HOME

Cyber-Kriminelle: Fin7: Diese Hacker-Gang arbeitet wie eine Firma - und erbeutet Milliarden

Sie nehmen mehr als 50 Millionen Dollar im Monat ein - und benutzen dabei Methoden, die selbst erfahrene Ermittler beeindrucken. Die Hacker-Gruppe Fin7 hob Cybercrime auf eine neues Level. Nach drei Verhaftungen gibt es nun spannende Einblicke in ihren Arbeitsalltag.

Die Hacker-Gruppe Fin7 arbeitet eher wie ein Unternehmen als nach alten Hacker-Klischees (Symbolbild)

Die Hacker-Gruppe Fin7 arbeitet eher wie ein Unternehmen als nach alten Hacker-Klischees (Symbolbild)

Getty Images

Stellen Sie sich vor, sie betreiben ein Hotel. Sie erhalten eine Mail von einem Kunden, der nach einem sehr spezifischen Problem fragt. Etwa einem Koffer, den er im Hotel vergessen hat. Im Anhang sei ein Foto des Gepäckstücks. Würden sie es öffnen? Was, wenn der Kunde vorher bereits angerufen und nach dem Koffer gefragt hat? Und sich nachher wieder meldet, um zu erfahren, ob Sie die Mail bekamen? Spätestens jetzt hätte fast jeder den Anhang angeklickt. Und wäre in die Falle einer der smartesten Cyber-Banden der letzten Jahre getappt.

Wer von Organisierter Kriminalität spricht, hat meist keine Hacker im Sinn. Doch im Vergleich zur Hackergruppe Fin7 wirkte selbst die Mafia chaotisch. Mindestens 50 Millionen Dollar sollen die Gruppe mit Cyber-Angriffen auf Restaurantketten, Banken und viele weitere Unternehmen gescheffelt haben - monatlich. Die extreme Organisiertheit und die cleveren Angriffsmethoden beeindruckten sogar die Ermittler.

Hochkomplexe Angriffe

Fin7 hatte mehr drauf, als stumpf per Mail einzelne Bürger in die Falle zu locken. Das zeigen Erkenntnisse der Sicherheitsfirma "FireEye". Seit mindestens 2015 nahmen die Hacker Hunderte Firmen in Europa, den USA und zunehmend Asien ins Visier, verschaffen sich Zugang zum System - und nehmen die Unternehmen und ihre Kunden aus.

Dabei gehen sie enorm kreativ vor. Anders als bei klassischen Phishing-Attacken ist jeder Angriff genau auf den Kunden zugeschnitten, ein Ansatz, der als "Spear-Phishing" (Speer-Fischen) bezeichnet wird. Die Mails sind auf den Zweck maßgeschneidert, die Mitarbeiter zum Klicken auf manipulierte Anhänge zu bekommen. 

Dazu tarnen sich die Hacker als Kunden, Geschäftspartner oder auch staatliche Behörden. Mit perfekt kopierten Logos und Layouts und präzisen Anfragen sind die Mails kaum als Angriff zu erkennen, so Fireeye. Und wenn der erhoffte Klick nicht kommt, fragt man eben telefonisch nach. Teilweise wurde sogar der Erstkontakt mit einem Anruf hergestellt.

Hauptziel: Kreditkarten

Einmal im System, wurde langsam aber sicher das Netzwerk übernommen. Ließt man den Bericht von Fireeye, klingt dabei durchaus Bewunderung für die enorm kreativen Ansätze der Hacker durch. Immer waren sie den Forschern einen Schritt voraus, immer wieder schafften sie es, Entdeckungs-Mechanismen auszuhebeln. Anders als viele Hacker, die sich aus den Werkzeugen anderer bedienten, scheint Fin7 seine Angriffsprogramme  zudem selbst entwickelt zu haben. Spezialitäten waren etwa der Missbrauch von Makros in Microsoft Office und besonders geschickte Angriffe über die Windows Kommandozeile.

Die Beute bestand hauptsächlich aus Kreditkartendaten, die über die gehackten Kassensysteme abgegriffen wurden. Die Karten nutzten die Hacker entweder, um die Konten der Kunden leerzuräumen, oder sie verscherbelten sie im Darknet. Das scheint sich extrem gelohnt zu haben. Nach Schätzung eines Experten gegenüber "Wired" dürfte Fin7 so im Laufe der Zeit weit über eine Milliarde Dollar eingenommen haben. Die Beute wurde dann professionell von eigenen Leuten gewaschen.

Cyber-Gangster als Bürojob

Der Arbeitsalltag scheint dabei straff organisiert zu sein. Während Hacker dem Klischee nach spätnachts alleine ihre Befehle in die Tastatur hämmern, gingen die Angestellten von Fin7 einer geregelten Arbeitswoche nach, Feierabend und freie Wochenenden inklusive. 

Das Wort Angestellte ist hier nicht übertrieben: Über die Tarnfirma Combi Security suchte die Gruppe ganz offiziell weltweit nach qualifizierten Mitarbeitern. Da die Firma offiziell nach Sicherheitslücken in Firmensystemen sucht, könnten viele Angestellte nicht wissen, dass sie bei der Arbeit Straftaten begehen. Tatsächlich waren laut Fireeye viele Kunden von Combi Security auch Opfer der Hacker-Angriffe. 

Drei Drahtzieher verhaftet

Die Ermittler versuchen aktuell noch das Puzzle um die Gruppe zu knacken. Drei wichtige Teile haben wie bereits gefunden: Nach einem gerade vom US-Justizministerium veröffentlichten Bericht wurden drei ranghohe Mitglieder der Gruppe in Polen, Spanien und Dresden verhaftet. Den ukrainischen Staatsbürgern werden in den USA Verschwörung, Kreditkartenbetrug, Computer-Hacks, das Knacken von Bank- und Kreditkartenkonten sowie Identitäts-Diebstahl vorgeworfen, 26 Anklagepunkte liegen gegen jeden von ihnen vor.

Selbst eine Verurteilung der drei dürfte aber kaum zum Ende der Angriffe führen, vermutet . Die Experten sehen eher eine Aufteilung der Gruppe in einzelne Splittergruppen als wahrscheinlich an. Die Angriffe dürften also weitergehen.

Themen in diesem Artikel
Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.