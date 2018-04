Dubiose Anbieter wie Sickgen verdienen Geld mit dem Verkauf von Logindaten aus unbekannter Quelle – Kreditkartenbetrug wahrscheinlich

Zehn Euro für ein Netflix Abo, zehn Euro für Spotify. Auch Amazon Prime will bezahlt werden, denn nicht jeder Anbieter hat alle Lieblingsserien. Und wer Wrestling, Formel 1 oder andere Zusatzunterhaltung live streamen will, muss ebenfalls Geld einwerfen. Da läppert sich schnell eine beachtliche Summer zusammen, die monatlich das Konto verlässt.

Seit einiger Zeit tauchen jedoch alternative Angebote auf, die Nutzern drastische Kostenersparnis versprechen. Sie bieten Zugang zu dutzenden Premium-Services im Netz, darunter auch Streamingplattformen, verlangen dafür aber nur eine verlockend günstige Monatsgebühr. Der WebStandard hat eine solche Plattform, Sickgen, näher angesehen.

Anonyme Betreiber

Zwölf oder 20 Dollar verlangt man dort für den monatlichen Zugang, pro Plattform ergibt sich daraus ein Kostenfaktor von rund 30 Cent. Der Unterschied liegt in der Anzahl der dafür verfügbaren Dienste und einer Reservierung des Kontingents für besser zahlende Kunden, wenn der Zugang knapp wird. Dass es zu einer solchen Mangelsituation überhaupt kommen kann, liegt freilich daran, dass das Angebot schlicht illegal ist.

Ein weiteres, klares Indiz dafür ist die Anonymität der Betreiber. Der Registrar der Adresse ist namentlich nicht bekannt, stattdessen ist im Whois-Register ein Anonymisierungsdienst mit Sitz in Panama eingetragen. Die Kontaktaufnahme ist nur über ein Ticketsystem möglich, als einziger Hinweis auf den oder die Urheber taucht das Pseudonym "MrFreack" auf. Eine klare Sprache sprechen auch die Nutzungsbedingungen, in denen sich die Anbieter prinzipiell von jeglicher Verantwortung freisprechen, ein Recht auf willkürliche Sperren verankern und auch festhalten, dass die Seite jederzeit eingestellt werden kann.

screenshot: sickgen

Netflix-Logins im Multipack

Die Anmeldung ist simpel gehalten. Die Betreiber geben sich mit einer bestätigten E-Mail-Adresse zufrieden. Anschließend kann über die Plattform Selly.gg ein Code erworben werden. Bezahlt wird über den Bezahldienst Paypal oder in verschiedenen Kryptowährungen.

Selly selbst genießt unter den "Schwarzsehern" übrigens auch eine gewisse Reputation, wie aus einschlägigen Foren hervorgeht. Auf dem Portal können prinzipiell alle möglichen digitalen Inhalte angeboten werden. Öfters finden sich dort auch Logins für verschiedene Streamingseiten in "Großpackungen", wobei die Angebote in den bereits erwähnten Foren gelistet werden.

Zugang zu über 50 Services



Doch zurück zu Sickgen, dass eine Art Nachfolger zu dem im Jänner vom Netz gegangenen Projekt "Wickedgen" sein dürfte. Via Selly wird ein Code übermittelt, mit dem das jeweilige Paket nach Eingabe auf der Seite freigeschalten wird. Dann lässt sich in einer simpel gehaltenen Übersicht wählen, für welche Seite man Logins haben möchte.

51 Services werden aktuell abgedeckt, darunter etwa Videoportale wie Netflix und Hulu, Musikstreaming via Spotify und Deezer, diverse Premium-Sportangebote (UFC, Formel 1), VPN-Services und auch Spielplattformen (Uplay, Origin) und einzelne Games ("Fortnite", "League of Legends"). Als Alternative zum Abo wird auch "lebenslanger" Zugang zu Spotify gegen eine Einmalzahlung von zehn Dollar feilgeboten.

Mittels Klick auf das Logo eines Anbieters öffnet sich ein Fenster, wo sich Logindaten "generieren" lassen. Man erhält also eine E-Mail-Adresse oder einen Accountnamen und ein Passwort, mit dem sich der jeweilige Service nutzen lassen soll.

screenshot: sickgen

9 von 10 Logins funktionieren



Bei zehn Testläufen funktionierten neun der gelieferten Logins auf Anhieb. Einzig die Kombination für den Login bei Xbox Live wollte partout nicht funktionieren. Die von Sickgen ausgespuckten E-Mail-Adressen konnten schlicht keinem Microsoft-Konto zugeordnet werden.

In einzelnen Fällen, etwa Hulu, klappte zwar der Login, aber die Videoinhalte standen nicht zur Verfügung, da der Anbieter nur die USA bedient und den Zugriff aus anderen Standorten per Geoblocking unterbindet. Bei Diensten, die Premiumkonten in mehreren Abstufungen bieten, war der gelieferte Account stets für den günstigsten Service registriert.

Manchmal handelte es sich überhaupt nur um eine Registrierung, teilweise mit nicht verifizierter E-Mail-Adresse. So etwa beim Dateihoster 4shared, wo der Gratisaccount nur eingeschränkte Vorteile gegenüber unregistrierter Nutzung bietet. Bei der "Learning-on-Demand"-Plattform Udemy ist eine Registrierung lediglich Voraussetzung zur Nutzung von Gratisangeboten.

Mail-Adressen dürften aus Leaks stammen

Doch woher stammen die Logindaten überhaupt? Auch wenn sich diese laut Buttonbeschriftung "generieren" lassen, werden diese nicht per Knopfdruck frisch erzeugt. Stattdessen greift das Tool auf eine Datenbank zu, die laut Ausschilderung auf der Seite insgesamt über 15.000 Einträge lang ist und stetig wächst.

Die darin gelagerten Adressen dürften aus verschiedenen Datenbank-Leaks stammen. Sämtliche Mailadressen, die von Sickgen ausgespuckt wurden, führten auf der Seite "Have I been pwned" zu Treffern. Einige davon waren demnach bereits 2008 Opfer von Sicherheitslecks und Kompromittierungen. Was alle gelieferten Accounts ebenfalls eint, sind extrem kurze und einfache Passwörter.

Das wirft mitunter auch Fragen hinsichtlich der Passwortvorgaben verschiedener Anbieter auf. Dass etwa ein VPN-Anbieter es ermöglicht, ein lediglich achtstelliges Kennwort zu verwenden, das auch nur aus Kleinbuchstaben und Zahlen besteht, mutet dubios an.

screenshot: sickgen

Kreditkartenbetrug wahrscheinlich

In keinem der angemeldeten Konten waren heikle Nutzerinformationen hinterlegt. Fallweise waren Namen und Postleitzahlen gespeichert, die aber unecht anmuteten. Nicht aufzuklären war, ob die E-Mail-Konten noch aktiv von ihren ursprünglichen Besitzern genutzt und für die Anmeldung bei Netflix und Co. verwendet wurden.

Da fremde Logins potenziell Warnmeldungen und Sperren auslösen oder die Verwendung der Dienste (etwa im Verlauf angesehener Serienfolgen oder gehörter Songs) Spuren hinterlässt, erscheint dies aber unwahrscheinlich. Denkbar ist, dass hier massenhaft abgegriffene Logins für nicht mehr genutzte Mailadressen mit ebenso gestohlenen Kreditkartennummern verknüpft wurden. Ein weiteres Szenario ist schlichter Kreditkartenbetrug – ein Phänomen, das man bereits von Reselling-Plattformen für Spiele-Keys kennt. Unklar bleibt auch, ob die Betreiber die Daten selber "erarbeiten" oder einfach nur zukaufen und über ihre Seite monetarisieren.

Digitaler Diebstahl, reale Opfer

Der billige Zugang zu Serien, Musik, Sport und anderen Angeboten hat in jedem Fall reale Opfer. Diese sind entweder die Anbieter der Inhalte, die dann an der Abbuchung der Monatsbeträge scheitern oder unbeteiligte Privatpersonen, die mit ihrem Finanzistitut darum ringen müssen, ihr Geld wiederzubekommen – während sich die Sickgen-Piraten eine goldene Nase verdienen.

Wie verbreitet das Phänomen ist, lässt sich schwer sagen. Nach eigenen Angaben hatte Sickgen Mitte März 1.250 registrierte Nutzer. Ähnlich gelagerte Plattformen im "offenen" Internet scheinen selten zu sein. Eine Bezifferung der Verkäufe von Logindaten über Selly ist wiederum ebenso unmöglich, wie eine Erfassung gleich gelagerter Transaktionen im Darknet. Denn auch abseits des einfach durchsuchbaren Teils des Internets wird rege mit Accounts für Netflix und Co. gehandelt. (Georg Pichler, 09.04.2018)