{"id":6975,"date":"2016-02-10T13:21:06","date_gmt":"2016-02-10T13:21:06","guid":{"rendered":"https:\/\/kasperskydaily.com\/germany\/?p=6975"},"modified":"2020-06-30T17:08:59","modified_gmt":"2020-06-30T15:08:59","slug":"math-catches-hackers","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/math-catches-hackers\/6975\/","title":{"rendered":"Wie man mit Mathematik einen Onlinekriminellen zu fassen kriegt"},"content":{"rendered":"<p>Ob man es glaubt oder nicht: Mathematik ist wichtig. Auch wenn wir als Kinder vor unseren Lehrern mit den Augen gerollt haben \u2014 menschliches Verhalten ist in hohem Ma\u00dfe vorhersehbar und Mathematik kann dabei helfen, Vorhersagen zu treffen. Wir Menschen k\u00f6nnen, zumindest was unser Verhalten betrifft, auf mathematische Weise beschrieben werden. Das Gute daran ist, dass das auch auf Cyberkriminelle zutrifft.<\/p>\n<p>https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2020\/06\/30170840\/math-catch-criminals-featured.jpg<\/p>\n<p>Hacker und andere Kriminelle, die das Internet \u201eberuflich\u201c nutzen (wie beispielsweise Drogen- oder Waffenh\u00e4ndler), unternehmen erhebliche Anstrengungen, um anonym zu bleiben: Wenn sie online gehen, benutzen sie Tor, sie wechseln ihre Nicknamen f\u00fcr Untergrundforen und wenden spezielle Anonymisierungstechniken an.<\/p>\n<p>Nichtsdestoweniger sind auch Cyberkriminelle menschlich: sie sind begrenzt in ihren sozialen Gewohnheiten und werden von ihrer Umgebung beeinflusst. Sie feiern Neujahr, schlafen nachts und gehen zur Arbeit. Davon abgesehen posten auch Cyberkriminelle nicht <em>zur gleichen Zeit<\/em> von verschiedenen Konten aus. Theoretisch w\u00e4re es zwar m\u00f6glich, einen Bot zu erstellen, der zeitgleich mit dem Hacker \u00fcber ein anderes Konto einen Post ver\u00f6ffentlicht, aber das ist eine andere Geschichte.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">RT <a href=\"https:\/\/twitter.com\/chthierry?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@chthierry<\/a>: How <a href=\"https:\/\/twitter.com\/hashtag\/BigData?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#BigData<\/a> helps to catch criminals: <a href=\"https:\/\/t.co\/nIu1L9sd4S\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/nIu1L9sd4S<\/a> via <a href=\"https:\/\/twitter.com\/kaspersky?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@kaspersky<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/684487957928132608?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">January 5, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Alle Onlineaktivit\u00e4ten hinterlassen Daten und wenn man genug Daten f\u00fcr eine Analyse angesammelt hat, erm\u00f6glichen es diese Informationen unter Umst\u00e4nden, einen Cyberkriminellen zu fassen zu kriegen. Es gibt <a href=\"https:\/\/www.kaspersky.de\/blog\/wie-mit-big-data-kriminelle-gefasst-werden\/5151\/\" target=\"_blank\" rel=\"noopener\">zahlreiche Unternehmen, die auf Datenanalyse spezialisiert sind<\/a> und die kriminaltechnischer Forschung f\u00fcr Strafvollzugsbeh\u00f6rden nachgehen. Eine dieser Firmen ist Recorded Future. Auf dem <a href=\"https:\/\/www.kaspersky.de\/blog\/tag\/thesas2016\/\" target=\"_blank\" rel=\"noopener\">Security Analyst Summit 2016<\/a> enth\u00fcllte <a href=\"https:\/\/twitter.com\/cahlberg\" target=\"_blank\" rel=\"noopener nofollow\">Christopher Ahlberg<\/a>, der Gesch\u00e4ftsf\u00fchrer der Firma, wie sich Recorded Future der Mathematik bedient, um Kriminelle zu fassen zu kriegen.<\/p>\n<p>Die Firma automatisierte Datenerfassungsprozesse, um Informationen aus mehr als f\u00fcnfhundert Foren zu sammeln, die von Cyberkriminellen frequentiert werden. \u00dcber einen Zeitraum von mehr als vier Jahren sind Daten in sieben Sprachen zusammengetragen\u00a0worden. Im Zuge der Analyse der gesammelten Daten hat Recorded Future mehrere interessante Entdeckungen gemacht.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Non-Impervious: <a href=\"https:\/\/twitter.com\/hashtag\/cybercriminals?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#cybercriminals<\/a> make mistakes too: <a href=\"https:\/\/t.co\/WC8392Uwh3\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/WC8392Uwh3<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/571418391443083266?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 27, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Es hat den Anschein, als w\u00fcrden Cyberkriminelle ihre Nicknamen selten wiederbenutzen. Recorded Future hat 742.000 Nicknamen getrackt \u2014 und 98,8% der Namen sind einmalig.\u00a0Per Analyse l\u00e4sst sich zudem herausfinden, welche Nicknamen von ein und derselben Person genutzt werden. Ein Nickname l\u00e4sst sich leicht wechseln, Verhaltensweisen und Gewohnheiten zu \u00e4ndern ist jedoch wesentlich schwieriger.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Awesome talk by <a href=\"https:\/\/twitter.com\/cahlberg?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@cahlberg<\/a> proves even hackers can't escape pure math and psychology, you are traceable  <a href=\"https:\/\/twitter.com\/hashtag\/TheSAS2016?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#TheSAS2016<\/a><\/p>\n<p>\u2014 Christine Gadsby \u10e6 (@ChristineGadsby) <a href=\"https:\/\/twitter.com\/ChristineGadsby\/status\/696732591609769984?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 8, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Indem man Aktivit\u00e4tszeitr\u00e4ume und sprachliche Formulierungen analysiert, werden Verbindungen zwischen Konten offensichtlich, die auf den ersten Blick nicht miteinander zusammenzuh\u00e4ngen scheinen. Am deutlichsten sticht dabei der Zeitplan der Internetaktivit\u00e4ten ins Auge. Wenn unterschiedliche Konten unmittelbar nacheinander benutzt werden, dann ist es sehr wahrscheinlich, dass sie der gleichen Person zuzuordnen sind.<\/p>\n<p>https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2020\/06\/30170844\/image00.png<\/p>\n<p>Wie auf dem Bildschirmfoto oben zu sehen ist, loggt sich der Nutzer Crisis ein unmittelbar nachdem Hassan20 offline gegangen ist. M\u00f6glicherweise geh\u00f6ren beide Konten zur gleichen Person. Mit dieser Methode lassen sich Bandenmitglieder identifizieren: \u00fcber einen nicht unerheblichen Zeitraum pflegen sie zeitgleich online zu sein, um ihre kriminellen Angelegenheiten zu koordinieren.<\/p>\n<p>Wenn Mitglieder einer Bande den ganzen Tag \u00fcber online sind, leben sie entweder auf der ganzen Welt verteilt in unterschiedlichen Zeitzonen oder wollen den Eindruck erwecken, als sei dies der Fall.<\/p>\n<p>https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2020\/06\/30170848\/image03.png<\/p>\n<p>Nachdem man eine \u00dcbersicht bekommen hat \u00fcber freie Tage und arbeitsintensive Zeitr\u00e4ume eines Hackers, kann man anhand dessen auf deren Nationalit\u00e4t schlie\u00dfen. Kriminelle islamischer L\u00e4nder sind oftmals w\u00e4hrend des Ramadans besonders aktiv. Wenn man nicht religi\u00f6s ist, gibt es \u00fcber diesen Zeitraum hinweg schlie\u00dflich nicht viel anderes zu tun. \u00dcblicherweise sind sie auch aktiv w\u00e4hrend der Feierlichkeiten zum Jahrestag der Islamischen Revolution. Was russische Hacker betrifft, arbeiten diese am meisten in der letzten Dezemberwoche. Auff\u00e4llig ist, dass Silvester von allen gefeiert wird, auch von Cyberkriminellen.<\/p>\n<p>https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2020\/06\/30170852\/image02.png<\/p>\n<p>Wenn man andere, spezifischere Anzeichen und Eigenschaften herausgreift, kann man Nutzer mit \u00e4hnlichen Gewohnheiten finden \u2014 nicht im Darknet, sondern im legalen Internet. Denn genau wie wir auch, haben Kriminelle Hobbies. Sie nutzen soziale Netzwerke, fahren in Urlaub, gucken Filme \u00fcber verschiedene Webanbieter und lesen B\u00fccher. Diese Onlineservices geben im Gegensatz zu Tor die M\u00f6glichkeit, die wahre Identit\u00e4t der Nutzer herauszufinden und sie letzten Endes festzunehmen.<\/p>\n<p>https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2020\/06\/30170856\/image01.png<\/p>\n<p>Aus der Analyse der Aktivit\u00e4tszeitr\u00e4ume auf einer Londoner Untergrundseite, die Drogen verkauft, geht hervor, dass der Nutzer Abraxas der Administrator der Plattform ist. <em>Ok, was haben wir gegen ihn in der Hand?<\/em> Es sieht so aus, als sei er f\u00fcr zwei Tage abwesend gewesen und als h\u00e4tten die Drogendealer infolgedessen einen finanziellen Verlust gemacht. Ist er in Urlaub gewesen? Oder hat er eine Erk\u00e4ltung gehabt? Wenn kriminaltechnische Agenturen genug Informationen dieser Art gesammelt haben, k\u00f6nnen sie anhand dessen die gesuchte Person ausfindig machen.<\/p>\n<p>Passive Beobachtung ist eine M\u00f6glichkeit. In anderen F\u00e4llen haben die Ermittler die Kriminellen stattdessen aktiv provoziert, um sie dazu zu bringen, ihre Verhaltensmuster zu \u00e4ndern. Christopher Ahlberg spricht von mehreren Untersuchungen, die \u00e4hnliche Tricks angewendet haben und gute Erfahrungen damit gemacht haben \u2014 aus Sicherheitsgr\u00fcnden kann er allerdings keine Details offenbaren, so dass wir diese Methode anhand eines bekannten Beispiels untersuchen werden.<\/p>\n<p>IT-Sicherheitsexperten ist das folgende Prinzip nur zu gut bekannt: Sobald ein Entwickler eine Sicherheitsaktualisierung ver\u00f6ffentlicht, macht sich jemand anders an die Arbeit per Reverse Engineering einen Exploit zu entwickeln. Da viele Menschen Systemupdates nicht rechtzeitig installieren, werden sie zum Ziel eines eifrigen Cyberkriminellen. Da Microsoft seine Sicherheitsaktualisierungen \u00fcblicherweise dienstags ver\u00f6ffentlicht, kam die Wendung \u201e<a href=\"https:\/\/en.wikipedia.org\/wiki\/Patch_Tuesday#Exploit_Wednesday\" target=\"_blank\" rel=\"noopener nofollow\">Patchdienstag \u2013 Exploitmittwoch<\/a>\u201c auf. Sie veranschaulicht das oben aufgef\u00fchrte Prinzip.<\/p>\n<p>https:\/\/twitter.com\/e_kaspersky\/status\/696730907143770113\/photo\/1?ref_src=twsrc%5Etfw<\/p>\n<p>Sicherheitsaktualisierungen sind so zu einem zweischneidigen Schwert geworden. Einerseits sch\u00fctzen sie, andererseits spielen sie Hackern in die H\u00e4nde und bieten eine M\u00f6glichkeit, um unvorsichtige Nutzer zu hacken. Die Dienstagsaktualisierungen hatten dazu gef\u00fchrt, dass Hacker an den Tagen nach deren Ver\u00f6ffentlichung besonders viel zu tun hatten.<\/p>\n<p>Indem Microsoft seine Richtlinie\u00a0der w\u00f6chentlichen Dienstagsupdates ge\u00e4ndert hat, hat sich damit auch die Arbeit der Hacker entsprechend auf jeden zweiten und vierten Mittwoch im Monat verschoben. IT-Sicherheitsspezialisten k\u00f6nnen in \u00e4hnlicher Weise mit einer durchdachten Strategie Hacker zu bringen, sich durch ver\u00e4nderte Verhaltensweisen zu verraten. Und genau das tun sie.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Indem man das Verhalten eines Cyberkriminellen beobachtet, kann man ein gleichbleibendes Handlungsmuster erkennen und dessen Identit\u00e4t herausfinden<\/p>\n","protected":false},"author":522,"featured_media":6976,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6,2712],"tags":[1424,61,1860,1653,1859],"class_list":{"0":"post-6975","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"category-special-projects","10":"tag-analyse","11":"tag-cyberkriminelle","12":"tag-sas-2016","13":"tag-security","14":"tag-thesas2016"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/math-catches-hackers\/6975\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/math-catches-hackers\/6674\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/math-catches-hackers\/6749\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/math-catches-hackers\/6662\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/math-catches-hackers\/7717\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/math-catches-hackers\/7457\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/math-catches-hackers\/10822\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/math-catches-hackers\/11274\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/math-catches-hackers\/6006\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/math-catches-hackers\/10374\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/math-catches-hackers\/10822\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/math-catches-hackers\/11274\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/math-catches-hackers\/11274\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/analyse\/","name":"Analyse"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/6975","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/522"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=6975"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/6975\/revisions"}],"predecessor-version":[{"id":24388,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/6975\/revisions\/24388"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/6976"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=6975"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=6975"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=6975"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}