgemein nutzt. Im aktuellen Kontext sind dies WhatsApp, Telegram und Discord. Letztere wird auch häufig von Gamern verwendet, was auf die dominante Zielgruppe der brasilianischen Hacker-Community, nämlich Teenager, zurückzuführen ist.

Inhalte in brasilianischen Untergrundforen

Malware

Der in brasilianischen Webforen am häufigsten anzutreffende Softwaretyp ist der „Crypter“, ein Verschleierungstool, mit dem Schadsoftware so verpackt wird, dass sie von Antiviren-Engines nicht erkannt wird. Je „FUD“- oder „vollständig nicht nachweisbarer“ Schadsoftware ist, desto wahrscheinlicher ist es, dass sie unentdeckt in das E-Mail-Postfach des Benutzers gelangt.

Dieses große Interesse an Malware-Packern ist ein Hinweis auf einen der wichtigsten Angriffsvektoren brasilianischer Cyberkrimineller: E-Mail. E-Mail-Spam war in Brasilien schon immer eine der wichtigsten Methoden zum Phishing und zur Verbreitung von Malware. Im Laufe der Jahre haben jedoch zahlreiche Sicherheitskontrollen zunehmend verhindert, dass Kampagnen die Posteingänge der Opfer erreichen. Gleichzeitig veränderte sich die Beziehung der neuen Generationen zum E-Mail-Versand, und zahlreiche andere Social-Media-Sites und Messenger-Apps entstanden und wurden zu den primären Kommunikationsplattformen. Um erfolgreich zu sein, mussten sich Cyberkriminelle an diese Verhaltensänderungen anpassen.

Der jüngste Quartalsbericht der Anti-Phishing Working Group (APWG) zeigt, dass Phishing-Kampagnen mittlerweile bezahlte Anzeigen in Suchmaschinen wie Google und Bing, in sozialen Medien, betrügerischen mobilen Apps in offiziellen Stores und Smishing (SMS-Phishing) nutzen, um Opfer ins Visier zu nehmen. Viele dieser Angriffsmethoden verfügen über ineffektive Methoden zur Bekämpfung von Spam (insbesondere SMS), wodurch Cyberkriminelle mehr Opfer erreichen können. Selbst nachdem der bösartige Link den Posteingang eines Opfers erreicht hat, ist für eine erfolgreiche Phishing-Kampagne noch eine letzte Phase erforderlich: Das Opfer muss den Köder schlucken und auf den Link klicken. Es gibt eine Möglichkeit, Benutzer nicht nur dazu zu verleiten, auf einen Phishing-Link zu klicken, sondern sie auch technisch dazu zu zwingen. Diese Methode wird als „Pharming“ bezeichnet.

Beim Pharming werden Schadsoftware oder technische Strategien eingesetzt, um die DNS-Namensauflösung zu unterlaufen und alle Benutzer eines Hosts oder Netzwerks dazu zu zwingen, eine bekannte Website-Adresse beim falschen Host (IP-Adresse) aufzurufen, der unter der Kontrolle des Angreifers steht. Pharming ist eine sehr verbreitete Aktivität brasilianischer Hacker. Trotz der Bemühungen von Sicherheitsunternehmen und Internetdienstanbietern werden gelegentliche Angriffe nicht immer erkannt.

Eine der ersten Formen des Pharming war lokal: Der Angreifer nutzte Malware, um die lokalen Host-Adressauflösungsdateien („LMHOSTS“ für Windows und „Hosts“ für Linux) zu ändern. Das Betriebssystem überprüft diese Dateien zunächst auf Hostnamen- und IP-Adresspaare. Wenn der Hostname einer Bank in dieser Datei aufgeführt ist, hat diese Auflösung die höchste Priorität. Der Benutzer besucht eine Website mit der richtigen URL auf dem falschen Server. Lokales Pharming hat eine Schwäche: den Virenschutz. Malware kann anhand der Signatur oder Heuristik erkannt werden und jede Anwendung, die versucht, die lokale Namensauflösungsdatei zu ändern, wird als verdächtig angesehen. Lokales Pharming ist überzeugend, da die URL für das Opfer legitim aussieht. Mit den heutigen Anti-Malware-Kontrollen ist es jedoch unwahrscheinlich, dass ein Angreifer die Datei erfolgreich mit Malware verändert. DNS- oder Netzwerk-Pharming erfordert dagegen nicht die Komplexität von Malware.

Network Pharming ist ein Angriffsvektor, der von brasilianischen Cyberkriminellen bereits seit 2014 verwendet wird. Zunächst bestand die Strategie darin, Customer-Premises-Equipment (CPE) – von ISPs bereitgestellte Netzwerkrouter – zu missbrauchen. Die meisten Benutzer erhalten vom ISP die gleichen Modelle oder Router, wodurch die Netzwerkumgebung sehr vorhersehbar wird. Der Angriff umfasste das Versenden von Spam mit lokalen Netzwerk-URLs, die die DNS-Einstellungen des lokalen Routers änderten. Für den Erfolg dieser Angriffsmethode ist eine günstige Voraussetzung erforderlich: ein standardmäßiger Administratorbenutzername und ein standardmäßiges Administratorkennwort.

Im Laufe der Zeit wurden andere Strategien zum Ausnutzen von CPEs verwendet, beispielsweise die Ausnutzung von Remote-Software-Schwachstellen. Bei einer dieser Kampagnen, die Radware im März 2018 beschrieb, wurden Schwachstellen in MicroTik-Routern ausgenutzt. Im September 2018 meldete 360 Netlab zwei Vorfälle (4. und 29. September), in die mehr als 85.000 Router in Brasilien verwickelt waren. Zu den betroffenen Unternehmen gehörten alle großen lokalen Banken, Webhosting-Unternehmen und Netflix – ein häufig verwendeter Zugangsdatensatz, der in Telegram-Kanälen zum Verkauf angeboten wird. Spotify gehörte zwar nicht zu den Zieldomänennamen dieser Angriffe, ist aber ebenfalls ein typisches Ziel. Keiner der Dienste bietet eine Zwei-Faktor-Authentifizierung an, was die Erfassung und Wiederverwendung von Anmeldeinformationen in diesem Zusammenhang trivial macht.

Fokussierung auf Finanzdienstleistungen erfordert hohe Sicherheitsstandards

Das brasilianische Finanzsystem ist im Hinblick auf Sicherheitskontrollen sehr fortschrittlich. Dies ist das Ergebnis jahrzehntelanger Internetkriminalität, realer Kriminalität und – nicht weniger wichtig – eine Reaktion auf die anhaltenden böswilligen Aktivitäten der Brasilianer. Brasilien stellt für die Finanzbranche in jeder Hinsicht ein feindliches Umfeld dar, weshalb dort hohe Sicherheitsstandards gelten. Hackeraktivitäten und Entwicklungen im Bereich der Sicherheit des Finanzsystems hängen eng zusammen und veranlassen die Finanzinstitute dazu, ihre Sicherheitsmaßnahmen ständig zu erhöhen.

2FA für Anmeldungen, 2FA für Transaktionen über QR-Codes, physische Token, Browser-Plugins, die „Rootkits“ ähneln, Vorregistrierung von Geräten, Geräte-Fingerprinting, strenge Limits für elektronische Überweisungen, Vorregistrierung von Zielkonten für elektronische Überweisungen, ein dedizierter Desktop-Browser für das Internet-Banking und Biometrie in Geldautomaten gehören zu der umfangreichen und ständig wachsenden Liste von Sicherheitskontrollen.

Der Geldtransfer zwischen brasilianischen Bankkonten und ausländischen Banken – selbst innerhalb Lateinamerikas oder des Handelsblocks MERCOSUR – ist keine Kleinigkeit. Die Abwicklung von Auslandszahlungsaufträgen wird wie eine Devisentauschtransaktion behandelt. Daher werden zusätzliche Kontrollen gegen Geldwäsche und Steuerhinterziehung eingeführt, was den Geldtransfer über Ländergrenzen hinweg erschwert.

Eine weitere wichtige Sicherheitskontrolle betrifft Kreditkarten. In den meisten Ländern ist bei Card-Not-Present-Transaktionen (CNP) die Angabe grundlegender persönlicher Daten erforderlich: vollständiger Name, vollständige Adresse. In Brasilien muss bei jeder Transaktion das Cadastro de Pessoas Físicas (CPF) angegeben werden – eine eindeutige Steuernummer für jeden brasilianischen Bürger – und diese Nummer muss mit der Nummer auf der Kreditkarte übereinstimmen. Dieser Ausweis ist der Sozialversicherungsnummer (SSN) in den Vereinigten Staaten sehr ähnlich. Es wird als kritisch angesehen, wenn diese Informationen öffentlich werden.

Wie oben dargestellt ist es schwierig, Geld über Landesgrenzen hinweg zu transferieren und die Sicherheitskontrollen sind streng. Wie also kann ein Cyberkrimineller in einer solchen Umgebung erfolgreich sein? Die Chip-and-PIN-Technologie wurde in Brasilien Anfang der 2000er Jahre eingeführt. Wie jede neue Technologie wurde auch Chip-and-PIN in Brasilien missbraucht. Schließlich gelang es Cyberkriminellen, zwar das EMV-System selbst anzugreifen, jedoch schlecht implementierte Lösungen.

Im März 2018 veröffentlichte Kaspersky Lab Brasilien eine Studie zu Malware, die auf POS-Systeme mit Chip und PIN (EMV) abzielt: Prilex. Die Ausnutzung von EMV ist nichts Neues: In den vergangenen Jahren waren bereits andere Angriffe auf anfällige Implementierungen der Chip-und-PIN-Authentifizierung im Umlauf gewesen. Die Gruppe hinter Prilex, die seit mindestens 2015 aktiv ist, verwendete viele Varianten eines Blackbox-Angriffs, darunter einen Raspberry Pi mit 4G-Datennetzwerkzugriff, mit dem Daten exfiltriert werden konnten. Sie konzentrierten sich außerdem darauf, die Kontrolle über die Maschineninfrastruktur zu übernehmen. Schließlich erweiterten sie ihre Angriffsfläche um Point-of-Sale-Systeme (POS) und begannen, Chip- und PIN-Karten ins Visier zu nehmen.

Prilex operiert angeblich außerhalb webbasierter Foren und sozialer Medien. Den Angaben der Kaspersky-Forscher zufolge betreiben sie eigene private WhatsApp-Gruppen, die streng kontrolliert werden. Aus diesem Grund gibt es auf der Plattform keine Forenaktivität von Prilex-Akteuren.

Sprache und Betrug treiben die Ziele voran

Das Hauptziel brasilianischer Hacker sind Brasilianer. Die portugiesische Sprache ist der Schlüssel zur Erklärung dieser Beobachtung, aber es gibt auch andere Elemente, die diese geografische Isolation erklären.

Es gibt noch weitere portugiesischsprachige Länder – Angola, Kap Verde, Guinea-Bissau, Mosambik, Portugal sowie São Tomé und Príncipe –, doch der Kontakt zwischen diesen Ländern und Brasilien ist minimal. Das Land hat seine eigene Variante des Portugiesischen – das brasilianische Portugiesisch – dessen Phonetik und Wortschatz sich von dem Portugiesisch anderer Länder unterscheiden. Diese einzigartige portugiesische Variante sowie kulturelle und wirtschaftspolitische Unterschiede isolieren Brasilien auch von anderen Ländern Südamerikas, da es von spanischsprachigen Ländern umgeben ist.

Die meisten Produkte und Dienste im brasilianischen Untergrund haben mit persönlichen Daten zu tun: Zugriff auf Kreditdatenbanken, vollständige Informationen zu bestimmten Personen, ausgestattet mit einer Steuernummer (CPF) und Legitimationsnachweisen. Diese Anmeldeinformationen können auf viele Arten erlangt werden: durch Schadsoftware, Phishing zum Abrufen von Finanzdaten, Phishing zum Abrufen von Bonitätsauskünften, Serasa Experian-Anmeldeinformationen und durch Insider-Mitarbeiter in relevanten Unternehmen.

Carding und die damit verbundenen Produkte und Dienstleistungen, wie etwa der Verkauf von Zugangsberechtigungen, sind eine der Hauptaktivitäten geschlossener Hackergruppen. Früher wurden Informationen in IRC-Kanälen ausgetauscht, heute sind sie auch in Telegram und anderen modernen Plattformen vorhanden. In den großen Hacker-Webforen kommt es im Allgemeinen nicht zu Carding-Aktivitäten.

Im Untergrund des Landes ist das Carding stark vertreten. Nicht alle in der brasilianischen U-Bahn gefundenen Kreditkarten wurden unbedingt eingesammelt. Es herrscht eine starke Aktivität bei Kreditkarten, die durch Algorithmen generiert werden und als „Geradas“ bezeichnet werden. Sie suchen nach Unternehmen, die Karten nicht ordnungsgemäß validieren, die sie als „cardeáveis“ oder „anfällig für Carding“ bezeichnen, und nutzen diese aus.

Im November 2016 gab die Tesco Bank einen Sicherheitsvorfall bekannt, in den 20.000 Konten verwickelt waren und der zu einem Verlust von 2,26 Millionen GBP (2,95 Millionen USD) führte. Einige Tage später gab das Unternehmen eine neue Erklärung heraus, in der es hieß, der normale Betrieb sei wieder aufgenommen worden. In dieser neuen Erklärung wurden keine weiteren Informationen bekannt gegeben. Im Oktober 2018 veröffentlichte die Financial Conduct Authority (FCA) eine „ letzte Mitteilung“ zu dem Vorfall aus dem Jahr 2016. Dem 27-seitigen Dokument zufolge verwendeten die Angreifer höchstwahrscheinlich einen Algorithmus, der authentische Debitkartennummern der Tesco Bank generierte. Es wurde festgestellt, dass die Mehrzahl der betrügerischen Transaktionen aus Brasilien stammte und eine Zahlungsmethode namens „PoS 91“ verwendete, ein Branchencode, der darauf hinweist, dass die Angreifer kontaktlose MSD-Transaktionen durchführten. Dies ist höchstwahrscheinlich das berüchtigtste Beispiel für die Auswirkungen brasilianischer Hackeraktivitäten im Zusammenhang mit generierten Kartennummern.

Derzeit gibt es in Brasilien keine Bestimmungen zum Schutz personenbezogener Daten. Es gibt Pläne zur Umsetzung einer solchen Verordnung – ähnlich der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union –, sie wird jedoch erst im Dezember 2020 in Kraft treten. Dabei handelt es sich um die Gesetzesvorlage Nr. 13.709, auch bekannt als „Lei Geral de Proteção de Dados“ oder LGPD.

Derzeit ist ein Unternehmen, das von einem Verstoß betroffen ist, nicht verpflichtet, die Öffentlichkeit oder die brasilianische Regierung darüber zu informieren. Dies hat zur Folge, dass Unternehmen Verstöße um jeden Preis leugnen. Im Oktober 2018 gab das brasilianische Zahlungsabwicklungsunternehmen Stone am Vorabend seines Börsengangs einen Datenschutzverstoß bekannt . Es wurde von einem Erpressungsversuch berichtet, dieses Detail wurde vom Unternehmen allerdings nicht bestätigt. Es könnten Cyberkriminelle oder einfach nur Konkurrenten gewesen sein, die versucht haben, den Börsengang des Unternehmens zu beeinflussen. Zu einem Erpressungsversuch ähnlicher Art kam es im April 2018 vor einem Börsengang gegen die Financial-Tech-Bank Banco Inter.

Fallstudie: Strafverfolgungsoperation Ostentation

Eine kürzlich durchgeführte brasilianische Strafverfolgungsoperation, Operation Ostentation, fasst zusammen, wie Cybercrime in Brasilien erfolgreich durchgeführt wurde. Der Anführer der beteiligten Bande, Pablo Henrique Borges, wurde am 11. Oktober 2018 festgenommen. Laut Berichten der Strafverfolgungsbehörden und der Medien konnten er und seine Bande in 18 Monaten 400 Millionen BRL (etwa 108 Millionen USD) stehlen. Borges war 24 Jahre alt und führte ein Leben voller Luxus, mit mehreren Lamborghinis und Ferraris sowie teuren Reisen und Gewohnheiten. Zwei Komplizen wurden ebenfalls festgenommen – Rafael Antonio dos Santos und Matheus Araújo Galvão.

Die Bande bot den Leuten an, ihre Rechnungen über WhatsApp oder Facebook-Posts mit bis zu 50 Prozent „Rabatt“ zu bezahlen. Dabei handelt es sich um eine gängige Geldwäschetechnik brasilianischer Cyberkrimineller: Anstatt das Geld von Bankkonten abzuheben, bezahlten sie Rechnungen und erhielten einen Teil des Geldes auf einem nicht verknüpften Konto.

Wie sich die Bande Zugang zu den insgesamt über 23.000 Bankkonten verschaffte, um die Rechnungen zu bezahlen, ist noch immer unklar. Höchstwahrscheinlich handelte es sich dabei um eine Kombination aus Malware und Phishing-Kampagnen. Für die Softwareentwicklung war der 24-jährige Leandro Xavier Magalhães Fernandes verantwortlich. Er stammte ebenfalls aus einfachen Verhältnissen – er hatte zwar einen Highschool-Abschluss, aber keine weitere Schulbildung – und war für den wichtigsten Teil des Geschäfts der Bande verantwortlich. Sein prunkvoller Lebensstil mit einer Villa und teuren Autos erregte die Aufmerksamkeit der örtlichen Polizei von Goiania, GO.

Leider wurden zu dieser Gang keine Informationen zu Handles, zur Malware-Familie, zu Beispielinformationen oder zum Forennamen veröffentlicht. Angesichts des Hintergrunds und Profils der beiden Staatschefs ist es unwahrscheinlich, dass sie für diese Operation ausländische Schadsoftware erworben haben. Wahrscheinlicher ist, dass sie ihre eigene Schadsoftware entwickelt haben.

Zu diesem konkreten Polizeieinsatz liegen uns keine weiteren Informationen vor, um Aussagen zur Qualität der eingesetzten Schadsoftware treffen zu können. Aus anderen Operationen und der Meinung der Strafverfolgungsbehörden wissen wir, dass die Struktur der brasilianischen Cyberkriminellen eher an Terrorgruppen als an kriminelle Organisationen erinnert. Banden sind in Zellen organisiert (Softwareentwicklung, Betrieb, Geldwäsche), sodass die Störung einer oder mehrerer Zellen keine Auswirkungen auf das Geschäft hat. Die Betreiber werden benachrichtigt, wenn ein infizierter Benutzer eine Sitzung öffnet und mit ihnen interagiert, um 2FA und andere Sicherheitskontrollen zu umgehen. Im März 2016 beschrieb Kaspersky diesen speziellen Typ von Remote Access Trojan (RAT), der in Brasilien weit verbreitet ist.

In Brasilien gibt es sehr unterschiedliche Arten von Hackergruppen: „Lammer“ – Hacker auf Einstiegsniveau im lokalen Slang der Webforen – und die seriösen Forscher und Hacker. Manchmal entstehen Hacker in Webforen, ein anderes Mal scheinen sie von diesen beiden Kreisen völlig losgelöst zu sein. Es handelt sich einfach um intelligente Menschen mit grundlegenden Kenntnissen in der Softwareentwicklung, die eine Nische gefunden haben, die sie erkunden können, und einen Weg, Geld zu verdienen.

Ausblick

Hochrangige brasilianische Hacker werden weiterhin Finanzinstitute ausnutzen, egal wie streng die Sicherheitskontrollen werden. Die Desktop-Sicherheit ist ausreichend hoch, aber lokale Cyberkriminelle haben bewiesen, dass sie diese Kontrollen erfolgreich umgehen können. Eine hohe Desktop-Sicherheit bedeutet allerdings nicht, dass Cyberkriminalität abgeschreckt wird.

Die Mehrheit der Brasilianer erledigt ihr Online-Banking nicht mehr am Desktop, sondern über mobile Clients. Überweisungen, Einmalkennwörter, Zahlungen – alle großen Banken ermöglichen ihren Kunden praktisch alles über eine mobile App. Diese Verhaltensänderung hat bereits zu Veränderungen bei der Internetkriminalität geführt. SMS-Phishing (Smishing), mobile Phishing-Kits und bösartige mobile Anwendungen – überwiegend für Android –, die sich als beliebte Apps wie WhatsApp oder Mobile-Banking-Apps ausgeben, haben in den letzten Jahren zugenommen.

Die Ausbeutung von Android ist in Brasilien bereits Realität und dieser Trend setzt sich fort, da die Erhöhung der Sicherheit für diese Geräte eine Herausforderung darstellt. Ein weiterer sehr wichtiger Aspekt ist die Tatsache, dass viele Brasilianer – insbesondere diejenigen mit niedrigem Einkommen – ihr Online-Banking nicht über den Desktop nutzen, einfach weil sie nicht einmal einen Desktop- oder Laptop-Computer besitzen.

Die Nutzung von WhatsApp im Land bleibt stabil. Dies wird höchstwahrscheinlich auch weiterhin einer der Angriffsvektoren für Cyberkriminelle bleiben. Im Jahr 2018 kündigte WhatsApp in Indien Person-zu-Person-Zahlungen mit einer Funktion namens „WhatsApp Payments“ an und führte diese ein. Laut WABetaInfo, einer auf WhatsApp-Nachrichten spezialisierten Nachrichten-Website, soll die Funktion in naher Zukunft auf Brasilien, Mexiko und Großbritannien ausgeweitet werden. Es ist sehr wahrscheinlich, dass diese Funktion in Brasilien genutzt wird.