Restriktive Gesetze drängen chinesische Cyberkriminelle zu neuen Monetarisierungstechniken
Anmerkung des Herausgebers: Um die gesamte Analyse mit Fußnoten zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Dieser Bericht analysiert die Struktur von Internetquellen, die von chinesischsprachigen Bedrohungsakteuren zur Durchführung cyberkrimineller Aktivitäten genutzt werden. Der Schwerpunkt liegt dabei insbesondere auf Anzeigen, Posts und Interaktionen auf chinesischsprachigen Darknet-Marktplätzen und Telegram-Kanälen zum Thema Cyberkriminalität. Dabei werden auch die Auswirkungen chinesischer Gesetze und Vorschriften auf die Datensicherheit und Cyberkriminalität in China berücksichtigt. Dieser Bericht ist eine Fortsetzung unserer vorherigen Berichterstattung aus dem Jahr 2021 über die Cyberkriminalitätslandschaft in China und die chinesische Cyberkriminalität in den Nachbarländern. Das größte Interesse dürfte an diesem Buch für Organisationen und geopolitische Analysten bestehen, die den cyberkriminellen Untergrund verstehen möchten, um sicherheitsrelevante Bedrohungen besser überwachen zu können, sowie für diejenigen, die den chinesischsprachigen Untergrund erforschen.
Executive Summary
Da China weiterhin Gesetze zur Cybersicherheit erlässt, die dem Staat eine stärkere Kontrolle einräumen, hat dies einen negativen Einfluss auf die Cyberkriminalität, da die üblicherweise ins Visier genommenen Unternehmen dazu verpflichtet werden, ihre personenbezogenen Daten (PII) besser zu schützen. Dennoch werden PII-Daten (sowohl von chinesischen Staatsangehörigen als auch von internationalen Unternehmen) noch immer in großem Umfang kompromittiert und auf Darknet-Marktplätzen, Foren mit speziellem Zugang und Telegram-Kanälen verkauft. Darüber hinaus wird es für Cyberkriminelle in China immer schwieriger, in Aktion zu treten, da neue Gesetze den Handel mit Kryptowährungen verbieten, die Bankenregulierung verschärft wird und erneut hart gegen Telekommunikations- und Onlinebetrug vorgegangen wird. Infolgedessen haben Cyberkriminelle ihre Aktivitäten ins Ausland verlagert und neue Wege gefunden, PII-Daten als Waffe für betrügerische Aktivitäten einzusetzen.
Wir haben neue chinesischsprachige Darknet-Marktplätze analysiert, die im letzten Jahr entstanden sind, sowie beliebte chinesischsprachige Telegram-Kanäle, die sich mit Cyberkriminalität befassen. Wir haben in englisch- und russischsprachigen Sonderzugangsforen PII- und Zugangsangebote mit Bezug zu China und Taiwan untersucht und analysiert, wie sie Akteuren, die Ransomware-Bedrohungen ausgesetzt sind, einen ersten Zugang verschaffen können. Wir haben außerdem einige einzigartige Betrügereien in der chinesischen Cybercrime-Landschaft untersucht und wie diese auf die oben genannten Angebote auf Darknet-Marktplätzen zurückgeführt werden können. Abschließend haben wir einige Analysen dazu erstellt, wie sich die geopolitischen Spannungen zwischen China und Taiwan in den kommenden Jahren auf die Cyberkonflikte zwischen beiden Seiten der Taiwanstraße auswirken könnten.
Wichtige Urteile
- Die Verabschiedung des chinesischen Gesetzes zum Schutz personenbezogener Daten (PIPL) und des Gesetzes zur Datensicherheit (DSL) zeigt, dass die chinesische Regierung die Datensicherheit ernst nimmt. Das Verbot des Handels mit und des Minings von Kryptowährungen sowie der Werbung dafür, neue Bestimmungen gegen Geldwäsche und neue Gesetze zur Bekämpfung von Telekommunikations- und Online-Betrug machen es für Cyberkriminelle in China und den Nachbarländern zunehmend schwieriger, aktiv zu werden.
- Chinas Streben nach einer digitalen Wirtschaft durch Big Data hat die Angriffsfläche für Hacker geöffnet und Daten angreifbar gemacht. Dies führte im vergangenen Jahr zu mehreren spektakulären Datenschutzverletzungen, bei denen große Mengen personenbezogener Daten offengelegt wurden. Es ist sehr wahrscheinlich, dass Bedrohungsakteure große Datensätze gesammelt und analysiert und sie organisiert und in kleinere Datensätze zerlegt haben, die spezifischere Gruppen und Einzelpersonen enthalten, um sie über cyberkriminelle Quellen zu Geld zu machen.
- Trotz der oben genannten Herausforderungen entwickeln sich die chinesischsprachigen Darknet-Marktplätze weiter; es entstehen neue, die ältere ersetzen, die offline gegangen sind. Telegram spielt auch in der chinesischen Cybercrime-Szene eine wichtige Rolle, da es als Ergänzung zu Darknet-Marktplätzen mit Bedrohungsakteuren genutzt wird, die auf ihren Telegram-Kanälen oft für Datensätze und Lasteraktivitäten werben.
- Da immer mehr durchgesickerte Daten aus dem Ausland auf chinesischsprachigen Darknet-Marktplätzen auftauchen und immer mehr chinesische/taiwanesische Daten und Zugriffe auf beliebten englisch- und russischsprachigen kriminellen Quellen veröffentlicht werden, verschwimmen die Landesgrenzen für Cyberkriminelle zunehmend.
- Chinesische Cyberkriminelle sind bei ihren transnationalen Operationen organisierter geworden und entwickeln innovative Möglichkeiten, personenbezogene Daten (PII) als Waffe einzusetzen und mithilfe ausgeklügelter Spear-Phishing-Systeme Betrug zu begehen.
Hintergrund
In unserer vorherigen Berichterstattung zur chinesischen Cyberkriminalitätslandschaft befassten wir uns mit den chinesischsprachigen Darknet-Märkten, Clearnet-Hacking-Foren und -Blogs sowie Messaging-Plattformen. Wir haben die Merkmale dieser Quellen sowie die Taktiken, Techniken und Verfahren (TTPs) chinesischsprachiger Bedrohungsakteure im Kontext ihrer unterschiedlichen kulturellen, politischen und rechtlichen Besonderheiten analysiert. In unserer Berichterstattung über chinesische Cyberkriminalität in Nachbarländern haben wir den Trend aufgedeckt, dass gut ausgestattete chinesische Cybercrime-Syndikate ihre Aktivitäten ins Ausland verlagern, insbesondere in südostasiatische Länder, in denen die Gesetze lockerer sind. Dies hat es ihnen ermöglicht, Betrug (wie etwa Online-Liebesbetrug unter Verwendung der Schadsoftware CryptoRom) auf globaler Ebene zu begehen. Während China auf eine digitale Wirtschaft zusteuert und neue Gesetze und Vorschriften erlässt, um die Datensicherheit zu erhöhen und gegen Telekommunikationsbetrug und Cyberkriminalität vorzugehen, wird das Umfeld für Cyberkriminelle immer schwieriger. Neue sozioökonomische und technologische Entwicklungen bieten jedoch auch Chancen für Cyberkriminelle, die ihre TTPs ständig aktualisieren, um in der neuen Landschaft zu überleben und erfolgreich zu sein.
Bedrohungsanalyse
Gesetze und Vorschriften, die die chinesische Cyberkriminalitätslandschaft betreffen
In diesem Abschnitt fassen wir verschiedene Gesetze und Vorschriften zusammen, die im vergangenen Jahr in Kraft getreten sind und direkte Auswirkungen auf die chinesische Cyberkriminalitätslandschaft haben. Dabei geht es insbesondere um die Erfassung und Speicherung von PII-Daten durch private Unternehmen, das anhaltende Vorgehen der chinesischen Regierung gegen die Verwendung und das Mining von Kryptowährungen sowie Gesetze zur Unterbindung von Aktivitäten, die Betrug und Kriminalität erleichtern.
Die Verabschiedung von PIPL und DSL
Am 1. November 2021 trat Chinas Gesetz zum Schutz personenbezogener Daten (PIPL) in Kraft, das am 20. August 2021 vom Nationalen Volkskongress verabschiedet wurde. Das PIPL gilt als chinesisches Äquivalent zur Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und sollte den Unternehmen im Land mehr Compliance-Anforderungen auferlegen. Die chinesische Regierung hat ihre Technologiegiganten angewiesen, für eine sicherere Speicherung von Benutzerdaten zu sorgen, nachdem es in der Öffentlichkeit Beschwerden über Misswirtschaft und Missbrauch gegeben hatte, die zu Verletzungen der Privatsphäre der Benutzer geführt hätten. Das Gesetz besagt, dass der Umgang mit personenbezogenen Daten einem klaren und vernünftigen Zweck dienen muss und auf das „zur Erreichung der Verarbeitungsziele erforderliche Mindestmaß“ beschränkt sein muss. Darüber hinaus wurden darin die Bedingungen festgelegt, die Unternehmen einhalten müssen, wenn sie personenbezogene Daten erfassen wollen, darunter auch die Einholung der Einwilligung des Einzelnen. Zudem wurden Richtlinien zur Gewährleistung des Datenschutzes bei der Datenübertragung ins Ausland festgelegt. Das Gesetz sieht außerdem vor, dass Verwalter personenbezogener Daten einen Verantwortlichen für den Schutz personenbezogener Daten benennen und regelmäßige Prüfungen durchführen, um die Einhaltung des Gesetzes sicherzustellen. Die Umsetzung des PIPL erfolgte nach der Verabschiedung des Datensicherheitsgesetzes (DSL), das am 21. September 2021 in Kraft trat und einen Rahmen für Unternehmen schuf, um Daten auf der Grundlage ihres wirtschaftlichen Werts und ihrer Relevanz für die nationale Sicherheit Chinas zu klassifizieren. PIPL und DSL stellen zusammen zwei wichtige Regelungen für die zukünftige Regulierung des chinesischen Internets dar.
Didi wegen Datenschutzverstößen mit Geldstrafe belegt
Am 21. Juli 2022 verhängte die chinesische Internetaufsichtsbehörde eine Geldstrafe von 1,2 Milliarden US-Dollar gegen den Fahrdienst-Giganten Didi wegen seiner maßlosen Datenerfassungspolitik und des mangelhaften Sicherheitsvorkehrungen für sensible Benutzerinformationen.
Die Cyberspace Administration of China (CAC) teilte mit, sie habe eine Überprüfung der Netzwerksicherheit des Unternehmens abgeschlossen und dabei „illegale Aktivitäten“ sowie Verstöße gegen die Netzwerksicherheitsgesetze des Landes (DSL und PIPL) festgestellt. Bei der Geldbuße handelt es sich um die höchste jemals von China verhängte Datenschutzstrafe und um die zweithöchste, die einem chinesischen Technologieunternehmen auferlegt wurde. Im vergangenen Jahr hatten die Regulierungsbehörden Alibaba nach einer Kartelluntersuchung mit einer Geldbuße von 2,75 Milliarden Dollar belegt.
Die CAC erklärte, sie habe bei ihrer 2021 begonnenen Untersuchung von Didi 16 Verstöße festgestellt, darunter die illegale Erfassung von fast 12 Millionen Fotoalben der Nutzer, 107 Millionen Gesichtserkennungsprofilen von Passagieren und erheblichen Mengen an PPI-Daten der Nutzer. Laut chinesischen Regulierungsbehörden hat Didi Millionen vertraulicher Benutzerdaten unverschlüsselt gespeichert, was „nationale Sicherheitsrisiken“ darstellt.
Die App des Unternehmens sammelte außerdem „übermäßig viele“ Informationen über seine Fahrer und fragte oft nach Geräteberechtigungen, die einen umfassenden Zugriff auf die Geräte der Benutzer ermöglichten. Ein Sprecher des CAC kritisierte, dass das Unternehmen „ungenaue und unklare“ Beschreibungen dazu abgegeben habe, wofür es die gesammelten Informationen benötige.
Die CAC erklärte, sie plane, die Durchsetzung der Gesetze zur Cybersicherheit und zum Datenschutz in den kommenden Jahren zu „intensivieren“.
Das Verbot des Minings, Handels und der Werbung für Kryptowährungen sowie die Einführung des digitalen Yuan
Obwohl China seit 2013 ein feindseliges Verhältnis zur Kryptowährungsbranche pflegt , gelten die jüngsten Maßnahmen im Jahr 2021 als die schärfsten. Unter Berufung auf Bedenken hinsichtlich der Auswirkungen auf das Klima forderte der Staatsrat im Mai 2021 Beschränkungen für das Mining und den Handel mit Kryptowährungen. Im Anschluss an diese Erklärung begannen Provinzregierungen wie die der Inneren Mongolei, proaktive Maßnahmen zur Ausrottung des Krypto-Mining zu ergreifen. Infolgedessen waren die Miner in diesen Regionen gezwungen, entweder dauerhaft zu schließen oder in andere kryptofreundliche Länder umzusiedeln. Im August 2021 ordnete das CAC an, dass Social-Media-Plattformen 12.000 Konten schließen sollten, die „im Namen finanzieller Innovation“ für Kryptowährungen warben. Die gelöschten Konten erstreckten sich über mehrere Plattformen, darunter Weibo, Baidu und WeChat. Außerdem wurden 105 Websites geschlossen, die Tutorials zum Kaufen und Verkaufen von Kryptowährungen anboten. Im September 2021 ordneten die chinesischen Behörden eine neue Runde harter Maßnahmen gegen das Krypto-Mining an und verboten praktisch alle Krypto-Handelsaktivitäten.
Anfang 2022 gab die chinesische Zentralbank den digitalen Yuan (auch bekannt als Digital Currency Electronic Payment (DCEP), e-Renminbi (e-RMB) und e-CNY) heraus, der in der zweiten Hälfte des Jahres 2021 in verschiedenen chinesischen Städten erprobt wurde und bei den Olympischen Winterspielen in Peking im Februar 2022 seine weltweite Premiere feierte. Es handelt sich dabei um eine digitale Zentralbankwährung (CBDC), die für die Durchführung von Transaktionen auf Blockchain-Technologie setzt, jedoch zentral von Regulierungsbehörden kontrolliert und durch Fiat-Währungsreserven gedeckt wird. Und anders als Kryptowährungen, die ein hohes Maß an Privatsphäre und Anonymität bieten, ermöglicht der digitale Yuan der Regierung eine beispiellose Transparenz bei Transaktionen, da sie direkten Zugriff auf die Daten hat. Es kann zudem programmierbar gemacht werden, so dass die Regierung Zahlungen veranlassen oder einstellen kann. Zehn Länder haben bereits eine CBDC eingeführt und viele weitere ziehen dies in Erwägung.
Alle chinesischsprachigen Darknet-Märkte basieren auf Kryptowährungen wie Bitcoin, Tether und Ethereum. Wie später im Abschnitt über Darknet-Marktplätze ausführlicher beschrieben, konnten wir beobachten, wie viele dieser Marktplätze offline gingen, aber gleichzeitig entstanden neue, die ihren Platz einnahmen. Aufgrund des harten Durchgreifens der chinesischen Regierung und der Ausgabe des digitalen Yuan wird der Handel mit Kryptowährungen weiter in den Untergrund gedrängt und zunehmend auf Darknet-Marktplätzen abgewickelt.
Vorschriften zur Bekämpfung der Geldwäsche
Die chinesische Zentralbank hat eine neue Verordnung zur Bekämpfung der Geldwäsche erlassen, die am 1. März 2022 in Kraft treten sollte. Es wurde jedoch aus „technischen Gründen“ verschoben .
Die neue Regelung verpflichtet Personen, die eine einzelne Bareinzahlung oder -abhebung von mehr als 50.000 Yuan (6.904 US-Dollar) bzw. 10.000 US-Dollar in einer Fremdwährung vornehmen, dazu, die Herkunft und den Verwendungszweck des Geldes anzugeben. Banken und andere lizenzierte Finanzinstitute, die entsprechende Transaktionen abwickeln, müssen laut einer gemeinsamen Anordnung der People's Bank of China (PBoC), der China Banking and Insurance Regulatory Commission und der China Securities Regulatory Commission vom letzten Monat ebenfalls die Kundeninformationen validieren und speichern.
Kritiker der Regelung behaupten, dass sie tatsächlich die Eigentumsrechte des Einzelnen verletze, indem sie den Finanzinstituten die Macht gebe, Einlagen und Abhebungen nach eigenem Ermessen zu beschränken. Darüber hinaus könne sie die Kapitalflüsse dämpfen und Chinas wirtschaftliche Erholung behindern. Zusammen mit dem Verbot des Handels mit Kryptowährungen erschwert diese neue Regelung es Cyberkriminellen in China, ihre Gewinne auszuzahlen.
Strafverfolgung bei Telekommunikations- und Online-Betrug
Am 2. September 2022 wurde während der 36. Sitzung des Ständigen Ausschusses des 13. Nationalen Volkskongresses (NPC) das Gesetz der Volksrepublik China zur Bekämpfung von Telekommunikations- und Online-Betrug verabschiedet. und soll im Dezember 2022 in Kraft treten.
Das Gesetz wurde verabschiedet, da Telekommunikations- und Onlinebetrug in China im letzten Jahrzehnt immer weiter zugenommen hat. Die South China Morning Post berichtete , dass Kriminelle in den vergangenen Jahren mithilfe moderner Telekommunikationstechnologien auf illegale Weise Informationen über ihre Opfer erlangt und Schlupflöcher im Management ausgenutzt hätten. Diese Machenschaften hätten derart überhandgenommen, dass sie eine ernste Bedrohung für die öffentliche Sicherheit und die gesellschaftliche Stabilität darstellten. Berichten zufolge sind kriminelle Syndikate inzwischen besser organisiert, verfügen über eine klare Arbeitsteilung und sind in der Lage, in mehreren Ländern tätig zu sein, mit der Absicht, Menschen in China zu betrügen.
Das Gesetz überträgt den Betreibern von Telekommunikationsunternehmen, Banken und Finanzinstituten, nicht-bankbasierten Zahlungsinstituten und Internetdienstanbietern die Hauptverantwortung für die Betrugsbekämpfung. Von diesen Organisationen wird erwartet, dass sie interne Systeme zur Risikoprävention, Kontrolle und Sicherheit einrichten. Das Gesetz gilt sowohl innerhalb als auch außerhalb des chinesischen Territoriums. Ausländische Organisationen oder Einzelpersonen, die im Bereich Telekommunikationsnetze Betrug begehen, werden gemäß den einschlägigen Bestimmungen dieses Gesetzes zur Rechenschaft gezogen.
Das Gesetz schreibt vor, dass das chinesische Außenministerium und das Ministerium für öffentliche Sicherheit enger mit den internationalen Strafverfolgungsbehörden zusammenarbeiten müssen, um gegen diese Verbrechen vorzugehen. Das Gesetz ermächtigt die Polizei, Reisebeschränkungen gegen Verdächtige zu verhängen, die häufig Hotspot-Länder und -Regionen, insbesondere südostasiatische Länder, besuchen, sofern sie keine triftigen Gründe für ihre Reise in diese Gebiete vorbringen können. Gegen ehemalige Straftäter kann außerdem bis zu drei Jahre nach Verbüßung ihrer Haftstrafe ein Reiseverbot verhängt werden.
Der Trend zu Big Data und schwerwiegenden Datenschutzverletzungen
Nach der Definition von Gartner handelt es sich bei Big Data um „Informationsbestände mit hohem Volumen, hoher Geschwindigkeit und/oder großer Vielfalt, die kostengünstige, innovative Formen der Informationsverarbeitung erfordern, die bessere Erkenntnisse, Entscheidungsfindung und Prozessautomatisierung ermöglichen.“
Der Brookings Institution zufolge sammeln zahlreiche Zweige der chinesischen Regierung riesige Mengen an Daten zu Überwachungszwecken, was die Behörden als „Visualisierung“ (可视化) und „Polizei-Informatisierung“ (警务信息化) bezeichnen. Mithilfe der Datenfusionsprogramme Chinas können die chinesischen Überwachungssysteme hochdetaillierte Informationen über ihre Bürger sammeln. Die chinesische Regierung setzt Datenfusionstools ein, um Informationen über als „Fokuspersonal“ eingestufte Personen zu überwachen, zu sammeln und zu speichern. Dazu zählen „Personen, die Petitionen an die Regierung richten, solche, die angeblich in terroristische Aktivitäten verwickelt sind“ und solche, die nach Ansicht der chinesischen Regierung „die soziale Stabilität untergraben“. Diese Datenfusionstools haben laut Brookings auch zum Aufbau prädiktiver Polizeisysteme in Xinjiang beigetragen und tragen dazu bei, „die religiösen, organisatorischen und verhaltensmäßigen Merkmale von Terroristen akkurat darzustellen“.
Übermäßiges Überwachen, Sammeln und Speichern vertraulicher Informationen einzelner Personen ist nach chinesischem Recht nicht illegal. Gemäß den Artikeln 28 und 33 des Gesetzes zum Schutz personenbezogener Daten der Volksrepublik China ist es staatlichen Organen wie der chinesischen Polizei gestattet, vertrauliche Informationen zu verarbeiten. Dabei liegt die Entscheidung über Umfang und Grenzen der Art von Daten, die die chinesische Regierung legal sammeln und/oder speichern darf, bei den staatlichen Organen. Zu den betroffenen Informationen zählen unter anderem biometrische Identifizierung, religiöse Überzeugungen, PII, medizinische Versorgung, Finanzkonten, Aufenthaltsorte und andere Informationen sowie persönliche Informationen von Minderjährigen unter 14 Jahren.
Die Entwicklung der Big-Data-Industrie wurde auch als ein zentraler Aspekt des 14. Fünfjahresplans [2021–2025] angesehen, da sich Chinas Industriewirtschaft in Richtung einer digitalen Wirtschaft bewegt. Die Big-Data-Branche verzeichnete im Zeitraum des 13. Fünfjahresplans [2016–2020] eine durchschnittliche jährliche Wachstumsrate von über 30 %. Für die Entwicklung der Big Data-Branche wurden neue Anforderungen vorgeschlagen, um ihr den Eintritt in eine neue Phase integrierter Innovation, schneller Entwicklung, tiefgreifender Anwendungen und struktureller Optimierung zu ermöglichen. Der Trend zu Big Data wurde während der COVID-19-Pandemie noch beschleunigt. Allerdings kann die Sicherheit mit dem rasanten Wachstum der Datenerfassung nicht Schritt halten, wie einige spektakuläre Datenschutzverletzungen im vergangenen Jahr zeigen. Bedrohungsakteuren ist es gelungen, große Mengen an Daten mit äußerst vertraulichen Informationen zu erlangen. Anschließend haben sie diese Datensätze analysiert und in kleinere Datensätze neu verpackt, die sie an chinesisch- und nicht-chinesischsprachige cyberkriminelle Quellen weiterverkauft haben.
Datenlecks bei Gesundheitscode-Apps in Peking und Shanghai
Seit Beginn der COVID-19-Pandemie müssen Chinas Bürger eine App auf ihren Smartphones nutzen, die als elektronischer Reisepass fungiert und bestimmt, ob sie sich in der Öffentlichkeit aufhalten dürfen oder in Quarantäne müssen. Die App wurde erstmals von der Lokalregierung von Hangzhou mit Hilfe von Ant Financial, einem Schwesterunternehmen des E-Commerce-Riesen Alibaba, angekündigt. Die App generiert einen QR-Code in einer von drei Farben: Ein grüner Code ermöglicht seinem Inhaber uneingeschränkte Bewegungsfreiheit, ein gelber Code bedeutet, dass der Inhaber möglicherweise aufgefordert wird, sieben Tage zu Hause zu bleiben, und ein roter Code bedeutet eine zweiwöchige Quarantäne. Eine Analyse des Softwarecodes der App durch die New York Times ergab, dass die App nicht nur in Echtzeit feststellt, ob von einer Person eine Ansteckungsgefahr ausgeht, sondern auch Benutzerinformationen an die Polizei weitergibt, was Datenschutzbedenken aufwirft. Laut Maya Wang, einer China-Forscherin von Human Rights Watch, „hat China in der Vergangenheit bereits Großereignisse wie die Olympischen Spiele 2008 in Peking und die Weltausstellung 2010 in Shanghai dazu genutzt, neue Überwachungsinstrumente einzuführen, die ihren ursprünglichen Zweck überdauert haben.“ Maya Wang fügte hinzu: „Der Ausbruch des Coronavirus erweist sich als einer der Meilensteine in der Geschichte der Ausbreitung der Massenüberwachung in China.“
Zusätzlich zu den Datenschutzbedenken hatte die mangelhafte Sicherheit der mit den Gesundheitscode-Apps verbundenen Datenbanken zu zwei vielbeachteten Datenlecks geführt, die im Folgenden beschrieben werden.
Am 28. April 2022 gab Wei Bin, ein Beamter der Stadtregierung von Peking, bekannt, dass Beijing Jiankangbao (北京健康宝), eine mobile App, die während der COVID-19-Pandemie zum Überprüfen von Gesundheitscodes und Bereitstellen von Nukleinsäuretestergebnissen verwendet wurde, angeblich von ausländischen Hackern angegriffen wurde. „Das Beijing Jiankangbao wurde am Donnerstagmorgen während der Hauptbesuchszeit angegriffen. „Das Technikerteam hat die Probleme rasch behoben“, sagte Wei auf einer Pressekonferenz und fügte hinzu: „Später fanden wir heraus, dass die Quelle des Angriffs im Ausland lag.“ Wei behauptete, dass die App auch während der Olympischen Winterspiele 2022 in Peking von ausländischen Hackern angegriffen wurde. Bisher liegen uns keine Daten zu Angeboten der App auf Darknet-Marktplätzen oder in Foren vor.
Am 10. August 2022 verkaufte „XJP“, ein Mitglied der mittelgroßen BreachForums, Daten von 48,5 Millionen Einzelnutzern von 随身码 (Suishenma), dem Shanghaier Äquivalent des Pekinger Gesundheitskodex, der Anfang des Jahres kompromittiert wurde. Der Suishenma-Gesundheitscode wurde Anfang 2020 vom Shanghai Big Data Center, einer Agentur der Stadtregierung von Shanghai, entwickelt , um die lokalen Behörden bei der Bewältigung des COVID-19-Ausbruchs zu unterstützen. Es entwickelte sich zu einem unverzichtbaren digitalen Werkzeug im täglichen Leben der Bewohner Shanghais, die einen grünen Code vorzeigen mussten, bevor sie öffentliche Verkehrsmittel benutzen oder öffentliche Orte betreten durften. Der Bedrohungsakteur XJP behauptete, die Datenbank enthalte alle Personen, die seit der Einführung der Shuishenma-App in Shanghai gelebt oder die Stadt besucht hätten, und teilte einen Screenshot der Datenprobe. Der Preis für die Datenbank betrug 4.850 US-Dollar, der später auf 4.000 US-Dollar reduziert wurde. XJP verwendet Matrix (breach.co:XJP) als primäre Kontaktmethode. Der Beitrag wurde als verifiziert aufgeführt und XJP autorisierte pompompurin, den Administrator von BreachForums, den Handel mit dieser Datenbank im Namen des Bedrohungsakteurs durchzuführen. Obwohl in vielen Kommentaren zu dem Beitrag Interesse an der Datenbank zum Ausdruck kam, meinten die meisten, sie sei selbst zum reduzierten Preis zu teuer. Interessant ist, dass in dem Beitrag zur Bezeichnung der Gesundheitscode-App die chinesischen Schriftzeichen 随伸码 (anstelle des korrekten 随身码) verwendet wurden, was darauf schließen lässt, dass XJP möglicherweise kein chinesischer Muttersprachler ist. Am 9. September 2022 bot XJP außerdem Daten des chinesischen Grenzübergangs- und Einreisekontrollamts zum Verkauf an, die Berichten zufolge Informationen über Personen enthielten, die zwischen Juli 2020 und Juli 2022 die chinesische Grenze überschritten hatten. Der Bedrohungsakteur gab an, dass die Datenbank mehr als 240 Millionen Datensätze enthält, aber möglicherweise unvollständig ist und möglicherweise keine Daten über diplomatische Besuche enthält. Der Preis der Datenbank betrug 100.000 US-Dollar. Die Glaubwürdigkeit von XJP ist mittelmäßig: Der Bedrohungsakteur hat seit der Registrierung seines Kontos im Juli 2022 5 Threads und 20 Posts verfasst und verfügt zum Zeitpunkt dieses Berichts über einen positiven Reputationswert von 92.
Abbildung 1: XJP verkauft QR-Gesundheitscodes von 48,5 Millionen Einwohnern von Peking, China (Quelle: BreachForums)
Datendiebstahl bei der Shanghaier Polizei
Am 3. Juli 2022 tauchten Nachrichtenberichte über ein Datenleck von 23 TB an persönlichen Informationen chinesischer Bürger bei der Shanghaier Nationalpolizei auf, gepostet vom Benutzer „ChinaDan“ auf BreachForums. Laut Radio Free Asia wurde die durchgesickerte Datenbank höchstwahrscheinlich von Alibaba Cloud gehostet. Wie Reuters berichtete , sagte Zhao Changpeng, CEO von Binance, am 4. Juli 2022, dass die Kryptowährungsbörse ihre Benutzerverifizierungsprozesse verstärkt habe, nachdem die Bedrohungsinformationen des Unternehmens den Verkauf von Datensätzen von „einer Milliarde Einwohnern eines asiatischen Landes im Dark Web“ entdeckt hatten, wobei er sich höchstwahrscheinlich auf den BreachForums-Beitrag von ChinaDan bezog.
Recorded Future hat die von ChinaDan freigegebenen Beispieldaten erhalten und kann bestätigen, dass die Daten vollständige Namen, Privatadressen, Geburtsorte, nationale Ausweisnummern, Mobiltelefonnummern und Details zu Straftaten/Fällen enthalten, die von 1995 bis 2019 zurückreichen. Unsere vorläufige Auswertung der Datenprobe lässt darauf schließen, dass die Daten authentisch zu sein scheinen. Allerdings lässt sich angesichts der angeblichen Größe des Datenpakets nicht feststellen, ob es sich bei dem gesamten Paket um das handelt, was die Werbung verspricht.
Abbildung 2: ChinaDan verkauft die Datenbanken der Shanghaier Polizei auf BreachForums; der Eigentümer von BreachForums, pompompurin, hat die Legitimität der Datenbank bestätigt (Quelle: BreachForums)
Chinesische Datenbank speichert Millionen von Gesichtern; Kfz-Kennzeichen sind online offengelegt
Am 30. August 2022 berichtete TechCrunch, dass eine chinesische Datenbank, die Millionen von Gesichtern und Autokennzeichen speicherte, monatelang ungeschützt im Internet blieb, bevor sie im August 2022 still und leise verschwand. Die Datenbank, die Berichten zufolge auf ihrem Höhepunkt über 800 Millionen Datensätze enthielt, gehörte einem Technologieunternehmen namens Xinai Electronics mit Sitz in Hangzhou. Das Unternehmen baut Systeme zur Zugangskontrolle für Personen und Fahrzeuge an Arbeitsplätzen, in Schulen, auf Baustellen und in Parkhäusern. Xinai Electronics hatte über sein in ganz China verteiltes Kameranetzwerk Millionen von Gesichtsabdrücken und Nummernschildern gesammelt und behauptete, die Daten seien auf seinen Servern „sicher gespeichert“.
Die offengelegten Daten auf einem von Alibaba gehosteten Server in China wurden vom Sicherheitsforscher Anurag Sen gefunden, der TechCrunch um Hilfe bat, die Sicherheitslücke an Xinai zu melden. Sen berichtete, dass weder die Datenbank noch die gehosteten Bilddateien durch Passwörter geschützt seien und über den Webbrowser von jedem aufgerufen werden könnten, der wisse, wo er suchen müsse. Nachdem TechCrunch Xinai mehrere E-Mails mit der Benachrichtigung über die offengelegte Datenbank geschickt hatte, ohne zu antworten, war die Datenbank Mitte August 2022 nicht mehr zugänglich.
Obwohl wir auf cyberkriminellen Märkten keine Einträge finden konnten, in denen diese Datenbank direkt erwähnt wird, finden sich auf chinesischsprachigen Darknet-Marktplätzen häufig Anzeigen mit Informationen zu Autobesitzern. Beispielsweise fanden wir diesen Beitrag mit detaillierten Informationen über Autobesitzer von General Motors in China. Wir können nicht feststellen, ob die hier angebotenen Daten aus der oben erwähnten offengelegten Datenbank stammen, da es bei chinesischen Bedrohungsakteuren eine gängige Praxis ist, große, durchgesickerte Datenbanken anhand bestimmter Attribute in kleinere Größen zu zerlegen, um sie leichter zu monetarisieren.
DDoS-Angriffe und Hacktivismus rund um Pelosis Besuch
Am 3. August 2022 besuchte die Sprecherin des Repräsentantenhauses der Vereinigten Staaten (USA), Nancy Pelosi, Taiwan und traf sich mit Tsai Ing-wen, der Präsidentin von Taiwan (Republik China). Pelosi erklärte , die USA würden „ihre Verpflichtung gegenüber Taiwan nicht aufgeben“, und Tsai sagte, Taiwan werde angesichts von Drohungen „niemals nachgeben“. Den gesamten 2. August 2022 und bis in den 3. August 2022 hinein warnte China weiterhin eindringlich vor dem Besuch von Sprecherin Pelosi und ergriff politische, militärische und wirtschaftliche Maßnahmen, um Taiwan zu bestrafen und die USA von weiterer Unterstützung Taiwans abzuhalten. Am 4. August 2022 berichtete The Record von Recorded Future, dass das Netzwerk des taiwanesischen Verteidigungsministeriums nach dem Besuch von Parlamentspräsidentin Pelosi auf der Insel durch einen Distributed-Denial-of-Service-Angriff (DDoS) für etwa zwei Stunden offline gegangen sei; der Angriff habe kurz nach Pelosis Abreise von der Insel begonnen. In dem Record-Artikel heißt es: „Chinesische Regierungsvertreter waren außer sich vor Wut über den Besuch – den ersten eines hochrangigen US-Beamten seit 25 Jahren – und argumentierten, er verstoße gegen die Ein-China-Politik des Landes.“ In einer Erklärung teilte das taiwanesische Verteidigungsministerium mit, die DDoS-Angriffe hätten gegen 23:40 Uhr begonnen und gegen 00:30 Uhr (Taipeh-Zeit) geendet. Das Ministerium erklärte, es arbeite mit anderen Behörden und dem Büro des Präsidenten zusammen, um die Informationssicherheitsinfrastruktur der Regierung zu schützen. Der Angriff erfolgte, nachdem im Vorfeld von Pelosis Besuch mehrere Websites der taiwanesischen Regierung, darunter die des Außenministeriums und des internationalen Flughafens Taoyuan, lahmgelegt worden waren.
Die Angriffe waren groß genug, um die Websites für kurze Zeit unzugänglich zu machen, hatten jedoch kein besonders großes Ausmaß. ISC Sans und andere Cybersicherheitsorganisationen vermuteten, dass die DDoS-Angriffe eher das Werk nationalistischer Hacktivisten in China waren und nicht der offiziellen zivilen oder militärischen Cyberkräfte Chinas.
Auch wenn es keine Beweise dafür gibt, dass die Regierung große Cyberangriffe durchgeführt hat, geht John Hultquist von Mandiant davon aus, dass Chinas Cyber-Spionage „auf Hochtouren laufen wird, weil die chinesische Regierung herausfinden will, was die USA denkt und wo die Grenzen ihrer Entschlossenheit liegen“. Er erklärte: „Antworten darauf findet man, wenn man die E-Mails von Diplomaten, Militärangehörigen und Regierungschefs liest.“
Wir haben im chinesischsprachigen Untergrund keine direkten Erwähnungen von DDoS-Angriffen gegen Taiwan gefunden. Allerdings werden DDoS-Tools, -Tutorials und -Dienste häufig auf chinesischsprachigen Marktplätzen für Cyberkriminelle beworben. Jeder Interessierte kann sich problemlos die Werkzeuge und Kenntnisse aneignen, die für die Durchführung eines Angriffs im kleineren Maßstab erforderlich sind.
Veränderungen auf den Dark Web-Märkten
Seit unserem letzten Bericht zur chinesischen Cyberkriminalitätslandschaft im Jahr 2021 hat es spürbare Veränderungen in der Zusammensetzung der Darknet-Marktplätze gegeben. Mehrere Marktplätze sind offline gegangen, darunter Loulan City Market, Tea Horse Road Market, Ali Marketplace und Dark Web Exchange. Einige der begleitenden Telegram-Kanäle dieser Marktplätze sind allerdings weiterhin in Betrieb. Das Offline-Gehen dieser Darknet-Marktplätze kann eine Reihe von Gründen haben, unter anderem polizeiliche Maßnahmen, Exit-Scams und interne Meinungsverschiedenheiten zwischen den Bedrohungsakteuren.
Zu den Marktplätzen, die zum Zeitpunkt dieses Berichts noch in Betrieb sind, gehören Exchange Market, FreeCity Market, Alibaba Market und United Chinese Escrow Market (UCEM). Mittlerweile sind drei neue Darknet-Marktplätze entstanden, die zum Zeitpunkt dieses Berichts noch in Betrieb sind: Dark Web Chinese Market, Tengu Market und Chang'An Sleepless Night. Nachfolgend finden Sie die Beschreibungen der drei neuen Marktplätze.
Chinesischer Dark Web-Markt
Der früheste Beitrag zum chinesischen Dark Web-Markt stammt aus dem September 2021. Die Registrierung für den Marktplatz ist kostenlos und die Einträge sind in die folgenden Kategorien unterteilt:
- Bezahlte Werbung (zum Zeitpunkt dieses Berichts keine Einträge in diesem Abschnitt)
- Daten: Verschiedene gestohlene Daten, darunter PII, Kartenmaterial und mehr
- Tutorials: Hacking-Techniken, Social Engineering, Betrugsmaschen und mehr
- Physische Gegenstände: Meist Sätze von 4 IDs (Standard für den Bankkontozugriff in China) für den Bankkontozugriff
- Videos: Hauptsächlich Inhalte für Erwachsene
- Virtuelle Artikel: Carding-Tutorials, Vorlagen für gefälschte Dokumente und mehr
- Software-Websites: Verschiedene legale und illegale Software, SMS-Empfangsdienste und mehr
Zum Zeitpunkt dieses Berichts standen 700 Artikel zum Verkauf, wobei die Angebote sowohl in US-Dollar als auch in Bitcoin (BTC) gelistet waren. Eine Verkaufsanzeige enthält Informationen wie die Anzahl der verkauften Artikel, die Bewertung des Artikels und den Zeitpunkt, zu dem der Artikel angezeigt wurde. Aus Datenschutzgründen werden die Informationen des Verkäufers vollständig anonymisiert (es wird kein Handle für den Verkäufer angegeben).
Die Treuhandfrist für die Transaktion beträgt 5 Tage, da jede Transaktion nach 5 Tagen automatisch bestätigt wird. Wenn eine Verlängerung erforderlich ist, muss ein Benutzer im Bestellformular „Automatische Zahlung aus dem System stoppen“ angeben. Bei einer Lieferverzögerung seitens des Verkäufers von mehr als einem Tag kann der Käufer unter Angabe des Grundes eine Rückerstattung verlangen. Kommt es zu einem Streitfall bei der Transaktion, hat jede Partei drei Tage Zeit, um die Anfrage zu beantworten. Die Partei, die innerhalb von 3 Tagen nicht antwortet, verliert das Schiedsverfahren automatisch. Aufgrund der anonymen Natur der Website wird anhand der verfügbaren Informationen kein Administrator identifiziert.
Abbildung 3: Die Landingpage für Dark Web Chinese Market (Quelle: Dark Web Chinese Market)
Tengu-Markt
Die früheste Verkäuferregistrierung auf Tengu Market stammt aus dem März 2022. Die Registrierung für den Marktplatz ist kostenlos und die Einträge sind in folgende Kategorien unterteilt (wörtlich):
- BTC-bezogen: Coin-Mixing-Dienste, Kryptowährungs-Wallets ohne verlorene Passwörter, Passwort-Cracker für Wallets und mehr
- Datenbanken: E-Mail-Adressen mit Passwörtern, US-Führerscheine, Blackhat-Tutorials zur Suchmaschinenoptimierung (SEO) und mehr
- Physisches Zeug: Handykarten, gefälschte Uhren und mehr
- Unterhaltung: verschiedene Arten von Spielen und Software
- Online-SMS: Google Voice-Nummern und andere SMS-Empfangsdienste
- Geek-Tech: Remote Access Trojaner (RATs), Hacking-Tools und Tutorials und mehr
- Mysteriös: Carding-Materialien und andere Tutorials
- Geschenkkarten: PayPal-Kontonummern und Passwörter
Zum Zeitpunkt dieses Berichts gab es etwa 60 Buchungen, wobei einige in US-Dollar angegeben waren, obwohl BTC die einzige akzeptierte Währung ist. Eine Verkaufsanzeige enthält Informationen wie die Anzahl der verkauften und verbleibenden Artikel, die Bewertung des Artikels sowie den Benutzernamen und die Bewertung des Verkäufers. Auf jeder Verkäuferseite gibt es Bewertungen in den Kategorien Qualität, Kommunikation und Lieferung. Die Website erhebt für jede Transaktion eine Bearbeitungsgebühr von 7 %. Wenn nach der Bestellung eines aufgeführten Artikels innerhalb von 5 Stunden kein Zahlungseingang erfolgt, wird die Transaktion automatisch storniert. Die Website bietet auch eine Schlichtung für etwaige Streitfälle in Transaktionen an. Darüber hinaus scheint die Website über einen zugehörigen Chatroom und Telegrammkanal zu verfügen. Es scheint keinen Website-Administrator zu geben; im Chatroom gibt es jedoch ein Mitglied mit dem Benutzernamen „管理员“, dem chinesischen Wort für „Administrator“.
Abbildung 4: Die Landingpage für Tengu Market (Quelle: Tengu Market)
Chang'An Schlaflose Nacht
Der früheste Beitrag zu Chang’An Sleepless Night stammt aus dem Dezember 2021. Die Registrierung für den Marktplatz ist kostenlos und die Einträge sind in die folgenden Kategorien unterteilt:
- Bezahlte Werbung: einige Einträge mit einer Aufforderung zum Kauf von Einkaufs- und Glücksspieldaten
- Daten: Verschiedene gestohlene Daten, darunter PII, geschützte Gesundheitsinformationen (PHI), Kredit- und Einzelhandelsdaten und mehr
- Videos: Inhalte für Erwachsene
- Technische Fähigkeiten: Hacking-Techniken, Social Engineering, Betrugssysteme und mehr
- Carding und CVV: Carding-Material und Tutorials
- Physische Gegenstände: Sätze von 4 IDs für den Zugriff auf Bankkonten (Standard für den Zugriff in China), Medikamente und mehr
- Dienstleistungen: Hacking, Geldwäsche und andere illegale Dienstleistungen
- Private Transaktionen: Private Transaktionen zwischen registrierten Benutzern
- Virtuelle Gegenstände: Durchgesickerte Datenbanken, Kontoanmeldeinformationen, Vorlagen für gefälschte Dokumente und mehr
- Sonstiges: Verschiedene Tutorials und Betrügereien
Zum Zeitpunkt dieses Berichts standen mehr als 1.600 Artikel zum Verkauf, die in US-Dollar und BTC gelistet waren. Einige Artikel sind auch in Tether (USDT) und Ethereum (ETH) gelistet. Eine Verkaufsanzeige enthält Informationen wie die Anzahl der verkauften Artikel, die Anzahl der Aufrufe, den Benutzernamen des Verkäufers und wann der Verkäufer das letzte Mal online war. Der Marktplatz bietet einen Treuhandservice an und von Transaktionen außerhalb der Website wird abgeraten. Wenn ein gekaufter Artikel 3 Tage nach der Zahlung nicht versendet wird oder wenn es nach der Transaktion zu einem Streitfall kommt und der Verkäufer innerhalb von 3 Tagen nicht reagiert, kann der Käufer die Transaktion aussetzen, während er den Administrator benachrichtigt. Nach der Überprüfung durch den Administrator werden dem Käufer die Kosten der Transaktion erstattet und der Artikel offline genommen. Ein bestimmter Prozentsatz des Transaktionserlöses wird als Bearbeitungsgebühr für die Website-Wartung abgezogen. Der offizielle Telegrammkanal des Marktes ist @cabyc und der Administrator kann anonym über den Nachrichtendienst auf der Website oder über Telegram unter @ganmao kontaktiert werden.
Abbildung 5: Die Landingpage für Chang'An Sleepless Night (Quelle: Chang'An Sleepless Night)
Nachfolgend finden Sie einige Beobachtungen zu den neuen Entwicklungen am Devisenmarkt seit unserem letzten Bericht.
Stärkere Konkurrenz durch chinesische Bedrohungsakteure auf dem Devisenmarkt
Das Jahr 2022 erwies sich für chinesische Bedrohungsakteure als beliebtes Jahr, um gegen den bekannten chinesischen Bedrohungsakteur „302513“ anzutreten, der auf dem Exchange Market eine mäßige Glaubwürdigkeit genießt und seit dem Relaunch des Exchange Market im vierten Quartal 2019 mehr als 100 Posts zu durchgesickerten Daten mit Auswirkungen auf internationale Unternehmen veröffentlicht hat. 302513 hat in seinen Auflistungen angegeben, dass bereits Anzeigen gegen mehr als ein Dutzend Verkäufer erstattet wurden und dass diese Verkäufer die Daten, die sie von 302513 gekauft haben, wiederverwenden und weiterverkaufen. 302513 behauptet, dass andere Datenbankverkäufer einfach neue Angebote erstellt und die Datenbanken auf der Exchange Market-Plattform weiterverkauft hätten.
Wir haben festgestellt, dass es auf dem Exchange Market keine Vorschriften gibt, die gegen Personen vorgehen, die die in den Auflistungen der Plattform enthaltenen Datensätze neu verpacken und weiterverkaufen. Der Plattform fehlt ein Schutzmechanismus für Verkäufer wie 302513, was den finanziellen Gewinnen langjähriger Datenbankverkäufer schadet. Eine solche Beobachtung zeigt auch, dass sich Exchange Market langsam zu einer bekannteren Plattform für chinesischsprachige Bedrohungsakteure entwickelt, auf der sie ihre Datenbankeinträge vermarkten können. Wir gehen davon aus, dass sich im Laufe der Zeit mehr finanziell motivierte Bedrohungsakteure dem Exchange Market anschließen und Datenbanken verkaufen werden, die mehrere Länder und Branchen betreffen.
Abbildung 6: Der Exchange Market-Verkäufer 302513 beschwert sich über andere chinesische Bedrohungsakteure, die die Daten von 302513 recyceln und auf dem Exchange Market weiterverkaufen. Der Bedrohungsakteur hat Anzeige gegen mehr als ein Dutzend Verkäufer erstattet (Quelle: Exchange Market)
Chinesischsprachige Telegram-Kanäle widmen sich der Cyberkriminalität
Wie bereits erwähnt, sind einige der zu den Darknet-Marktplätzen gehörenden Telegram-Kanäle auch dann noch aktiv, wenn diese Marktplätze offline gegangen sind. Mittlerweile gibt es viele unabhängige chinesischsprachige Kanäle, die sich mit Carding, Betrug, Datenlecks und anderen illegalen Aktivitäten beschäftigen. Während auf manchen dieser Kanäle Werbung zunächst nicht gestattet ist, werden viele Kanäle – insbesondere solche, die mit Darknet-Marktplätzen in Verbindung stehen – mit der Zeit offenbar von Werbung überschwemmt. In den folgenden Tabellen sind einige der Telegram-Kanäle aufgeführt, die mit Dark-Web-Marktplätzen verbunden sind sowie Kanäle, die unabhängig davon operieren. Der Charakter dieser öffentlich zugänglichen Kanäle erklärt sich größtenteils aus ihrem Namen. Weitere Informationen werden bei Bedarf im Abschnitt „Hinweise“ aufgeführt.
Mit dem inzwischen nicht mehr existierenden Tea Horse Road Market verbundene Telegrammkanäle
Name der Gruppe | Mitgliedschaft | Anmerkungen |
茶马古道【数据交流】(Tea Horse Road [Datenaustausch]) @Tea_group1 |
4.093 Abonnenten | |
茶马古道【黑产交流】(Tea Horse Road [Schwarzmarktbörse]) @Tea_group2 |
2.060 Abonnenten | |
茶马古道【担保交易】(Tea Horse Road [Escrowed Transactions]) @Tea_group3 |
7.037 Abonnenten | Behauptet, Treuhandgeschäfte durchzuführen und verbietet Werbung und Chatten |
茶马古道【账号交流】(Tea Horse Road [Kontoaustausch]) @Tea_group4 |
2.429 Abonnenten | Sets mit 4 IDs, QQ-Konten, WeChat-Konten, AliPay-Konten und mehr |
茶马古道【查档定位】(Tea Horse Road [Suchen und Lokalisieren]) @Tea_group5 |
2.279 Abonnenten | Zur Durchführung von Online-Recherchen |
茶马古道【技术交流】(Tea Horse Road [Technischer Austausch]) @Tea_group6 |
1.969 Abonnenten | |
茶马古道会员群【会员专属】(Tea Horse Road [Nur für Mitglieder]) @Tea_vip |
3.055 Abonnenten | Eine Gruppe für angeblich verifizierte Mitglieder von Tea Horse Market |
茶马古道【暗网综合】(Tea Horse Road [Dark Web Comprehensive]) @Cmsvip |
9.638 Abonnenten | Von Telegram als Betrugskanal markiert |
Tabelle 1: Mit Tea Horse Road Market verbundene Telegram-Kanäle (Quelle: Telegram)
Mit dem inzwischen aufgelösten Loulan City Market verbundene Telegrammkanäle
Name der Gruppe | Mitgliedschaft | Anmerkungen |
楼兰城-暗网楼兰城-暗网交易资源 (Loulan City – Dark Web Loulan City – Dark Web Exchange Resource) @uQJifwRpZ |
14.797 Abonnenten | |
楼兰暗网 OTC/USDT 担保交易所 (Loulan Dark Web OTC/USDT Escrow Exchange) @loulananwang |
8.190 Abonnenten |
Tabelle 2: Mit Loulan City Market verbundene Telegram-Kanäle (Quelle: Telegram)
Mit dem nicht mehr existierenden 668-Markt verbundene Telegrammkanäle
Name der Gruppe | Mitgliedschaft | Anmerkungen |
668 暗网商城 |综合|担保 (668 Dark Web Market | Umfassend | Escrow) @RR668 |
13.446 Abonnenten |
Tabelle 3: Mit 668 Market verbundener Telegrammkanal (Quelle: Telegram)
Mit dem (aktiven) FreeCity-Markt verbundene Telegrammkanäle
Name der Gruppe | Mitgliedschaft | Anmerkungen |
暗网自由城自由交易 (Dark Web Free City Free Exchange) @Freecityescrow |
1.298 Abonnenten | Administrator ist @freecityadmin |
暗网自由城官方担保交易市场 (Dark Web Free City Official Escrow Exchange Market) @freecitysocial |
5.545 Abonnenten | |
自由城暗网 教程 (Kostenlose City Dark Web Tutorials) @Freecitystudy |
1.260 Abonnenten | |
自由城骗子曝光 (Free City-Betrüger entlarvt) @Freecityexpose | 226 Abonnenten | |
暗网自由城市场 咸鱼 小姐 资源 社工库 四套件 (Dark Web Free City Market, Salted Fish, Girls, Ressourcen, Social Engineering-Datenbanken, Sätze mit 4 IDs) @Freecitysocial101 | 3.420 Abonnenten |
Tabelle 4: Mit dem FreeCity Market verbundene Telegram-Kanäle (Quelle: Telegram)
Mit der (aktiven) Chang'An Sleepless Night verbundene Telegrammkanäle
Name der Gruppe | Mitgliedschaft | Anmerkungen |
Cabyc 长安不夜城 暗网担保交易 防诈骗 绝对可靠 (Cabyc Chang'An Sleepless Night Dark Web Escrow Exchange, verhindert Betrug, absolut zuverlässig) @cabyc |
5.212 Abonnenten | Administrator ist @ganmao |
暗网担保交易 长安不夜城 官方频道 (Dark Web Escrow Transactions Chang'An Sleepless Night Official Channel) @cabycout |
397 Abonnenten |
Tabelle 5: Mit Chang'An Sleepless NIght verbundene Telegram-Kanäle (Quelle: Telegram)
Beispiele für unabhängige, chinesischsprachige, betrugsbezogene Telegram-Kanäle
Name der Gruppe | Mitgliedschaft | Anmerkungen |
扫号器 数据库 破解 数据 密正 撞库 (Scanner, Datenbanken, Cracking, Daten, Wörterbuchangriffe) @Saohaoqipojie |
6.065 Abonnenten | Administrator @jmpojie, VIP-Gruppe erfordert kostenpflichtige Mitgliedschaft |
暗中帝国国际网赚 (Dark Empire International Online Money Making) @anzhongdiguoxiangmu |
4.522 Abonnenten | |
加特林梳理 更新早知道 (Jia Te Lin Carding, der als Erster die Updates erfährt) @cvvhv |
8.016 Abonnenten | Ein beliebter chinesischsprachiger Carding-Kanal, Admin @jiate |
数据-CVV-邮箱-12606,黑产交流与交易 (Data-CVV-Email-12606, Black Market Exchange and Transactions) @shuju1 |
6.693 Abonnenten | |
Deep 暗网 tor 洋葱浏览器黑市外围灰产防骗举报投诉交易所 (Deep Dark Web Tor Browser Black Market Outside Grey Market Anti-Scam Reporting Exchange Market) @xxdeep |
6.178 Abonnenten |
Tabelle 6: Beispiele einiger unabhängiger, chinesischsprachiger Telegram-Kanäle zum Thema Cyberkriminalität (Quelle: Telegram)
China/Taiwan-bezogene Beiträge in englisch- und russischsprachigen Foren
Zusätzlich zu den bereits erwähnten chinesischsprachigen Darknet-Marktplätzen werden kompromittierte Daten und Zugänge mit Bezug zu China und Taiwan häufig in erstklassigen und mittelgroßen Spezialzugangsforen wie Exploit Forum und BreachForums von etablierten Bedrohungsakteuren beworben und verkauft, die auf solche Verkäufe spezialisiert sind. Einige dieser Bedrohungsakteure scheinen rein finanziell und opportunistisch motiviert zu sein, während andere offenbar ideologisch motiviert sind. Ransomware-Akteure verlassen sich auf die Verwendung kompromittierter gültiger Anmeldeinformationspaare, um Fernzugriff auf kompromittierte Netzwerke zu erhalten und ihre Angriffe zu starten. Da sich immer mehr Unternehmen der Bedrohung durch Ransomware bewusst sind und der Datensicherheit mehr Aufmerksamkeit schenken, haben Ransomware-Banden ihre Ziele erweitert und konzentrieren sich nicht mehr primär auf Organisationen im Westen. So hatte etwa die für ihre Produktivität berüchtigte LockBit Gang vor Kurzem in China und Taiwan mehrere Opfer gefordert. Nachfolgend finden Sie eine Liste mit Daten und Erstzugriffsangeboten, die kürzlich im Darknet oder in Quellen mit speziellem Zugriff veröffentlicht wurden.
Bedrohungsakteur | Informationen |
„0b0ltus“ | Am 3. Januar 2022 verkaufte 0b0ltus, ein Mitglied des inzwischen aufgelösten Mittelklasse-Forums Raid Forums, 2,4 Millionen Krankenhausakten (Stand 2021) eines oder mehrerer nicht näher bezeichneter Krankenhäuser mit Sitz in China, die die folgenden personenbezogenen Daten enthielten: vollständige Namen (Chinesisch), Telefonnummern, Arztinformationen (Identifikationsnummern, Namen, Standorte usw.) und Diagnosedaten. Die Datenbank kostet 600 US-Dollar und der Bedrohungsakteur nutzt Telegram (@ob0ltus), Jabber (0b0ltus@conversations[.]im) und E-Mail (0b0ltus@protonmail[.]com) als Kontaktpunkte. Die Glaubwürdigkeit von 0b0ltus ist hoch: Der Betreiber hat seit seiner Registrierung im Forum im November 2019 33 Threads verfasst und verfügt über einen positiven Reputationswert von 177. |
„kelvinsicherheit“ | Am 13. Oktober 2022 verkaufte kelvinsecurity, ein Mitglied der mittelgroßen BreachForums, eine E-Mail-Datenbank mit 10.000 Datensätzen im Zusammenhang mit Da Ai Television (daai[.]tv), einem taiwanesischen Fernsehsender. Zu den kompromittierten Informationen zählen die vollständige E-Mail-Datenbank sowie E-Mail-Adressen und Passwörter der Benutzer. Der Bedrohungsakteur hat keinen Preis offen genannt und nutzt Telegram (@PoCExploiter) als Hauptkontaktpunkt. Die Glaubwürdigkeit von Kelvinsecurity ist hoch: Der Betreiber hat seit der Registrierung seines Kontos im März 2022 131 Threads und 164 Posts verfasst. Der Account hat im Forum 495 Empfehlungen erhalten. |
„Gegen den Westen“ | Am 5. September 2022 [berichtete](https://www.bleepingcomputer.com/news/security/tiktok-denies-security-breach-after-hackers-leak-user-data-source-code) BleepingComputer, dass TikTok die jüngsten Behauptungen zurückgewiesen habe, es sei von der Hackergruppe „AgainstTheWest“ gehackt worden, und behauptete, der offengelegte Quellcode und die offengelegten Daten hätten „völlig keinen Bezug“ zum Unternehmen. Am 3. September 2022 startete AgainstTheWest – eine Organisation, die in der Vergangenheit bereits ungeheuerliche Hackerangriffe auf Ziele in China, Russland und anderen Ländern, die gegen westliche Interessen gerichtet waren, durchgeführt hatte – einen Thread auf BreachForums, in dem sie behauptete, sowohl TikTok als auch WeChat gehackt zu haben, und Screenshots angeblicher Datenbanken beider Unternehmen anbot. TikTok bestritt, gehackt worden zu sein und behauptete, der auf BreachForums geteilte Quellcode sei nicht Teil seiner Plattform und deutete an, dass die durchgesickerten Benutzerdaten durch Scraping erlangt werden könnten. Inzwischen hat WeChat keine Antwort auf die Hacker-Vorwürfe gegeben. Am 6. September 2022 wurde AgainstTheWest von pompompurin, dem Administrator des Forums, aus den BreachForums verbannt, weil der Verstoß nicht ordnungsgemäß untersucht wurde. |
„Minori“ (dt.: Minderjährige) | Am 5. Januar 2022 verkaufte Minori, ein Mitglied der inzwischen aufgelösten Raid Forums, interne Quellen (SRCs), Dateien, Schwachstellenberichte und andere interne Daten der in China ansässigen Unternehmen China Telecom, China Mobile, China Netcom und CHINANET. Der Bedrohungsakteur fügte Screenshots und eine Liste von Projekten der in den Daten enthaltenen Unternehmen bei, die für 350 US-Dollar in Monero (XMR) verkauft werden. Der Bedrohungsakteur verwendet XMPP (minori@0day[.]la) und Telegram (@reckendheck) als primäre Kommunikationsmethoden. Die Glaubwürdigkeit von Minori ist hoch: Der Benutzer hat sich im Januar 2021 registriert und verfügt nach der Erstellung von 56 Threads im Forum über einen positiven Reputationswert von 1250. |
„Warma2022“ | Am 12. August 2022 verkaufte Warma2022, ein Mitglied der mittelgroßen BreachForums, 28 Millionen Datensätze mit Informationen von Medizinern (Ärzten, Krankenschwestern und Studenten) von haoyisheng[.]com und cmechina[.]net Websites, einschließlich Telefonnummern, Anmeldenamen, Passwörtern, E-Mail- und Postadressen, Profilbildern und mehr, für 2.600 $. Der Bedrohungsakteur hat Jabber aufgeführt (warma@rows[.]im) als Anlaufstelle. Die Glaubwürdigkeit von Warma2022 ist gering: Der Betreiber hat seit seiner Registrierung im August 2022 vor diesem keine Beiträge verfasst und scheint zum Zeitpunkt dieses Berichts aus dem Forum verbannt worden zu sein. |
"Orangenkuchen" | Am 23. Mai 2022 versteigerte orangecake, ein Mitglied des hochrangigen Forums Exploit, VPN- und RDP-Zugang an ein nicht näher genanntes Unternehmen in Taiwan, das auf die Produktion von Arzneimitteln und Medizinprodukten spezialisiert ist und einen Jahresumsatz von 99 Millionen US-Dollar erzielt. Der Startpreis beträgt 700 $ oder es ist ein Sofortkauf für 1.000 $ möglich. Die Glaubwürdigkeit von orangecake ist hoch: Der Betreiber hat seit der Registrierung seines Kontos im September 2021 21 Threads und Posts verfasst. Das Konto hat im Forum 9 Empfehlungen von zahlreichen bekannten Bedrohungsakteuren erhalten und weist mehrere Verkaufszahlen auf. |
„Zirotschka“ | Am 13. Mai 2022 versteigerte zirochka, ein Mitglied des hochrangigen Forums Exploit, RDP-Zugriff mit lokalen Administratorrechten an ein nicht näher genanntes chinesisches Unternehmen mit einem Jahresumsatz von etwa 12 Millionen US-Dollar. Laut dem Bedrohungsakteur verfügt das lokale Netzwerk über etwa 17 Geräte und über 8,5 TB an Daten, die exfiltriert werden können. Der Startpreis beträgt 50 $ oder es ist ein Sofortkauf für 70 $ möglich. Die Glaubwürdigkeit von zirochka ist hoch: Der Betreiber hat seit der Registrierung seines Kontos im Juli 2016 56 Threads und Posts verfasst. Das Konto hat im Forum 4 positive Bewertungen erhalten und viele angegebene Verkäufe verzeichnet. |
„DeinAnonWolf“ | Am 20. Juni 2022 verkaufte YourAnonWolf, ein Mitglied der mittelgroßen BreachForums, eine durchgesickerte Datenbank von ChungHwa Telecom, dem größten Telekommunikationsunternehmen Taiwans. YourAnonWolf behauptete, die Datenbank sei vom Bedrohungsakteur „SiegeSec“ gehackt worden und sei zwischen 3 und 4 GB groß, einschließlich Datenbanken, Quellcodes, Dokumenten und internen Benutzerinformationen. Der Beitrag enthielt den Telegramm-Handle von SiegeSec (@SiegeSec) als Kontaktpunkt. Die Glaubwürdigkeit von YourAnonWolf ist mittelmäßig: Der Betreiber hat seit der Registrierung seines Kontos im März 2022 12 Threads und Posts verfasst und verfügt über einen Reputationswert von 31. |
Tabelle 7: Bedrohungsakteure verkaufen Datenbanken und Erstzugriffe chinesischer und taiwanesischer Unternehmen in Mid-Tier-Foren (Quelle: Recorded Future)
Betrügereien, die nur im chinesischen Cybercrime-Ökosystem vorkommen
Für diesen Abschnitt haben wir von chinesischen Cyberkriminellen verübte Cyberkriminalität untersucht. Dazu zählen etwa illegale Kreditvergabepraktiken an chinesische und nicht-chinesische Interessenten mit exorbitanten Zinssätzen, die Durchführung von Spearphishing-Angriffen auf ausländische Personen, Krypto-Liebesbetrug und der Betrug an chinesischen Staatsangehörigen mit Sitz außerhalb Chinas. Wir untersuchten einige der ungewöhnlicheren Betrugsfälle, die von chinesischen Bedrohungsakteuren verübt wurden, und stellten fest, dass es in fast allen Fällen neuartige Möglichkeiten gab, PII-Daten zu verwenden, die verkauft und über cyberkriminelle Quellen in Umlauf gebracht wurden. Wir haben Beweise dafür gefunden, dass Bedrohungsakteure kompromittierte personenbezogene Daten als Waffe eingesetzt haben, indem sie ausgeklügelte Social-Engineering- und Spearphishing-Systeme entwickelt haben, bei denen sie sich als chinesische Beamte und bekannte Unternehmen ausgeben, um Einzelpersonen innerhalb und außerhalb Chinas zu betrügen.
Illegale Kreditvergabepraktiken in China und Verbindungen zum Dark Web
Im März 2021 berichtete die South China Morning Post, dass ein kriminelles Kreditsystem im Wert von mehreren Milliarden Dollar in China 89 Todesopfer forderte. Das System lockte Menschen in illegale Kreditverträge, die zu jährlichen Zinseszinsen von bis zu 5.214 Prozent führten. Ein Mann lieh sich Berichten zufolge 2.000 Yuan (305 Dollar), bevor er in einem Teufelskreis der Kredithaie schließlich 700.000 Yuan (107.000 Dollar) schuldete. Eine nicht lizenzierte Geldverleiherbande unter der Führung eines Mannes namens Wang Tao schloss zwischen März 2018 und März 2019 3,36 Millionen Verträge mit 475.000 Menschen ab. Das illegale Geschäft lockte ahnungslose Kreditnehmer mit attraktiven Konditionen wie „sieben Tage zinsfrei“ oder „niedrige Zinssätze, schnelle Kredite“ in Verträgen, die oft jährliche Zinssätze zwischen 1.303 Prozent und 5.214 Prozent zur Folge hatten, wenn der Kreditnehmer seine Schulden nicht schnell zurückzahlen konnte. Die Bande beauftragte außerdem 24 Inkassounternehmen, die Opfer und deren Familienangehörige gegen Provision schikanierten, bedrohten und einschüchterten. Den Behörden zufolge führte diese Einschüchterung unmittelbar dazu, dass einige Opfer Selbstmord beging.
Wir haben auf Darknet-Marktplätzen Hinweise darauf gefunden, dass Bedrohungsakteure die personenbezogenen Daten chinesischer Personen mit Kreditproblemen verkauft haben und dass es sich bei den Käufern dieser Daten höchstwahrscheinlich um Kredithaie handelt. Wir haben festgestellt, dass diese Art von Informationen wahrscheinlich von einer Kreditauskunftei gestohlen werden und dazu verwendet werden können, Menschen mit Kreditproblemen auszunutzen.
Der chinesische Markt für „Jetzt kaufen, später bezahlen“ (BNPL) wächst, doch er bringt auch Nachteile mit sich, beispielsweise übermäßige Ausgaben (die dazu verleiten, mehr auszugeben als geplant) und die Tatsache, dass die Dienstanbieter bei verspäteter Zahlung hohe Gebühren erheben. Manche Personen haben möglicherweise Schwierigkeiten, ihren Zahlungsverpflichtungen nachzukommen und fallen möglicherweise auf illegale Online-Kreditsysteme herein, weil diese Art personenbezogener Daten im Darknet verkauft werden.
Art der personenbezogenen Daten | Informationen |
Personen mit Kreditproblemen | Am 15. September 2022 listete „599731“, ein Mitglied von Exchange Market, eine Datenbank mit mehr als 120.000 Datensätzen chinesischer Bürger auf, deren Bankkredit in Höhe von 39 US-Dollar abgelehnt wurde. Obwohl der Bedrohungsakteur die Datenquelle nicht preisgab, enthalten die von ihm geteilten Beispiel-Screenshots die folgenden Datenfelder: vollständige Namen, Ausweisnummern, Mobiltelefonnummern, Städte, in denen die Bank tätig ist, und Gründe für die Ablehnung von Kreditanträgen durch die Bank. |
Personen, die Käufe über Ratenzahlungspläne tätigen | Am 22. September 2022 listete „724984“, ein Mitglied von Exchange Market, eine Datenbank mit mehr als 3.400 Datensätzen von Benutzern von Fenqile (fenqile[.]com) auf. für 25 $. Fenqile ist eine chinesische Plattform, die den Kauf über Ratenzahlungspläne erleichtert. Der Bedrohungsakteur behauptet, die Daten durch SMS-Hijacking gestohlen zu haben. Die Beispieldaten zeigen auch die 6-stelligen Einmalkennwortnummern (OTP), die Benutzer eingeben müssen, bevor sie sich bei der Fenqile-Plattform anmelden. Die vom Bedrohungsakteur geteilten Beispiel-Screenshots enthalten die folgenden Datenfelder: 6-stellige OTP-Codes, die für die Anmeldung erforderlich sind, Telefonnummern und physische Adressdaten (Bundesstaat und Stadt). Die Glaubwürdigkeit von 724984 ist mittelmäßig: Der Bedrohungsakteur hat seit Anfang August 2022 mehr als 100 Postings auf dem Exchange Market getätigt. |
Tabelle 8: Arten von personenbezogenen Daten, die wahrscheinlich zur Entwicklung von Betrügereien beitragen, die auf finanziell gefährdete Personen abzielen (Quelle: Recorded Future)
Derartige PII-Informationen wären für nicht lizenzierte Geldverleiher interessant, die mit dem Versprechen zinsgünstiger und schneller Kredite Kontakt zu diesen ahnungslosen Personen aufnehmen könnten. Den Syndikaten ist bewusst, dass diese Personengruppen tendenziell eher finanziell gefährdet sind, da ihnen von den Banken keine legitimen Kredite gewährt wurden oder sie für den Kauf von Waren Ratenzahlungen in Anspruch nehmen mussten. Die Kenntnis der Gründe für die Ablehnung von Bankkrediten und die hohen monatlichen Rückzahlungsverpflichtungen würde den Syndikaten auch dabei helfen, ausgefeiltere Social-Engineering-Systeme auszuhecken, um Einzelpersonen dazu zu bewegen, unrechtmäßige Bankkredite aufzunehmen, mit der Absicht, diese Personen auszubeuten und sie dazu zu bringen, exorbitante Zinsen zu zahlen.
Abbildung 7: Chinesischer Bedrohungsakteur verkauft personenbezogene Daten chinesischer Bürger mit Kreditproblemen. Die Daten enthalten vollständige Namen, Identifikationsnummern, Mobiltelefonnummern, Städte, in denen die Bank tätig ist, und den Grund für die Ablehnung von Bankkrediten. Wir gehen davon aus, dass die Daten möglicherweise von einer Kreditauskunftei in China gestohlen wurden. Ausweisnummern, Telefonnummern und vollständige Namen wurden zensiert. (Quelle: Börsenmarkt)
Abbildung 8: SMS-Datensätze werden vom chinesischen Ratenzahlungsanbieter Fenqile gestohlen (Quelle: Exchange Market)
Betrügerische chinesische Kredit-Apps zielen auf indische Staatsbürger ab und haben Verbindungen zum Dark Web
Im August 2022 berichtete der CIO der Economic Times, dass chinesische digitale Kredit-Apps eine Lücke in den regulatorischen Richtlinien ausnutzten, um indische Kunden zu täuschen, indem sie Partnerschaften mit bestehenden Nichtbanken-Finanzunternehmen (NBFC) eingingen. Da es unwahrscheinlich war, dass diese „Fintech“-Unternehmen neue NBFC-Lizenzen von der Reserve Bank of India erhalten würden, konspirierten chinesische Digitalkreditunternehmen mit bestehenden NBFCs, um Kreditaktivitäten im großen Stil durchzuführen. Die indischen Behörden stellten fest, dass verschiedene Fintech-Unternehmen in Zusammenarbeit mit der NBFC Wucherkredite vergeben, überhöhte Zinsen verlangt, hohe Strafen für verspätete Zahlungen verhängt, illegal operiert und rigorose Eintreibungsstrategien angewandt haben. Diese chinesischen Apps beantragten die Erlaubnis, auf die Kontakte der Opfer zuzugreifen, die das Unternehmen später für allerlei Erpressungsversuche verwendete. Den Kreditnehmern wurden exorbitante Bearbeitungsgebühren und Zinsen berechnet, was viele Menschen in hohe Schulden trieb und einige Opfer sogar in den Selbstmord trieb.
Analysten von Recorded Future entdeckten Beweise dafür, dass chinesische Bedrohungsakteure gezielt personenbezogene Daten von Kunden von Paytm, einem indischen Unternehmen für digitale Zahlungen und Finanzdienstleistungen, ins Visier genommen und gestohlen haben. Die Datensätze indischer Staatsbürger könnten an die oben beschriebenen betrügerischen chinesischen Digitalkreditunternehmen verkauft werden, die die Daten nutzen könnten, um mit in der Datenbank gefundenen Personen Kontakt aufzunehmen und ihnen im Rahmen von Phishing- und Smishing-Kampagnen Digitalkredite anzubieten.
Art der personenbezogenen Daten | Informationen |
PII von Benutzern des indischen digitalen Zahlungsunternehmens Paytm | Am 19. September 2022 listete 724984, ein Mitglied von Exchange Market, eine Datenbank mit mehr als 8 Millionen Datensätzen von Paytm-Benutzern für 50 $ auf. Paytm ist ein indisches Unternehmen für digitale Zahlungen und Finanzdienstleistungen. Die vom Bedrohungsakteur geteilten Beispiel-Screenshots enthalten die folgenden Datenfelder: vollständige Namen, Telefonnummern, E-Mail-Adressen, Informationen zum Bundesstaat, Informationen zum Geschlecht und Namen der Banken, die für die Verbindung mit dem Paytm-Dienst verwendet wurden. Die Glaubwürdigkeit von 724984 ist mittelmäßig: Der Bedrohungsakteur hat seit Anfang August 2022 mehr als 100 Postings auf dem Exchange Market getätigt. |
Tabelle 9: PII von Benutzern des indischen digitalen Zahlungsunternehmens Paytm, die wahrscheinlich zur Entwicklung von Kreditbetrug beitragen, der auf indische Staatsbürger abzielt (Quelle: Recorded Future)
Abbildung 9: Beispieldaten von Paytm-Benutzern, vollständige Namen, E-Mail-Adressen und Telefonnummern (zensiert) (Quelle: Exchange Market)
Chinesische Bedrohungsakteure zielen mit Spearphishing auf japanische Unternehmen ab
Im August 2022 berichtete das Infosecurity Magazine, dass japanische Kreditkartenkunden Ziel von Phishing-Angriffen waren. Das Forschungsteam von Menlo Labs analysierte eine Phishing-Kampagne, die sich an MICARD- und American Express-Nutzer in Japan richtete, und fand heraus, dass der betreffende Bedrohungsakteur potenziellen Zielen gefälschte E-Mails mit Links zu gefälschten Webseiten schickte und dabei Geofencing einsetzte, um sicherzustellen, dass nur japanische IP-Adressen auf seine Webseiten zugreifen konnten.
Wir haben Beweise dafür gefunden, dass chinesische Bedrohungsakteure auf dem Exchange Market Quellcodes für Phishing-Websites verkauft haben, die hauptsächlich auf japanische Unternehmen abzielen. Bedrohungsakteuren ist es gelungen, Phishing-Toolkits zu erstellen, die wie legitime japanische Bank-, E-Commerce- und Transport-Websites aussehen.
717451, ein Mitglied von Exchange Market, verkaufte Quellcodes von Phishing-Websites, mit denen Anmeldeinformationen und Kartenprüfwerte (CVVs) gestohlen werden konnten. Der Bedrohungsakteur listete die Phishing-Kits von Netflix, Apple UK und Orient Corporation für 20 US-Dollar, die Phishing-Kits für die Website von Amazon Japan für 50 US-Dollar und die Phishing-Kits von Ekinet für 10 US-Dollar auf. Die Glaubwürdigkeit von 717451 ist gering: Der Bedrohungsakteur hat seit seinem Beitritt zum Exchange Market im September 2022 5 Postings verfasst.
Wir gehen davon aus, dass die Bedrohungsakteure, die diese Phishing-Kits erstellt haben, über gute Kenntnisse der japanischen Sprache, Kultur, des Bankwesens, des E-Commerce und des Transportsystems verfügen. Daher besteht die Möglichkeit, dass es sich bei den Bedrohungsakteuren um in Japan lebende chinesische Staatsbürger handelt. Wir gehen davon aus, dass die Bedrohungsakteure auch weiterhin mehr Phishing-Kits entwickeln werden, um ihre Möglichkeiten für Spear-Phishing-Angriffe auf andere japanische Branchen auszuweiten, und dass ähnliche Taktiken reproduziert werden können, um andere ausländische Unternehmen anzugreifen.
Abbildung 10: Phishing-Kit zum Stehlen von Anmeldeinformationen und CVVs von Amazon Japan-Benutzern (Quelle: Exchange Market)
Betrug mit Identitätsbetrug durch chinesische Amtsträger
Im September 2022 berichtete AsiaOne, dass von Januar bis August 2022 in Singapur insgesamt 476 Betrugsfälle gemeldet wurden, bei denen die Identität chinesischer Beamter nachgewiesen wurde. Dabei entstand ein Schaden von mindestens 57,3 Millionen Singapur-Dollar. Chinesisch sprechende Bedrohungsakteure rufen in der Regel chinesische Staatsbürger an, die außerhalb Chinas leben, und geben sich dabei oft als Polizeibeamte aus. Die Betrüger bezichtigten ihre Opfer der Begehung von Straftaten und drohten ihnen häufig mit Gefängnisstrafen. Normalerweise überredeten sie die Opfer dann dazu, Geld zu zahlen, um Ermittlungen und Gefängnisstrafen zu „vermeiden“.
In der im AsiaOne-Artikel zitierten Fallstudie rief der Betrüger einen 16-jährigen chinesischen Staatsbürger in Singapur an und beschuldigte ihn, in China Gerüchte über COVID-19 zu verbreiten und an Schmuggeldelikten beteiligt zu sein. Als das Opfer die Anschuldigungen zurückwies, teilte der Anrufer ihm mit, dass seine Mutter seine persönlichen Daten möglicherweise an böswillige Akteure weitergegeben habe, die diese Verbrechen unter Verwendung seiner Identität begangen hätten, und dass die Polizei des chinesischen Festlands ihn kurz darauf für weitere Ermittlungen anrufen würde. Als die fiktive chinesische Polizei das Opfer anrief, teilte der Betrüger dem Opfer mit, dass seine Mutter in Geldwäsche verwickelt sei, und wurde gebeten, eine Geiselnahme zu inszenieren, um sie zu einem Geständnis zu bewegen. Das Opfer gab schließlich nach, filmte sich selbst als Geisel und schickte das Video an seine Mutter mit der Bitte, ein Lösegeld zu zahlen, damit das Opfer sicher nach China zurückkehren konnte.
Ein ähnlicher Fall ereignete sich im Oktober 2022, bei dem ein Universitätsprofessor aus Hongkong um fast 4 Millionen HK-Dollar betrogen wurde. In diesem Fall beschuldigte der Betrüger das Opfer, die vom Guangzhou Public Security Bureau überwachten COVID-19-Quarantänevorschriften missachtet zu haben und in einen Geldwäschefall auf dem chinesischen Festland verwickelt zu sein. Um seine Unschuld zu beweisen, musste das Opfer dem Betrügersyndikat persönliche Daten, darunter seine Kontodaten bei der Bank of China, vorlegen. Den fiktiven Ermittlern gelang es, durch Einschüchterungs- und Erpressungstaktiken innerhalb von drei Monaten insgesamt 3,84 Millionen HK-Dollar zu transferieren.
Wir sind davon überzeugt, dass diese Art von Betrug funktionieren kann, da große Mengen personenbezogener Daten verkauft werden, die manchmal die personenbezogenen Daten sowohl der Schüler als auch ihrer Eltern sowie Datensätze im Ausland lebender chinesischer Staatsangehöriger enthalten. Die folgende Tabelle zeigt einige Beispiele für den Verkauf personenbezogener Daten auf dem Devisenmarkt, die es Syndikaten möglicherweise ermöglicht haben, gezielt im Ausland lebende chinesische Bürger anzusprechen, um sich finanziell zu bereichern.
Art der personenbezogenen Daten | Informationen |
Schüler und Eltern | Am 9. September 2022 verkaufte „649795“, ein Mitglied von Exchange Market, eine Datenbank mit mehr als 1 Million Datensätzen von Eltern und Mittelschülern aus Festlandchina für 650 Dollar. Der Bedrohungsakteur behauptet, dass die Liste die Informationen von Schülern enthält, die derzeit eine Mittelschule besuchen. Die vom Bedrohungsakteur geteilten Beispiel-Screenshots enthalten die folgenden Datenfelder: vollständige Namen der Eltern, vollständige Namen der entsprechenden Schüler, Telefonnummern, Schulen, die die Schüler besuchen, Klassen und Stufen, die die Schüler besuchen. |
Wohlhabende Chinesen, die in den USA leben | Am 4. April 2022 verkaufte „628546“, ein Mitglied von Exchange Market, 15.000 Datensätze wohlhabender chinesischer Bürger, die in den USA leben, für 500 Dollar. Die vom Bedrohungsakteur geteilten Beispiel-Screenshots enthalten die folgenden Datenfelder: vollständige Namen auf Chinesisch, US-Telefonnummern, Informationen zum Geschlecht, Familienstand, Herkunftsprovinz in China, teilweise Aufenthaltsinformationen mit US-Bundesstaaten und -Städten, Informationen zum Beruf und Einwanderungsdatum. |
Im Ausland lebende chinesische Staatsbürger in Japan | Am 8. Mai 2022 verkaufte „567285“, ein Mitglied von Exchange Market, 4.000 Datensätze von in Japan lebenden chinesischen Staatsbürgern für 640 Dollar. Die vom Bedrohungsakteur geteilten Beispiel-Screenshots enthalten die folgenden Datenfelder: vollständige Namen auf Chinesisch, japanische Telefonnummern, Informationen zum Geschlecht, teilweise Wohnsitzinformationen mit japanischen Bundesstaaten und Städten, Familienstand und Berufsinformationen. |
Nukleinsäureergebnisse von in China lebenden Einwohnern | Am 5. September 2022 verkaufte „737723“, ein Mitglied von Exchange Market, eine Datenbank mit mehr als 5 Millionen Datensätzen chinesischer Bürger im Zusammenhang mit Nukleinsäuretestergebnissen (mit denen frühere COVID-19-Infektionen identifiziert werden können) für 145 Dollar. Der Bedrohungsakteur gab den Zeitraum der Nukleinsäuretests nicht bekannt und nannte keine bestimmte Provinz oder Stadt, in der die Nukleinsäuretests durchgeführt wurden. Einige Datenfelder sind unvollständig. Die vom Bedrohungsakteur geteilten Beispiel-Screenshots enthalten die folgenden Datenfelder: vollständige Namen, Nationalitäten, Telefonnummern, Ausweisnummern und Farben des Gesundheitscodes. |
Tabelle 10: Arten von PII, die wahrscheinlich zur Entwicklung von Betrügereien beigetragen haben, die auf chinesische Staatsbürger außerhalb der chinesischen Landesgrenzen abzielten (Quelle: Recorded Future)
Im September 2022 berichtete Nikkei Asia, dass chinesische Betrüger Geräte eingesetzt hätten, die Telekommunikationssignale unterbrechen und manipulieren können, wodurch sie die Anrufer-IDs ändern konnten, sodass die Opfer glaubten, sie würden Anrufe von offiziellen Nummern erhalten. Mithilfe von Massennachrichtensoftware können auch als Benachrichtigungen getarnte Textnachrichten versendet werden. Einem Bericht der in Madrid ansässigen Menschenrechtsgruppe Safeguard Defenders zufolge hat China mit verdeckten und oft illegalen Mitteln, darunter Einschüchterung, Drohungen und sogar staatlich angeordnete Entführungen, fast 10.000 im Ausland lebende Chinesen, die der Korruption und Finanzkriminalität verdächtigt werden, zur Rückkehr gezwungen. Laut einem Bericht von Safeguard Defenders vom September 2022 hat die chinesische Regierung in 30 verschiedenen Ländern, darunter den USA, mindestens 54 von der Polizei betriebene „Auslands-Polizeidienststellen“ eingerichtet . Diese Länder haben Regierungsdokumente herausgegeben, in denen es heißt, dass Verwandte in China, die der Polizei nicht dabei helfen, Opfer zur Rückkehr nach China zu „überreden“, von der Polizei untersucht und bestraft werden sollten.
Recorded Future ist davon überzeugt, dass Opfer, die auf derart raffinierte Phishing-, Smishing- oder Vishing-Betrug hereinfallen, echte Angst davor haben, von den chinesischen Strafverfolgungsbehörden wegen angeblicher Finanzverbrechen zwangsweise nach China zurückgeschickt zu werden. In einem Forbes- Artikel aus dem Jahr 2015 heißt es, dass Bestechung in China oft eine unausgesprochene Regel sei. Viele Unternehmen zahlten Bestechungsgelder oder machten Geschenke, um weiterarbeiten zu können. Wie aus einem NPR- Artikel vom März 2021 hervorgeht, ist es in China außerdem weithin bekannt, dass man sich „freikaufen“ kann. Damit ist die Bestechung chinesischer Beamter gemeint, um Einzelpersonen einer Verfolgung zu entgehen oder die Höhe der Strafe abzumildern. Chinesische Cyberkriminelle haben sich die mit Finanzkriminalität, der Bestechungskultur und der kompromittierten personenbezogenen Daten im Ausland lebender Chinesen verbundene Drohung einer Zwangsrepatriierung wahrscheinlich zunutze gemacht, um sich erfolgreich als chinesische Strafverfolgungsbeamte und Betrugsopfer auszugeben. Betrügerische Telefonanrufe sind in der Regel gut geplant und ausgeklügelt; der Betrüger kennt in der Regel wichtige persönliche Daten des Opfers, wie etwa den vollständigen Namen, die Ausweisnummer, die Privatadresse in China, die Adressen im Ausland, den Beruf sowie Informationen zu Familienmitgliedern. Der Besitz dieser Details hilft den Betrügeranrufern, ihren Opfern Angst einzuflößen und sie davon zu überzeugen, den Forderungen des Betrügers nachzugeben, da es für den im Ausland lebenden Chinesen äußerst schwierig sein kann, festzustellen, ob der Anruf von einer legitimen chinesischen Behörde stammt oder nicht.
Im Ausland lebende Chinesen werden häufig ins Visier genommen, weil man davon ausgeht, dass sie im Allgemeinen wohlhabend sind, wenn sie in Industrieländern wie den USA, Singapur, Kanada, Japan, Deutschland und anderen Ländern leben können, in denen die Lebenshaltungskosten wesentlich höher sind als in China. Viele reiche Chinesen ziehen bereits aus China in Länder wie Singapur. Grund dafür ist Chinas wachsende politische Rhetorik des „gemeinsamen Wohlstands“ und der „Verfolgung der Unternehmer“, aber auch die Reaktion auf die strengen COVID-19-Lockdowns.
Krypto-Romantikbetrug zielt auf Frauen ab
Im Juni 2022 berichtete die Financial Times, dass Krypto-Betrüger es auf liebessuchende chinesische Frauen abgesehen hätten. Dabei bauten die Betrüger Online-Romanzen auf und betrügen die Opfer anschließend um ihre gesamten Ersparnisse. Betrüger erstellen normalerweise gefälschte Websites, die die Namen echter Börsen nachahmen, wie „KrakenCoin“ und „Coinbase CCY“. Diese Websites bieten einen rund um die Uhr verfügbaren Online-Kundendienst sowie Diagramme, die die Kursschwankungen der Münzen in Echtzeit zeigen. Sie ermöglichen den ahnungslosen Frauen zunächst, einen Teil ihres Vermögens in Fiatgeld umzuwandeln, und täuschen sie so vor, als würden sie der Plattform vertrauen. Diese Art von Betrug ist auch als Schweineschlachtbetrug bekannt und betrifft sowohl Männer als auch Frauen.
Im August 2022 ordnete das CAC die Schließung von 12.000 Krypto-bezogenen Websites und Social-Media-Konten an, weil sie für Kryptowährungen geworben hatten. Social-Media-Konten mehrerer Plattformen, darunter Weibo, Baidu und WeChat, wurden geschlossen, ebenso wie 105 Websites, die Tutorials zum Kaufen, Verkaufen und Mining digitaler Assets bewarben und anboten. Das Finanzaufsichtsamt von Shenzhen warnte im Juni 2022, dass Kryptowährungen kriminelle Aktivitäten fördern und die Finanzordnung stören, und warnte Anleger davor, an illegalen Finanzaktivitäten teilzunehmen und potenziell betrogen zu werden.
Wir haben im chinesischen Darknet Hinweise darauf gefunden, dass Bedrohungsakteure über Verzeichnisse mit personenbezogenen Daten von Frauen verfügen. Betrüger, die Kryptowährungen verwenden, könnten diese Daten ausnutzen und Betrugstaktiken und -strategien entwickeln, um sie gegen die Frauen einzusetzen, deren personenbezogene Daten kompromittiert wurden.
Art der personenbezogenen Daten | Informationen |
Daten von Frauen von einer Dating-Site | Am 11. Mai 2022 bewarb „565231“, ein Mitglied von Exchange Market, 7.000 Datensätze mit PII von weiblichen Nutzern der chinesischen Dating-Website zhenai[.]com für 700 $. Das Datenfeld des vom Bedrohungsakteur geteilten Screenshots enthält Kundennamen, Mobiltelefonnummern und -anbieter, Geburtsdaten, Geschlechter, persönliche ID-Nummern, physische Adressen, Arbeitgeber und Geburtsorte. |
Chinesische Studentinnen | Am 17. September 2022 listete „751891“, ein Mitglied von Exchange Market, eine Datenbank mit mehr als 2,4 Millionen Datensätzen chinesischer Studentinnen mit Sitz in Guangdong für 300 Dollar auf. Der Bedrohungsakteur behauptet, dass die Daten erst im August 2022 beschafft wurden und dass die meisten Studierenden im Alter zwischen 19 und 25 Jahren sind, basierend auf den Daten, die an 140 Hochschulen in der Provinz Guangdong gesammelt wurden. Die vom Bedrohungsakteur geteilten Beispiel-Screenshots enthalten die folgenden Datenfelder: vollständige Namen, Geschlechter, Ausweisnummern der Schüler und Erziehungsberechtigten, Geburtsdaten, Familienstände, ethnische Zugehörigkeit, Telefonnummern, E-Mail-Adressen, Beschäftigungsstatus, Informationen zum Heimatort, Kontaktadressen und persönliche Informationen der Erziehungsberechtigten der Schüler. |
Tabelle 11: Arten von personenbezogenen Daten, die wahrscheinlich zur Entwicklung von Krypto-Liebesbetrügereien beigetragen haben, die auf Frauen abzielen (Quelle: Recorded Future)
Ausblick
Am 23. Oktober 2022 sicherte sich Präsident Xi Jinping auf dem 20. Nationalkongress eine dritte Amtszeit als Generalsekretär der Kommunistischen Partei Chinas (KPCh) und Vorsitzender der Zentralen Militärkommission (ZMK) und festigte damit seine Macht weiter. Aus Präsident Xis Rede vor den Parteikadern lässt sich schließen, dass er die Null-COVID-Politik, die bereits negative wirtschaftliche und soziale Kosten mit sich gebracht hat, konsequent umsetzen will. Angesichts der zunehmenden wirtschaftlichen Not und der hohen Jugendarbeitslosigkeit (fast 20 %) ist in China derzeit ein wachsender Trend zu Online-Betrug zu beobachten. Dabei handelt es sich insbesondere um Zehntausende gefälschte Finanzdienstleistungsanwendungen, mit denen Verbraucher zu finanziellen Vorteilen verleitet werden sollen. Mit neuen, strengeren Gesetzen wird das Land auch in Zukunft gegen derartige Aktivitäten und kriminelle Banden vorgehen. Das nachlassende Wirtschaftswachstum und die weit verbreitete Unzufriedenheit werden entrechtete Jugendliche aufgrund fehlender wirtschaftlicher Möglichkeiten wahrscheinlich in die Internetkriminalität treiben. Wir gehen außerdem davon aus, dass die Mehrheit der kleineren chinesischen Bedrohungsakteure weiterhin Cyberangriffe auf die heimischen Industrien Chinas durchführen wird, darunter auf das Gesundheitswesen sowie auf Finanz-, Regierungs- und Bildungseinrichtungen, um sich finanziell zu bereichern. Einfallsreichere Bedrohungsakteure werden ihre Cyber-Operationen ins Ausland verlagern oder sich stärker auf ausländische Daten/Zugriffe konzentrieren, um ihr Portfolio zu diversifizieren, und ausländische Cyberkriminelle für die Teilnahme an Cyber-Angriffen auf globale Unternehmen rekrutieren.
Trotz der hitzigen Rhetorik und der Warnungen kam es während des Besuchs der US-Sprecherin Pelosi in Taiwan zu keinen groß angelegten Cyberangriffen. Es kam lediglich zu DDoS-Angriffen geringeren Ausmaßes, die wahrscheinlich dem Hacktivismus der Patrioten zugeschrieben wurden. Allerdings gelobte Präsident Xi, er werde niemals auf den Einsatz militärischer Gewalt zur Übernahme der Kontrolle über Taiwan verzichten , was unweigerlich zu größeren Spannungen mit den USA und mit Taiwan führen würde. Obwohl China die Existenz eines Zeitplans für die Wiedervereinigung mit Taiwan bestritt , deuteten die jüngsten Umstrukturierungen in der militärischen Führung eindeutig darauf hin, dass der Schwerpunkt in den nächsten fünf Jahren und darüber hinaus auf Taiwan liegen wird. Allerdings werden Russlands mangelnder militärischer Erfolg bei der Invasion der Ukraine sowie die nahezu einhellige internationale Verurteilung und die Verhängung von Sanktionen im Anschluss an die Invasion China als Warnung dienen, sollte es eine militärische Invasion Taiwans in Erwägung ziehen. Wir gehen davon aus, dass es kaum zu einem militärischen Konflikt größeren Ausmaßes kommen wird, dass es jedoch wahrscheinlich zu einem Cyberkrieg kommen wird, bei dem Chinas Cyberkriegseinheiten zum Einsatz kommen und möglicherweise russische und nordkoreanische Bedrohungsakteure dabei helfen werden, für die USA und ihre Verbündeten lebenswichtige Einrichtungen – vor allem in der Halbleiterindustrie – ins Visier zu nehmen, zu stören oder zu zerstören.
Am 28. Oktober 2022 gab der chinesische Staatsrat bekannt, dass China ein nationales integriertes Big-Data-System für die Regierung aufbauen werde. Der Staat soll zudem künftig auch Informationen zu elektronischen Führerscheinen, medizinischer Versorgung, Gesundheitsfürsorge, Notfallmanagement und Kreditsystemen erhalten und diese in das Big-Data-System des Landes für integrierte Regierungsangelegenheiten integrieren. In den Augen von Cyberkriminellen ist ein integriertes Big-Data-System eine wahre Goldgrube. Wir gehen davon aus, dass Bedrohungsakteure versuchen werden, in das neue Big-Data-System einzudringen und auch andere staatliche Stellen ins Visier zu nehmen, die über sensible Daten verfügen. Außerdem werden sie Datenfusionspools nutzen, um die Datensätze zu analysieren und in kleinere Datensätze zu zerlegen, die als Waffe gegen Einzelpersonen eingesetzt werden könnten. Diese kleineren Datensätze enthalten mit hoher Wahrscheinlichkeit Informationen, die für kriminelle Banden attraktiv sind, beispielsweise für solche, die in illegale Kreditvergabepraktiken verwickelt sind, sowie für Syndikate, die Betrügereien begehen, indem sie sich als Regierungsbeamte ausgeben.
Wir glauben außerdem, dass einige chinesische Unternehmen Datensätze mit Strafregistern kaufen könnten, um vor der Einstellung von Mitarbeitern eine Hintergrundprüfung durchzuführen. Darüber hinaus besteht die Möglichkeit, dass die Daten vorbestrafter chinesischer Bürger gesammelt und auf Websites für Personen veröffentlicht werden, die an Open-Source-Hintergrundüberprüfungen interessiert sind, was sich auf die sozioökonomische Situation dieser Personen auswirken wird. Darüber hinaus besteht die Möglichkeit, dass Cyberkriminelle die Daten ehemaliger Straftäter manipulieren, indem sie in den gehackten Datensätzen gefundene Daten verändern. Dies kann negative Konsequenzen haben, beispielsweise die Aufnahme von Personen ohne Vorstrafen in Datensätze mit Daten ehemaliger Straftäter, was ihre Einstellungschancen mindert.
Das Streben der chinesischen Regierung nach einem integrierten System zur Verfolgung ihrer politischen und wirtschaftlichen Ziele wird voraussichtlich negative Konsequenzen haben. Denn es ermöglicht der Cyberkriminalität, sich weiterzuentwickeln und zu gedeihen, und immer mehr Bedrohungsakteure entwickeln neue und innovative Methoden, um PII als Waffe einzusetzen oder sogar zu manipulieren, um im Falle künftiger Datenschutzverletzungen die Bedürfnisse anderer krimineller Banden und Organisationen zu befriedigen.
Verwandt