RedDevil
14.05.2016, 08:30
https://www.szenebox.org/images/_imported/2016/05/81.jpg
Chemical Love gab sich gern global und perfekt in seiner Außendarstellung. Weltweiter Versand? 24h-Kundensupport? Großhändler-Preise für Drogen? Eigene Ecstasy-Pressung? Alles kein Problem dank Top-Sicherheit und Erfahrung, wurde den Käufern vermittelt.
Die vermeintliche Sicherheit, die durch die räumliche Entfernung und Anonymität eines Online-Shops hergestellt wird, ist nicht zuletzt der Grund für viele Kunden, sich ihre Ware im Internet zu besorgen. Sagen andere, der Typ hat gute Ware? Kommt auch immer alles an? Sieht alles nach einer einfachen, vertraulichen und diskreten Abwicklung aus? All das senkt die Hürden, um die Online-Drogenbestellung vielleicht doch mal auszuprobieren. Doch der Fall Chemical Love verdeutlicht noch einmal eindrücklich: Du bist nur so sicher wie der Typ am anderen Ende der Leitung
Wir haben uns das System hinter dem Chemical Love-Drogenshop angeschaut und festgestellt: Chemical Love ging keinesfalls so sicher und diskret mit den Kundendaten um, wie es bei einer so klandestinen Operation im Darknet oder Clearnet eigentlich angebracht wäre. Ganz im Gegenteil: Der Shop hat alles säuberlich mitgeloggt.
Für die mehreren tausend Kunden, die Chemical Love in den zwölf Monaten seines Bestehens bedient hatte, könnte das noch einmal zu einem großen Problem werden
Die Seite lief auf dem Wordpress-Warenkorbsystem WooCommerce, das optimiert ist, um kleinen Betrieben einen schnellen und reibungslosen Abverkauf ihrer Katalogware zu garantieren. In der Demo ist dort Landwirtschaftsbedarf zu sehen. Coder Statine, der Admin von Chemical Love, ersetzte die Bilder durch Heroinbarren mit Chemical Love-Wasserzeichen und eimerweise Ecstasy. Die Software wurde so angepasst, dass die Bezahlung nicht mehr per Paypal, sondern per Bitcoin abgewickelt wird. Zum Template gehört neben zuschaltbaren Coupon-Angeboten („Wir bieten Euch das GREXIT Paket – 3 Produkte zu einem unglaublichen Preis zusammen. Beinhaltet: 0.5g Classic Kokain , 5 XTC Yellow Berry & 5g Hash Super Polm. Try it!“) auch eine Übersicht aller Bestellungen.
Neben dem Bestellstatus wurden so die Namen und Adressen aller Käufer, dazu Bitcoin-Adressen, Daten und Mengen auf den Servern unverschlüsselt gespeichert. Es ist davon auszugehen, dass viele der Kunden auf ihren echten Namen und ihre Meldeadresse bestellt haben—das legen vergangene Fälle verhafteter Online-Drogenhändler nahe.
https://www.szenebox.org/images/_imported/2016/05/82.jpg
Auch der Macher hinter Shiny Flakes, Maximilian S., hatte bei seinem Drogenshop eine Lieferliste seiner Kunden geführt, die die Polizei schließlich zu vielen Käufern führte und reihenweise Hausdurchsuchungen nach sich zog. Das, was Shiny Flakes aufwändig händisch erledigte und auf seinem Rechner selbst mitloggte, erledigt im Fall Chemical Love also die Wordpress-Shopfront. Dort sind die finanziellen und personellen Details aller Drogenverkäufe weltweit säuberlich aufgelistet.
Der Slogan des bisher europaweit größten Drogenshops bekommt damit ernste Kratzer: „Wir haben uns zum Ziel gesetzt, unseren Kunden hochqualitative Produkte zu bieten und einen realen und echten Kundenservice zur Verfügung zu stellen.“
Denn Vertrauen—zumindest temporäres—ist in der Szene der Internetkriminellen die wichtigste Währung, durch die Geschäfte zustande kommen. Als Online-Drogendealer gewinnt man dieses Vertrauen neben Diskretion durch erfolgreich abgeschlossene Transaktionen und saubere Ware. Als Beleg dienen die scheinbar nicht kompromittierbaren Bewertungen der User. Doch wenn die Plattform, auf der diese Bewertungen abgegeben werden, in Teilen von demjenigen kontrolliert wird, der ein Interesse an gutem Marketing hat, bricht dieses System zusammen:
Genau wie Maximilian S. ließ nämlich z100, der die Drogen für Chemical Love besorgte, ebenfalls keine negativen Bewertungen auf jenem deutschen Schwarzmarkt-Board zu, das ihm als wichtige Operationsbasis diente. Mit steigendem Druck und Kundenzahlen reagierte er zunehmend ungehaltener. Kritik, schlechte Erfahrungen, verlorene Sendungen, wenig schmeichelhafte Reviews zu Verpackung oder Qualität wurden in regelmäßigen Abständen von z100 aus dem Schwarzmarktboard gelöscht oder versteckt, wie mehrere Moderatoren des Forums bestätigen. Motherboard konnte beim Interview mit Statine mehrere auf „unsichtbar“ gestellte Threads einsehen, in denen sich negative Äußerungen über die Ware, den Support oder den Versand befanden. Die Nutzer wurden daraufhin geblockt.
https://www.szenebox.org/images/_imported/2016/05/83.jpg
Doch es ist keinesfalls gesichert, ob die Ermittler trotz der unterirdischen Sicherheitsmaßnahmen seitens Chemical Love überhaupt in Besitz der Kundendaten kommen konnten. Die Staatsanwaltschaft Verden beschlagnahmte nämlich keine Content-Server bei ihrer Razzia am 14.5., sondern räumte gegenüber Motherboard ein, bislang lediglich zwei Proxyserver in den Niederlanden und in Bulgarien beschlagnahmt zu haben. Das erklärt auch, wieso die Seite noch drei Wochen nach der „Zerschlagung“ von Chemical Love online war.
Alle Kundendaten wurden also mitgeloggt. z100 hat immer öffentlich das Gegenteil behauptet. Hätten das die Leute auf dem Forum nicht vielleicht schnellstmöglich erfahren sollen? „Klar, aber ganz ehrlich: Mir konnte das doch egal sein. Ich hab mein Geld immer bekommen, und der Boardbesitzer war eigentlich auch immer zufrieden, solange alle bezahlt haben“, sagte mir der Admin Statine. Rippers gonna rip—auch das gehört zu den unfairen Regeln eines Schwarzmarkts.
Quelle: Motherboard.vice.com (http://motherboard.vice.com/de/read/tausende-kundendaten-in-gefahr-der-chemical-love-shop-hat-alles-mitgeloggt)
Chemical Love gab sich gern global und perfekt in seiner Außendarstellung. Weltweiter Versand? 24h-Kundensupport? Großhändler-Preise für Drogen? Eigene Ecstasy-Pressung? Alles kein Problem dank Top-Sicherheit und Erfahrung, wurde den Käufern vermittelt.
Die vermeintliche Sicherheit, die durch die räumliche Entfernung und Anonymität eines Online-Shops hergestellt wird, ist nicht zuletzt der Grund für viele Kunden, sich ihre Ware im Internet zu besorgen. Sagen andere, der Typ hat gute Ware? Kommt auch immer alles an? Sieht alles nach einer einfachen, vertraulichen und diskreten Abwicklung aus? All das senkt die Hürden, um die Online-Drogenbestellung vielleicht doch mal auszuprobieren. Doch der Fall Chemical Love verdeutlicht noch einmal eindrücklich: Du bist nur so sicher wie der Typ am anderen Ende der Leitung
Wir haben uns das System hinter dem Chemical Love-Drogenshop angeschaut und festgestellt: Chemical Love ging keinesfalls so sicher und diskret mit den Kundendaten um, wie es bei einer so klandestinen Operation im Darknet oder Clearnet eigentlich angebracht wäre. Ganz im Gegenteil: Der Shop hat alles säuberlich mitgeloggt.
Für die mehreren tausend Kunden, die Chemical Love in den zwölf Monaten seines Bestehens bedient hatte, könnte das noch einmal zu einem großen Problem werden
Die Seite lief auf dem Wordpress-Warenkorbsystem WooCommerce, das optimiert ist, um kleinen Betrieben einen schnellen und reibungslosen Abverkauf ihrer Katalogware zu garantieren. In der Demo ist dort Landwirtschaftsbedarf zu sehen. Coder Statine, der Admin von Chemical Love, ersetzte die Bilder durch Heroinbarren mit Chemical Love-Wasserzeichen und eimerweise Ecstasy. Die Software wurde so angepasst, dass die Bezahlung nicht mehr per Paypal, sondern per Bitcoin abgewickelt wird. Zum Template gehört neben zuschaltbaren Coupon-Angeboten („Wir bieten Euch das GREXIT Paket – 3 Produkte zu einem unglaublichen Preis zusammen. Beinhaltet: 0.5g Classic Kokain , 5 XTC Yellow Berry & 5g Hash Super Polm. Try it!“) auch eine Übersicht aller Bestellungen.
Neben dem Bestellstatus wurden so die Namen und Adressen aller Käufer, dazu Bitcoin-Adressen, Daten und Mengen auf den Servern unverschlüsselt gespeichert. Es ist davon auszugehen, dass viele der Kunden auf ihren echten Namen und ihre Meldeadresse bestellt haben—das legen vergangene Fälle verhafteter Online-Drogenhändler nahe.
https://www.szenebox.org/images/_imported/2016/05/82.jpg
Auch der Macher hinter Shiny Flakes, Maximilian S., hatte bei seinem Drogenshop eine Lieferliste seiner Kunden geführt, die die Polizei schließlich zu vielen Käufern führte und reihenweise Hausdurchsuchungen nach sich zog. Das, was Shiny Flakes aufwändig händisch erledigte und auf seinem Rechner selbst mitloggte, erledigt im Fall Chemical Love also die Wordpress-Shopfront. Dort sind die finanziellen und personellen Details aller Drogenverkäufe weltweit säuberlich aufgelistet.
Der Slogan des bisher europaweit größten Drogenshops bekommt damit ernste Kratzer: „Wir haben uns zum Ziel gesetzt, unseren Kunden hochqualitative Produkte zu bieten und einen realen und echten Kundenservice zur Verfügung zu stellen.“
Denn Vertrauen—zumindest temporäres—ist in der Szene der Internetkriminellen die wichtigste Währung, durch die Geschäfte zustande kommen. Als Online-Drogendealer gewinnt man dieses Vertrauen neben Diskretion durch erfolgreich abgeschlossene Transaktionen und saubere Ware. Als Beleg dienen die scheinbar nicht kompromittierbaren Bewertungen der User. Doch wenn die Plattform, auf der diese Bewertungen abgegeben werden, in Teilen von demjenigen kontrolliert wird, der ein Interesse an gutem Marketing hat, bricht dieses System zusammen:
Genau wie Maximilian S. ließ nämlich z100, der die Drogen für Chemical Love besorgte, ebenfalls keine negativen Bewertungen auf jenem deutschen Schwarzmarkt-Board zu, das ihm als wichtige Operationsbasis diente. Mit steigendem Druck und Kundenzahlen reagierte er zunehmend ungehaltener. Kritik, schlechte Erfahrungen, verlorene Sendungen, wenig schmeichelhafte Reviews zu Verpackung oder Qualität wurden in regelmäßigen Abständen von z100 aus dem Schwarzmarktboard gelöscht oder versteckt, wie mehrere Moderatoren des Forums bestätigen. Motherboard konnte beim Interview mit Statine mehrere auf „unsichtbar“ gestellte Threads einsehen, in denen sich negative Äußerungen über die Ware, den Support oder den Versand befanden. Die Nutzer wurden daraufhin geblockt.
https://www.szenebox.org/images/_imported/2016/05/83.jpg
Doch es ist keinesfalls gesichert, ob die Ermittler trotz der unterirdischen Sicherheitsmaßnahmen seitens Chemical Love überhaupt in Besitz der Kundendaten kommen konnten. Die Staatsanwaltschaft Verden beschlagnahmte nämlich keine Content-Server bei ihrer Razzia am 14.5., sondern räumte gegenüber Motherboard ein, bislang lediglich zwei Proxyserver in den Niederlanden und in Bulgarien beschlagnahmt zu haben. Das erklärt auch, wieso die Seite noch drei Wochen nach der „Zerschlagung“ von Chemical Love online war.
Alle Kundendaten wurden also mitgeloggt. z100 hat immer öffentlich das Gegenteil behauptet. Hätten das die Leute auf dem Forum nicht vielleicht schnellstmöglich erfahren sollen? „Klar, aber ganz ehrlich: Mir konnte das doch egal sein. Ich hab mein Geld immer bekommen, und der Boardbesitzer war eigentlich auch immer zufrieden, solange alle bezahlt haben“, sagte mir der Admin Statine. Rippers gonna rip—auch das gehört zu den unfairen Regeln eines Schwarzmarkts.
Quelle: Motherboard.vice.com (http://motherboard.vice.com/de/read/tausende-kundendaten-in-gefahr-der-chemical-love-shop-hat-alles-mitgeloggt)