Phishing next generation

Veröffentlicht am  31. Oktober 2007 von  Alexander Trust

Wir Internetakteure kennen alle den Begriff von SPAM. “Als Spam (…) werden unerwünschte, in der Regel auf elektronischem Weg übertragene Nachrichten bezeichnet, welche dem Empfänger unverlangt zugestellt werden und massenhaft versandt wurden oder werbenden Inhalt haben.” – Diese Definition stammt aus der deutschen Ausgabe der Wikipedia vom 31. Oktober 2007.

Unerwünscht zugestellte Mails sind auch solche, die an sensible Daten der Nutzer gelangen wollen. Versuche, wie es in der Wikipedia ebenfalls heißt, an derartige Informationen zu gelangen, werden mit dem Begriff Phishing bezeichnet. Allerdings ist es nicht richtig, solche Vorgänge lediglich mit dem WWW und Webseiten in Verbindung zu bringen. Im Prinzip sind alle Anwendungen betroffen, die mit dem Internet verbinden. Zwar gibt es nicht auf allen Wegen auch Phishing-Versuche, doch sollte man sich nie sicher sein.

Viel SPAM, der versendet wird, möchte nicht nur Brustvergrößerungen und Potenzmittel an den Mann oder die Frau bringen, sondern vor allem persönliche Daten ausspähen. “74 Prozent aller E-Mails weltweit – das sind Spam- und Phishing-Nachrichten. Damit ist das beliebteste Internet-Kommunikationsmittel fast unbrauchbar” (CHIP 11/2007, S. 32). Es besteht, so kann man sagen, eine durchaus reale Bedrohung, die von Phishing ausgeht. Immer mehr Menschen strömen ins Netz und somit strömt auch immer mehr Kapital hierhin.

Blog- und Foren-Phishing

Wir Blogger werden von Phishing und Spam nicht verschont. Für Windows-Rechner gibt es ein kleines Programm namens XRumer (vgl. Wikipedia, engl.), das Schutzmaßnahmen fast aller Foren umschiffen kann und so genannte CAPTCHA-Abfragen ebenfalls umgeht. Blogkommentare, die Phishing-Links beinhalten könnten für Neugierige zur Stolperfalle werden.

Auf einer russischen Webseite wird das Tool XRumer wegen seines Erfolges sogar für rund 400 Dollar feilgeboten. Supportleistung erhält der Käufer für knapp 10 Dollar im Monat. 1100 Links in einer Viertelstunde soll das Programm angeblich im Netz ablegen können (vgl. PC-Welt). Ein Flash-Video, das XRumer bei der Arbeit zeigt wird vom spanischen Antiviren-Softwarehersteller PandaLabs angeboten. Foren-Betreiber wissen ein Lied davon zu bloggen, wie die Software ihre Plattformen zumüllt.

XRumer ist laut Gregor Dück eine Anwendung für Script-Kiddies, und das macht es so gefährlich. Hinz und Kunz können damit umgehen. WordPress-Blogs sind von dem Tool, zumindest in der Version 3, nicht betroffen (vgl. ebd.). Ausgeliefert wurde das Programm in dieser Version inklusive einer Liste von 102.000 potenziellen Opfern (vgl. CHIP-Security-Blog). Das lädt dazu ein, Schabernack zu treiben. Einzig der Preis des Tools stellt eine Hürde dar, damit nicht ein jeder damit hantieren mag. Inwieweit die aktuelle Version 4.0 sich vom Vorgänger unterscheidet bleibt offen.

Social Phishing

Dass StudiVZ und Co immer auch von sich Reden machten, ist bekannt. In einem Adhoc-Vortrag bei der 23ten CCC-Konferenz in Berlin wurde von Hagen Fritsch gezeigt, was die Datenbank vom StudiVZ alles hergibt. Es gibt allerdings noch brisantere Daten, die an die Öffentlichkeit gelangten. So beispielsweise in dem Fall der Jobbörse Monster. Hackern gelang es, Daten von Personalvermittlern zu erhaschen. Über Monate konnten sie mit deren Hilfe vertrauliche Daten von Arbeitssuchenden ausspionieren, da sie zum Beispiel personalisierte Jobangebote an die Opfer versandten.

Ein Mitarbeiter der Firma Symantec entdeckte den Server der Phishing-Gang, die das Monster-Netzwerk erleichtert hatten. Sein erschreckender Fund: eine Datenbank mit 1,6 Millionen geklauten Datensätzen. Im Gespräch war seinerzeit sogar, dass die Hacker aus ihrem Datensatz Geldwäscher rekrutieren wollten (vgl. Spiegel Online).

Auf Netzpolitik.org findet sich ein Podcast zu dem Thema Phishing 2.0, in dem auch die strafrechtliche Relevanz diskutiert wird. Identitätsdiebstahl ist in, und eine Professionalisierung festzustellen (vgl. Marketing 24-Blog). Dies geht aus einem Report von Symantec hervor. Identitätsdiebstahl allerdings ist im Rahmen von sozialen Netzwerken besonders einfach. Noch – muss man sagen, denn eine Sensibilisierung der Benutzer wird (hoffentlich) irgendwann eintreten. Unter Freunden fühlt man sich vermeintlich sicher. Interne Kommunikationsmittel, werden sie erst einmal von “Intrudern” missbraucht, gaukeln Sicherheit vor.

Über den Autor

Mit 7 Jahren bekam ich meinen ersten PC mit 4 MHz und Monochrom-Monitor, sogar noch vor meinem ersten Game Boy. In der Zwischenzeit hab ich mich in Mailboxen rumgetrieben, 1998 die erste eigene Domain angemietet, viel gezockt (vor allem Plattformspiele und Action-Adventure), diverse Sprachen gelernt (Englisch, Spanisch, Polnisch, u. a. m.), Wordpress und ModX malträtiert, Linguistik und Soziologie studiert, in Informatik reingeschnuppert, und sogar einen eigenen Roman veröffentlicht.
(Alle Beiträge des Autors)

@keineschmerzen folgen

 Blog, Captcha, Phishing, Spam, Web-2.0, WWW, XRumer

 Und wie ist deine Meinung?

Schreib uns einfach!