DNS manipuliert: Millionen-Ertrag aus Affiliate-Links

Im Zuge der "Operation Ghost Click" führte die Behörde zwei Jahre lang Ermittlungen durch. Dabei stellte sich heraus, dass es der Bande gelungen ist, insgesamt vier Millionen Rechner in rund hundert Ländern mit Malware zu infizieren - 500.000 davon allein in den USA. Diese Computer generierten den Kriminellen letztlich eine Summe von 14 Millionen Dollar, hieß es.

Die Aktivitäten der mutmaßlichen Täter reichen bis ins Jahr 2007 zurück. Sie begannen nach Erkenntnissen des FBI damit, mit einer Malware namens "DNSChanger" Nutzern falsche DNS-Auflösungen unterzujubeln. Im Gegensatz zu vielen anderen Fällen, ging es aber nicht darum beispielsweise Bankdaten abzugreifen und die Anwender dann zu bestehlen.

Die Gruppe leitete statt dessen User, die ohnehin ein bestimmtes Einkaufs-Angebot im Web zum Ziel hatten, über einen zuvor eingerichteten Affiliate-Link. Dies fiel den Usern in der Regel nicht auf, da sie ja beim gewünschten Online-Shop landeten und in der URL lediglich zusätzlich die jeweilige Partner-ID-Nummer der Täter auftauchte. Bei einem Einkauf kassierte die Bande daraufhin Provisionen.

Die jeweiligen Anwender kamen durch die Aktivitäten im Grunde nicht zu Schaden, so das FBI. Wohl aber die Betreiber der jeweiligen Online-Shops und eventuell auch andere Affiliate-Partner, denen die ihnen regulär zustehenden Provisionen so entgingen.

Bei den Tätern soll es sich um sechs estnische Staatsbürger und einen Russen handeln. Nach einem Amtshilfe-Gesuch des FBI haben Behörden in Estland die dort ansässigen Verdächtigen festgenommen. Die Ermittler aus den USA wollen nun einen Auslieferungsantrag stellen. Experten des FBI sorgten außerdem dafür, dass inzwischen eine Reihe von manipulierten DNS-Servern, die eine größere Zahl von Nutzern bedienen, ausgetauscht wurde. Die betroffenen Systeme wurden für weitergehende Analysen beschlagnahmt.