Hacking und Darknet - fhsg.ch

Hacking und Darknet

Vom Deepweb zu TOR

Das Netz – der grösste Teil ist unter Wasser

TOR – The Onion Router

TOR – The Onion Router

TOR – Hidden Services

Der Hidden Service annonciert 1.sich an 3 Relays mit seinem Service DescriptorDer Hidden Service meldet sich 2.bei der verteilten Datenbank (“Tor Directory”)

TOR – Hidden Services

TOR Verwenden

Spezialisierte Linux •Distributionen wie z.B. Whonix oder Tails LinuxLeiten sämtlichen Traffic via •TOR Netzwerk

Verfügen über weitere •Elemente zur Sicherung der Privatsphäre (Verschlüsselung, Löschen aller Dateien, Offline Modus, etc.)

TOR Verwenden

TOR Browser (nur der •Webtraffic ist geschützt)

Technische Gefahren

TOR Software kann Fehler •enthaltenNetzwerkdaten können «• leaken», d.h. nicht via TOR verschickt werden (z.B. DNS, IPv6)

TOR und Strafermittlung

TOR und Strafermittlung

Strafermittlung im • Darknet ist aufwändig, aber nicht unmöglichVerbrecher machen Fehler und •Hilfe dieser Fehler werden sie gefunden.

Suchen und Finden

Im Darknet gibt es keine •Suchmaschinen, die mit denen im regulären Internet vergleichbar sind. Deswegen muss man sich mithilfe •von Links von Seite zu Seite hangeln.

Übersichtsseiten wie diese •sammeln zahlreiche .onion-Links.

Was kann man im Darknet finden?

Fast alles, was man auch um • Clearnet finden kann

Email services

Hosting service Forums News sites E-commerce

Email-Servicesz.B. Darknet-Only-Mail

Email-Servicesz.B. Normale Mails im Darknet

Hosting Servicez.B. Bilder-Host

Forumsz.B. Darknet Forums

TOR und Erpressung

Viele • Ransomware verlangt, dass das Opfer via TOR Netzwerk und Bitcoins einen kauft.Ein Beispiel war • Torrentlocker

TOR und Erpressung

TOR und Malware - Retefe

Quelle: govcert.ch

Retefe• ist ein BankentrojanerRetefe• fokussiertsich auf die CH

Im Augenblick haben•wir mehrereWellen pro Woche

TOR und Malware – Retefe Infection Chain

Retefe• verwendet TOR für die KommunikationDie Kommunikation wird via einen •lokalen Socks Server ins TOR Netzwerk geleitet

Dies macht eine Blockierung der •Infrastruktur schwierig

TOR und Malware – Retefe Infection Chain

Quelle: welivesecurity.com

TOR und Malware – Retefe Infection Chain

Quelle: countuponsecurity.com

TOR und Malware – Retefe Kommunikation

Proxy • Pac via TOR herunterladenRedirections• von eBankingSessions via TOR NetzwerkAnleitung zur Installation •einer Mobile App. Diese dient dem Diebstahl der Mobile TANs. Man in • the Middle Angriff mit Hilfe eines Rogue CA Zertifikates

Ecommercez.B. Marktplätze

Illegale Angebote

Drogen•Waffenhandel•Pornographie•Software•Film / Music / • ebooks

• (Produkt-)FälschungenDaten• / InformationenServices (Crime as a Service)•Hacking Tools (Crime Ware)•

Auftragsmord

Quelle: https://www.scip.ch/?labs.20160114 (2016)

Einfache Login-Seite zu einem Marktplatz

Vertrauen durch Bewertungssysteme und Treuhänder

Cybercrime Inc. – Professionalisierung des Cyber Crime

80• % der Hacker arbeiten mit der organisierten Kriminalität zusammen.Cosa Nostra, • Japanische Yakuza, Chinesische Triaden, Russische Mafia, SüdamerikanischeKartelle,…

Cyberkriminalitätsorganisationen•• "businessorientiert"

gut • organisiertUnternehmensstrategien•Anonymitätsmethoden• :

Darknet•Kryptowährungen•

Carbanak Organisation

“CYBERCRIME INC.” Organisation

Verdienstmöglichkeiten

Re-Hashed: 2018 Cybercrime Statistics: A closer look at the “Web of Profit”https://www.thesslstore.com/blog/2018-cybercrime-statistics/

Cybercrime Inc. - Business model

Hacker nutzen die Vorteile von "anonymen" Diensten, um ihre "normalen" •Produkte und Dienstleistungen online zu bewerben und zu verkaufen.Einige der "Geschäftsmöglichkeiten":•

Identitätsdiebstahl•Diebstahl geistigen Eigentums•Geschäftsgeheimnisse•Wirtschaftsspionage•Sensibler Datendiebstahl•Online• -ErpressungFinanzkriminalität•Datenmanipulation•

Crime Ware Preise

Man bezahlt mindestens$ 100.000

für einen funktionierenden 0-Day iPhone Remote Exploit

Crime Ware Preise:

Autolog keylogger

Malware Trends on ‘Darknet’ Crypto-markets: Research Review: Report of the Australian National University Cybercrime Observatory for theKorean Institute of Criminology 2018

DDoS as a Service

Distributed Denial of Service•

DDoS as a Service

Distributed Denial of Service•

Schadsoftware / Ransomware as a Service

Schadsoftware / Ransomware as a Service

Hacking-as-a-Service

Ausbildung und Support

Tutorials•Sammlungen•Geräte•

Ausbildung und Support

Tutorials•Sammlungen•Geräte•

Ausbildung und Support

Tutorials•Sammlungen•Geräte•

Allgemein: Botnets as a Service

10 Steps to Cyber Security

Merkblatt Informationssicherheit für KMUs

https://www.melani.admin.ch/melani/de/home/dokumentation/checklisten-und-anleitungen/merkblatt-it-sicherheit-fuer-kmus.html

Präventive Massnahmen Ramsomware

regelmässiges Backup Ihrer Daten. Die Sicherungskopie sollte offline, d.h. auf einem •externen Medium seinStellen Sie daher sicher, dass Sie das Medium, auf welche Sie die Sicherungskopie •erstellen, nach dem Backup-Vorgang vom Computer trennen.Sowohl Betriebssysteme als auch alle auf den Computern installierte Applikationen (z. B. •Adobe Reader, Adobe Flash, Sun Java etc.) müssen konsequent auf den neuesten Stand gebracht werden.

Falls vorhanden, am besten mit der automatischen Update• -Funktion.Vorsicht bei verdächtigen E• -Mails, bei E-Mails, welche Sie unerwartet bekommen, oder welche von einem unbekannten Absender stammen.Befolgen Sie hier keine Anweisungen, öffnen Sie keinen Anhang, folgen Sie keinen Links.•Aktueller Virenschutz•Aktuelle Personal Firewall•

Massnahmen nach einemerfolgreichen Angriff

Im Falle einer Infektion empfehlen wir den Computer sofort von allen Netzwerken •zu trennen. Danach Neuinstallation des Systems und Ändern aller Passwörter.•Danach können die Backup• -Daten wieder zurückgespielt werden.Wenn kein Backup der Daten vorliegt, die verschlüsselten Daten behalten und •sichern, damit Sie sie allenfalls später noch entschlüsseln können, sollte hierzu eine Lösung gefunden werden.In jedem Falle empfiehlt MELANI den Vorfall der Koordinationsstelle zur •Bekämpfung der Internetkriminalität (KOBIK) zur Kenntnis zu bringen undAnzeige bei der lokalen Polizeidienststelle zu erstatten.•Verzichten Sie darauf, ein Lösegeld zu bezahlen•Es gibt es keine Garantie die Schlüssel für die Entschlüsselung zu bekommen•

MELANI / GovCERT kontaktieren

Via Meldeformular unter •https://www.melani.admin.ch/melani/de/home/meldeformular.htmlGovCERT• für technische Belange und via S/MIME oder PGPhttps://www.govcert.ch | [email protected]: • https://twitter.com/GovCERT_CH