Schutzgelderpressung online: Die DDOS-Pest

Bereits im Juni dieses Jahres berichtete Spiegel Online („SPON“) über eine „Abzock-Masche“, die einer Online-Schutzgelderpressung gleich kommt: Damit die eigene Webseite (z.B. ein Onlineshop) nicht durch DDOS-Attacken lahm gelegt wird, ist ein bestimmter Geldbetrag über den Umweg eines Drittanbieters zu bezahlen. Die Feststellung für den geschilderten Fall war damals:

Die Eingangs zitierte Drohmail aber ist von anderer Natur. „Natürlich“, sagt Heitmeyer, „ist nichts passiert.“ Denn offenbar geht es hier eher um das klassische Geschäftsfeld Spam: Man verschickt irgend etwas massenhaft und hofft, dass zumindest einige darauf reagieren. Da Spam-E-Mailversand so gut wie kostenlos ist, lohnt sich die Sache schon, wenn man nur einige Male Erfolg hat.

Wir und betroffene Kunden, die solche E-Mails erhalten haben, können leider aus eigener Erfahrung gegenteiliges berichten. So auch in einem aktuellen Fall, bei dem der Kunde eine dem „SPON“-Artikel entsprechende E-Mail erhalten hat und dessen Webseite daraufhin tatsächlich durch massenhafte Seitenaufrufe überlastet wurde. Erst der Umzug auf einen dedizierten Server („Überlastungsschutz“) konnte das Problem eindämmen. Da die überlastenden Aufrufe – zumindest auf die Schnelle – auch nicht von „normalen“ Besuchern zu unterscheiden waren,  kam eine Filterung des unerwünschten Datenverkehrs leider nicht in Betracht.

Die erste Nachricht der Täter lautete wie folgt:

Betreff: Downtime ihres Shops!

Sehr geehrter Shop-Admin,

am 18.10.2010 werden wir Ihren Shop für mehrere Stunden unerreichbar für Sie und Ihre Kunden machen.

Dies hat folgenden Grund: Wir werden Ihren Online Shop mit einfachen DDoS attackieren, so dass weder Sie, noch Ihre Kunden Zugriff auf Ihre Webseite, geschweige denn auf den Server haben. Dies wird nur ein kleiner Testlauf damit Sie sehen, wie ernst es uns ist!

Wir bieten Ihnen hiermit die Option an, weder die Testattacke noch den folgenden DDoS zu bekommen indem Sie bis morgen 500 Euro in Form eines Ukash Vouchers (an jeder Tankstelle zu erhalten) uns via eMail, an die angegebene E-Mail Adresse (ddos@********.cc) senden. Informationen über Ukash finden Sie auch auf http://www.u****.com oder an Ihrer Tankstelle.

Sollte bis morgen 11:45 Uhr kein U**** Code eingegangen sein, so werden wir den DDoS-Angriff starten, anfangs nur für einen relativ kurzen Zeitraum. Falls Sie nicht zahlen wird Ihr Service aber für längere Zeit offline bleiben was ihren Umsatz wohl stark sinken lassen wird.

Mit freundlichen Grüßen

ddos@********.cc

Der angegebene Zahlungsanbieter ist übrigens mit dem bei „SPON“ genannten identisch; auch im gestern hier veröffentlichten Fall kam der gleiche Dienstleister zum Einsatz. Dies wirft die Frage auf, ob das laut Whois- und Kontaktangaben in Großbritannien beheimatete Unternehmen, dessen Gutscheine z.B. anonym an deutschen Tankstellen erhältlich sind, genügend gegen den Missbrauch seiner Dienste unternimmt.

Nach der Attacke wurde unser Kunde jedenfalls erneut kontaktiert:

Sehr geehrter Shop-Admin,

Da von ihnen kein Ukash-Code an meine E-Mail einging haben wir wie bereits angekündigt am 18.10.2010 ihren Shop einer mehrstündigen DDOS-Attacke ausgesetzt.

Sollte am 19.10 bis 11:45 Uhr kein Ukash-Code in Höhe von 500€ eingegangen sein wird ihr Shop erneut von uns für mehrere Stunden angegriffen und somit ihren Kunden nicht zur Verfügung stehen. Dieser Zeitraum erhöht sich mit jeden weiteren Tag ohne Zahlungseingang bis ihr Shop 24 Std am Tag nicht für Kunden erreichbar ist. Die daraus resultierenden finanziellen Folgen sollten sie selbst am besten einschätzen können.

Informationen über Ukash finden Sie auch auf http://www.u****.com oder an Ihrer Tankstelle.

Mit freundlichen Grüßen

ddos@********.cc

Es ist zu befürchten, dass die Angriffe fortgesetzt werden. Natürlich stehen wir mit unserem Kunden in Kontakt und können auch anderen eventuell zukünftig betroffenen Webseitenbetreibern nur dringend raten, sich mit ihrem Hostprovider in Verbindung zu setzen. Zu viel erwarten sollte man davon jedoch nicht, da je nach Art und Intensität des Angriffs keine grenzenlose Gegenwehr möglich ist. Wie dies im schlimmsten Fall aussehen kann, hatten wir hier beschrieben. Die gestrige Situation war damit zum Glück ebenso wenig vergleichbar, wie die vielen anderen regelmäßigen Angriffe gegen unsere Kunden, bei denen wir alles tun, um Schäden und Beeinträchtigungen einzudämmen bzw. zu verhindern.

Was also kann man tun?

Letztendlich: Viel zu wenig. Zwar kann man je nach Art und Umfang der Attacke durchaus nach z.B. Auffälligkeiten suchen und über Firewall- und Filtersysteme entsprechende Filterregeln individuell erstellen. Dies ist jedoch stets ein manueller Vorgang, der mit viel Zeit und Arbeit verbunden ist. Zudem greift er nur, wenn eben Abweichungen oder Unterschiede von „echten“ Webseitenbesuchern zu erkennen sind. Aber genau das ist nicht immer der Fall. Auch (im preislich im sechsstelligen Eurobereich liegende) „Appliances“ spezialisierter Hersteller sind leider kein Allheilmittel und können nur beschränkten Schutz bieten.

Wer nun darüber nachdenkt, ob nicht die Zahlung des „Schutzgeldes“ das kleinere Übel wäre, sollte die damit verbundenen Folgen genau überdenken. Immerhin garantiert niemand, dass sich die Kriminellen nach der einmaligen Erfüllung ihrer Forderung zufrieden geben. Im Gegenteil könnte eine erste Zahlung die Gier der Erpresser überhaupt erst befeuern. Was mit 100, 250 oder 500 Euro beginnt, wird dann auf einmal zum Fass ohne Boden, an dessen Ende (wenn man irgendwann nicht mehr zahlen mag oder kann) dann eben doch ein Angriff stehen wird.

Im Übrigen kann natürlich eine Strafanzeige gegen unbekannt erstattet werden. Schaden sollte es jedenfalls wenig und vielleicht ergibt sich ja entweder im Einzelfall oder bei Gesamtschau aller gleichartigen Anzeigen ein Ermittlungsansatz.

End of article

DomainFactory

Über den Autor

DomainFactory

Als Qualitätsanbieter überzeugen wir mit HighEnd-Technologie und umfassenden Serviceleistungen. Mit mehr als 1,3 Millionen verwalteten Domainnamen gehören wir zu den größten Webhosting-Unternehmen im deutschsprachigen Raum.

7 Kommentare


  • df Reseller
    df Reseller - 19. Oktober 2010 um 14:46 Uhr

    Ihr hättet mal die Webseite nennen sollen.
    Dann hätten die Blogleser dort für eine DDOS Attacke gesorgt.
    Oder setzt doch einfach mal eine Catch-All Spam E-Mail Adresse auf deren Postfach…
    *lol*

  • Florian
    Florian - 19. Oktober 2010 um 15:16 Uhr

    Eine Frage habe ich dazu……
    Sofern der DDOS-Angreifer es ernst meint, kann ein WebShop-Betreiber seinen „Laden“ dicht machen…..oder sehe ich das falsch !?

  • Stephan
    Stephan - 19. Oktober 2010 um 16:54 Uhr

    Hallo Florian,

    auch bei einen DDoS ist man diesem nicht schutzlos ausgeliefert. Aber je nach Art und Umfang des Angriffs muss durchaus entsprechend investiert werden, um die nötigen Ressourcen vorzuhalten, mit dem Angriff umzugehen. Es gibt durchaus Unternehmen, die sich auf die Abwehr solcher Angriffe spezialisiert haben. Neben diversen Filtermechanismen wird hier aber vorallem auch die zur Verfügung stehende Bandbreite und Rechenleistung entsprechend skaliert. Hast du mehr Ressourcen als die angreifenden Rechner zusammen, hast du sicher sehr gute Chancen 😉

  • U. Klauer
    U. Klauer - 19. Oktober 2010 um 17:16 Uhr

    @Stephan: „Mehr Ressourcen“ – ja, nur: du mußt die Ressourcen kaufen, der Angreifer stiehlt sie sich zusammen (Botnetz). Der Kampf ist also recht ungleich.

  • Stephan
    Stephan - 19. Oktober 2010 um 17:27 Uhr

    … ich weiß 🙁
    DDoS ist im Internet wirklich eine Pest geworden. Ich nehme mal an, dass ein Shop nicht dauerhaft per DDoS lahm gelegt wird, wenn der Angreifer keine Hoffnung mehr drauf hat, dass das „Schutzgeld“ auch bezahlt wird. Immerhin kosten solche Botnetze auch etwas bzw. können ansonsten anderweitig vermietet werden. Aber das ist natürlich ein schwacher Trost und entsprechender Einnahmeausfall kann auch bei kürzeren Angriffen schon das Resultat sein. Das ist alles nicht zufriedenstellend.

    Im Grunde muss man das Problem an der Wurzel anpacken: die infizierten Rechner identifizieren und aus dem Botnetz ausgliedern. Aber das ist alles natürlich nicht so einfach und muss auch sinnvoll über Landesgrenzen hinweg möglich sein. Naja, mal abwarten.

  • Florian
    Florian - 19. Oktober 2010 um 19:38 Uhr

    Vielen Dank für die kurze Erklärung

  • darki
    darki - 20. Oktober 2010 um 10:38 Uhr

    Aktuell steigt die Zahl der infizierten Rechner wieder, da die Botnentzbeitreiber sich für das Weihnachtsgeschäft rüsten, glaubt man der Meldung: http://winfuture.de/news,58919.html