Cybercrime

In dem Ermittlungsverfahren gegen Kim Schmitz, aka Kim Dotcom, scheint der Wurm eine Große Anakonda drin zu sein:

• Fehlende vorgeschriebene Zustellung der Beschuldigung/Strafanzeige.
• Beschlagnahme des Vermögens fehlerhaft.
• Durchsuchungsbeschluss für das Haus in Coatesville illegal.

Über den weiteren Unfug der neuseeländischen und amerikanischen Justiz berichtet – mit weiterführenden Links und einigen Details – die Zeit.

Die Ermittlungsbehörden scheinen die Ansicht zu vertreten, wer das vermeintlich Gute vertritt, muß sich an die Spielregeln nicht halten. Oder es ist schlicht die Aroganz der Macht, die in dem Amoklauf der Strafverfolger zum Ausdruck kommt.

Es ist unwahrscheinlich, dass sich die amerikanische Behörde davon beeindrucken lässt …

ist die berechtigte Erwartung der Beobachter dieses Feldzugs.

An dieser Stelle paßt es mal wieder ganz gut, das bewährte Zitat von Rudolf von Jhering:

„Die Form ist die geschworene Feindin der Willkür, die Zwillingsschwester der Freiheit. Denn die Form hält der Verlockung der Freiheit zur Zügellosigkeit das Gegengewicht, sie lenkt die Freiheitssubstanz in feste Bahnen, daß sie sich nicht zerstreue, verlaufe, sie kräftigt sie nach innen, schützt sie nach außen. Feste Formen sind die Schule der Zucht und Ordnung und damit der Freiheit selber und eine Schutzwehr gegen äußere Angriffe, – sie lassen sich nur brechen, nicht biegen.“

Aber mit solchen Kinkerlitzchen muß sich eine Brachialbehörde wie das FBI ja nicht rumschlagen.

Diese eMail landete in unserem gut gepflegten Spam-Filter:

Der Klick auf die Bilder liefert eine vergrößerte Darstellung und führt nicht auf die Phishing-Seiten!

Einen kleinen Moment lang – ein wenig länger als sonst – habe ich über die Echtheit nachgedacht. Der Link in dieser eMail sieht – oberflächlich – ja gut aus. Schaut man aber mal unter die Haube der hmtl-Darstellung, kommt das wahre Ziel zum Vorschein: „P0STBANK.blo.pl“, das dann schon gar nicht mehr nach der guten alten Postbank aussieht.

Nebenbei:
Haben Sie gemerkt, daß das „O“ in dem Wort „P0STBANK“ gar kein „O“ ist, sondern eine „0“? Siehste!

Folgt man diesem Link – und ignoriert die Warnungen der Browser-Software, landet man auf einer Seite in Polen, die so aussieht:

Spätestens jetzt sollte der mittelmäßig wache Onlinebanker stutzig werden: Die Adresse (URL) und die Abfrage der PIN an dieser Stelle sind (weitere) sichere Indizien für die Falle, die hier gestellt wird.

Gibt man dann die Kontonummer „123456789“ und die PIN „Doof!“ ein, gelangt man auf eine Seite, die die Kreditkartendaten abfragt:

Die Eingabe irgendwelcher – aber um Himmels Willen keine korrekten – Daten führt dann zur Abmeldung:

Die Links unten auf dieser Seite führen dann wieder zur Werbung auf den Originalseiten der Postbank.

Man sollte also recht sensibel sein, wenn man per Online-Banking unterwegs ist. Die Methoden der Mandantschaft von Strafverteidigern werden immer besser! Also: Informiert die DAUs, liebe Nerds, wenn Ihr mir mein Geschäft verderben wollt!

Die Phisher können sich hier unter anderem über den Gang des Strafverfahrens informieren, das sie erwartet, wenn sie erphisht werden.

Die amerikanischen Ermittlungsbehören verweigern dem Megaupload Gründer Kim Dotcom den Zugang zu den 135 Computer, die im Januar während der Haus- und Wohnungsdurchsuchung bei ihm beschlagnahmt wurden. Die Argumente seiner Verteidiger, man brauche die Daten für die Verteidigung des Beschuldigten, dringen nicht durch.

Nagut, dann eben nicht, wird sich Kim Dotcom wohl gedacht haben. Aber dann bekommt das FBI von ihm aber auch nicht die Passwörter zu den verschlüsselten Datenträgern.

Weitere Einzelheiten zu diesem Ping-Pong-Spiel findet man auf Torrentfreak.

Was die die Herausgabe von Zugangsdaten angeht, ähneln sich die Prozeßrechte in den USA und bei uns. Die Frage, ob die Frage der Ermittler nach den Zugangsdaten beantwortet werden sollte oder gar müßte, ist hier wie dort ganz einfach zu beantworten:

Müssen muß man nicht, dürfen darf man aber; über das sollte, sollte man sich beraten lassen.

Wenn Kim Dotkom gut beraten wird – und davon gehe ich aus, wird es nun zu Verhandlungen zwischen den Verteidigern und den Ermittlern kommen. Je nachdem, was sich auf den Rechnern befindet, könnte das zu einer Pattsituation führen.

… to be continued.

Die Kriminalpolizei hat die Domain unter kino.to gesichert. Das ist bekannt. Neu ist allerdings, daß es einen weiterführenden Link auf der Seite www.kino.de gibt.

Folgt man diesem Link, bekommt man bekommen die KriPo und die GVU folgenden freundlichen Hinweis:

Gut, daß es in der Cybercrime Szene auch ehrliche Menschen gibt, nicht?

Der Telekom-Router Speedport W 921V hat wohl hinten ein offenes Scheunentor:

Ein Angreifer, der die Standard-PIN im Internet findet und ein wenig technische Erfahrung mitbringt, kommt […] ohne Weiteres in das WLAN des Speedport W 921 V.

Heise online empfiehlt daher, den Stecker zu ziehen – zumindest soweit das Funknetz betroffen ist.

Strafverteidiger sollte den Speedport im Blick halten, wenn man ihren Mandanten „was Kriminelles“ im Internet vorwirft.

Update:
Es gibt ein Update, schreibt heise online am 27.04.2012, mit dem das Tor geschlossen werden könne.

Den amerikanischen Behörden ist es wohl bisher nicht gelungen, ein sauberes Verfahren gegen Megaupload-Gründer Kim Dotcom (ehemals Schmitz), sechs Partner beziehungsweise Mitarbeiter sowie zwei ihrer Unternehmen zu führen.

Daniel AJ Sokolov berichtet auf Heise Online über die Klimmzüge der amerikanischen Justiz, die Beschuldigten vor ein amerikanisches Gericht zu bekommen.

Wie in dem Dresdner Verfahren gegen die Betreiber von kino.to bemühen die Ermittler – bislang allerdings noch ohne Erfolg – das materielle Kunstprodukt „Kriminelle Vereinigung“ (bei uns § 129 StGB) in Szene zu stellen, um andere prozessuale Maßnahmen durchsetzen zu können.

Aber auch sonst seien den Amis massive Fehler unterlaufen, die dazu führen, daß Kim Dotcom ein rechtsstaatliches Verfahren wohl eher nicht zu erwarten hat. Es ist auch in jenem Verfahren der Eindruck entstanden, die Strafverfolgung folgt eher dem populistischen Grundsatz „Das geht doch nicht! Das gehört bestraft!“ als daß es auf der Basis formellen Rechts geführt wird.

Bild: Christian Evertsbusch / pixelio.de

Nachdem die Staatsanwaltschaft nun die Logenplätze abgearbeitet hat, sind nun die angeblichen Beteiligten von den billigeren Plätzen an der Reihe:

Ermittler nehmen das Netzwerk um kino.to ins Visier. Erstmals haben deutsche Fahnder Werbedienstleister verhaftet, die für Umsatz bei dem geschlossenen Raubkopie-Verzeichnis gesorgt haben sollen. Der Vorwurf: Beihilfe zur Urheberrechtsverletzung.

berichtete Spiegel Online bereits Ende vergangener Woche.

Die erheblichen rechtlichen Probleme, die auch in dem Spiegel-Artikel angedeutet werden, geben reichlich Spielraum für eine anspruchsvolle Verteidigung. Ich bin gespannt.

Soeben hat das die 8. Große Strafkammer des Landgericht Hamburg nach 29 Verhandlungstagen das Urteil in dem ersten Verfahren gegen die Betreiber einer sogenannten „Abo-Falle“ verkündet.

Mißlungenes Ergebnis
Der Hauptangeklagte wurde zu einer Freiheitsstrafe von 3 Jahren und 9 Monaten verurteilt. Der gegen ihn am 6.2.2011 vollstreckte Haftbefehl wurde außer Vollzug gesetzt. Im übrigen gab es Freiheitsstrafen, die zur Bewährung ausgesetzt wurden, Geldstrafen und eine Verfahrens-Einstellung nach § 153a StPO.

Versuchte Verständigung
Das Ergebnis entsprach im Wesentlichen dem Vorschlag des Gerichts, der den Angeklagten bereits am 9. November 2011, im 3. Verhandlungstermin, unterbreitet wurde. Das frühe Angebot des Gerichts beruhte auf einer Anklageschrift, die in den Hauptpunkten durch verbotene Vernehmungsmethoden zustande gekommen ist (siehe dazu meine Triologie eines Kochvorgangs).

Falsche Vorwürfe
Im Laufe einer Beweisaufnahme hat sich herausgestellt, daß der Vorwurf, es seien Kostenhinweise zeitweise ausgeblendet worden, nicht zutrifft. Falsch ist auch die Behauptung der Staatsanwaltschaft, der Kostenhinweis sei durch „pseudo-lateinischen Text“ ersetzt worden. Als nicht zutreffend hat sich der Vorwurf erwiesen, die Angeklagten hätten „geklaute“ Daten in ihr System eingespeist und Rechnungen an Nutzer versandt, die die Seiten gar nicht besucht hätten.

Gelobter Verräter
Die Aussagen des Kronzeugen der Staatsanwaltschaft haben sich als nicht belastbar erwiesen; sie waren in den entscheidenden Punkten falsch. Der Kronzeuge selbst sei aber glaubwürdig, er habe ohne Belastungstendenz vorgetragen und seine Aussage sei glaubhaft. So faßte die Staatsanwaltschaft das Fertiggericht zusammen.

Handwerkliche Fehler
Nicht nur die Verbraucher, sondern auch die Angeklagten wie auch Beschuldigte, die in anderen Verfahren – z.B. in Frankfurt – auf ihre Verfahren „warten“, werden von diesem Urteil enttäuscht sein. Das Gericht hat die Chance vertan, eine juristisch saubere Aufarbeitung des rechtlich umstrittenen Themas zu leisten. Statt einer wegweisenden Pilotentscheidung liegt nun ein angreifbares Urteil vor, das niemandem nützen wird. Schlechte handwerkliche Arbeit ist nicht übertragbar auf andere Fälle.

Unerfahrene Richter
Die Kammer war besetzt durch unerfahrene Richter. Der Berichterstatter ist Richter auf Probe, die Vorsitzende Richterin und die Beisitzende Richterin waren bis kurz vor Eröffnung des Verfahren noch Richterinnen am Amtsgericht. Sie wurden „befördert“, nachdem sich im Zwischenverfahren ein Richterkarussell zu drehen begann.

Inkompetenter Sachverständiger
Der von der Staatsanwaltschaft beauftragte Sachverständige war nicht imstande, die sichergestellten Backups der Server zu re-installieren. Seine gutachterlichen Stellungnahmen im Prozeß beruhten teilweise, aber in weitem Ausmaß auf Veröffentlichungen in Boulevard-Medien, statt auf eigenen, belastbaren Recherchen.

Vergeßliche Polizeizeugen
Die beiden Polizeibeamten, die als Zeugen vernommen wurden, konnten sich an wesentliche Teile der Ermittlungen nicht erinnern; vergessen hatten sie vor allem ihre Beteiligung an dem „Kochstudio“ (s.o.).

Hilfreiche Programmierer
Dann gab es (nur) noch den Programmierer und den Layouter der Angebotsseiten; beide widerlegten die „sachverständigen“ Ausführungen dieses Gutachters.

Teure Vergleiche
Die Hauptangeklagten haben sich mit Adobe und Mozilla verglichen; beide Unternehmen hatte sich dem Verfahren als Nebenkläger angeschlossen und Adhäsionsklage erhoben. Adobe kann nun 581.294,69 € nebst Zinsen bekommen, Mozilla 100.000,00 €, aus den Geldern, die im Ermittlungsverfahren beschlagnahmt wurden.

Bedeutungslose Entscheidungen
Die Strafkammer war zu keiner Zeit bereit, sich von dem bereits zu Prozeßbeginn deutlich erkennbaren Verurteilungswillen abbringen zu lassen. Allein die Verteidigung des Hauptangeklagten hatte über 25 Beweisanträge gestellt, die allesamt abgelehnt wurden, weil sie „für die Entscheidung des Gerichts ohne Bedeutung waren“ (§ 244 III 2 StPO).

Mangelhafter Aufklärungswille
Sachverständigengutachten von Wissenschaftlern, ehemaligen Richtern und kompetenten Strafverteidigern wurden nicht in das Verfahren eingeführt, kein einziger der 68.000 Kunden („Zahler“) wurde als Zeuge geladen, auch kein Werbepartner, kein Buchalter, kein Call Center Agent, kein Banker, kein Berater, kein niemand. Eine Inaugenscheinnahme der Angebotsseiten im Original hat genauso wenig stattgefunden wie die der Werbung für die Angebote; die Buchhaltungsunterlagen der Unternehmen wurden nicht ausgewertet. Dutzende Entscheidungen nach § 170 II StPO von Staatsanwaltschaften in parallel und gleich gelagerten Fällen ignorierte die Kammer.

Ordnungsgemäße Rechtsmittelbelehrung
Die Angeklagten wurden darüber belehrt, daß sie binnen einer Woche ein Rechtsmittel – die Revision zum Bundesgerichtshof – einlegen können. Sie werden sich mit ihren Verteidigern beraten, ob sie davon Gebrauch machen werden.

Das Positive,
über das ich berichten kann, war die stressfreie Atmosphäre, in der verhandelt wurde. Aber das ist kein Qualitätskriterium.

Viel- und Ferntelefonierern ist es bekannt. Das Grundrauschen eines Telefonats zwischen Kreuzberg und der Hasenheide in Neukölln hört sich anders an als ein Gespräch mit dem Drogenhändler in Columbien. Und Festnetze klingen anders als Funkverbindungen.

Telefonverbindungen können also identifiziert werden: Jede hat ein eigenes, fast unverwechselbares Audiomuster. Und das könnte helfen, Betrüger zu überführen, die etwa mit gestohlenen Kreditkarten per Telefon shoppen wollen, berichtet Technology Review in seiner Online-Ausgabe.

Ich denke, das dürfte dann auch mit Anrufern möglich sein, die Lösegeld oder das Räumen eines Flughafen fordern bzw. Nachschub für den heimischen Drogenmarkt bestellen.

Einem Bericht von heise online zufolge soll es möglich sein (zumindest aber möglich werden), nicht nur festzustellen, ob jemand aus dem Festnetz oder per Handy anruft, sondern auch, ob ein mobiler Anruf aus Atlanta in Wirklichkeit von einem Telefon in Nigeria gemacht wird.

Es ist mein Reden seit dreiunddreißig: Straftaten und Telefonieren sind nicht kompatibel. Zumindest erleichtern Telefonate die Arbeit der Ermittlungsbehörden ungemein.

Phishing hat zum Ziel, eine fremde Identität für eigene Zwecke zu nutzen. Unter „Identität“ verstehen die Bewohner der digitalen Unterwelt beispielsweise Zugangsdaten zum Onlinebanking oder Kreditkartendaten. Ausgestattet mit diesen Informationen ist es recht einfach, steuerfrei an fremder Leute Geld zu gelangen.

Die Aufgabe, die zu lösen ist, besteht darin, den Internet-Nutzer zur Bekanntgabe dieser sensiblen Daten zu bewegen. Wenig phantasievolle Phisher schreiben eine eMail, in der sie höflich um die Mitteilung von PIN und TAN bitten. Spannender wird es, wenn per Trojaner die Daten „abgehört“ werden. Eigentlich leicht erkennbar sind die Versuche, diese Daten auf gefakten Seiten abzufragen. Zu den professionellen Lösungen zählen Man-in-the-Middle-Angriffe, Spear-Phishing, Whaling oder Pharming.

Nutzer von Mobil-Geräten sind die neuen Zielgruppen, für die beispielsweise das phone phishing oder das SMiShing entwickelt wurden.

Das Neueste auf dem Gebiet mobile computing ist das Phishing per NFC (Near Field Communication). Darüber berichtete gestern heise online.

Der Angreifer bringt einfach ein modifiziertes NFC-Tag auf einem legitimen Träger wie einem Werbeposter auf. Im Fall der Live-Demo verwendeten die Forscher einen Spendenaufruf des Roten Kreuzes, wie er in verschiedenen europäischen Städten an Bushaltestellen zu sehen war.

Das reguläre NFC-Tag des Posters leitete den Browser auf die Spenden-Website des Roten Kreuzes weiter, damit dort die Daten des Spenders erfasst werden können. Das modifizierte zweite Tag leitete den Smartphone-Browser jedoch zu einer Phishing-Site um, die vorgab, zum Roten Kreuz zu gehören.

Das Böse ist immer und überall. Auch an Bushaltestellen.

Bild: Martin Berk / pixelio.de