Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
Mai 2010
17.05.2010 Phishing
     
zurück zum Verweis zur nächsten Überschrift Lawinengefahr ist versandet

 

 
Die Anti Phishing Working Group - APWG - berichtet von 126.000 Phishing-Angriffen im zweiten Halbjahr 2009 (1). Zwei Drittel davon sollen auf das Konto der Lawinen-Bande (Avalanche) gegangen sein, deren Angriffe jetzt wohl versandet sind.

Die hintergründige -Meldung bleibt unverständlich, wenn der Leser kein Vorwissen hat. Der Autor (Daniel Bachfeld) spricht vom Phishing und redet über Botnetze.

Das Phishing hat sich extrem gewandelt. Seine frühen Ausprägungen basierten auf Spam-Mails, mit denen die Empfänger zur Preisgabe ihrer Bankkonto-Zugangsdaten und Transaktionsnummern überredet werden sollten. Phishing ist zum Malware-Phishing geworden, wurde automatisiert und geschieht in Echtzeit. Die Malware beobachtet die Aktivitäten des Nutzers und greift aktiv in sein Homebanking ein.

Dazu eignet sich jeder Zombie in einem Botnetz. Seine Steuerungssoftware kann jederzeit um Phishing-Komponenten angereichert werden, weil sie Update-fähig ist.

Um das Homebanking zu manipulieren, benötigt die Malware Formulare, um dem Anwender die übliche Arbeitsumgebung vorzugaukeln, Vorgaben wegen der Bankkonten, auf die die Verfügungen umgeleitet werden sollen, und Rechenkapazität, um stimmige Transaktionen vorzuspiegeln. Dazu werden CC-Server (Command and Control) eingesetzt, an die die Malware ihre Anfragen richten muss. Ohne sie funktioniert weder das Phishing noch die Steuerung von  Botnetzen.
 

 
Wenn CC-Server abgeschaltet werden, funktionieren auch die kriminellen Aktivitäten nicht mehr.

Bachfeld selber war es, der auf Flux-Server hingewiesen hat. Sie werden vom CC-Server bestückt, agieren dann aber an seiner Stelle. Der CC-Server bleibt dadurch getarnt. Wird ein Flux-Server abgeschaltet, dann kann in einem Botnetz sofort ein anderer seine Rolle einnehmen. An die Hinterleute und ihrem unscheinbaren CC-Server ist dann kaum noch ein Rankommen möglich.

Phishing und Botnetze bilden eine Einheit. Darin stimme ich Bachfeld zu.

Was versteht er jedoch unter einem Angriff? Handelt es sich um die einzelne Kontomanipulation oder um die Verbreitung einer neuen Variante von Phishing-Malware? Sehr wahrscheinlich trifft die zweite Variante zu, weil ich mir kaum vorstellen kann, dass die APWG Kenntnisse über einzelne Kontomanipulationen durch Phishing hat, und weil Bachfeld auch von den Dauern der Lawinen-Angriffen berichtet.

Warum sagt er das aber nicht?
 

zurück zum Verweis Homograph Spoofing Attack

 
Bemerkenswert ist, dass die APWG bislang nur sehr wenige sogenannte Homograph Spoofing Attacks im Zusammenhang mit der Unterstützung des International Domain Name (IDN) beobachtet hat. Dabei sehen Zeichen in einer URL zwar richtig aus, sind es aber nicht. Beispielsweise werden ein kyrillisches a und ein lateinisches a von den meisten Zeichensätzen grafisch gleich dargestellt, obwohl es sich um unterschiedliche Zeichen handelt (look alike character). Diesen Umstand könnten Phisher bei Adressen wie www.paypal.com prinzipiell zur Täuschung benutzen. Die APWG vermutet, dass Phisher nicht darauf zurückgreifen, weil der Domainname ohnehin keine Rolle spiele – offenbar prüfen Anwender URLs immer noch nicht sorgfältig genug. (1)
 

 
Diese Variante kannte ich noch nicht. Sie reichert die klassischen Nummerntricks an.

 
Statt Anmerkungen: Alle Grundlagen finden Sie in dem Arbeitspapier Cybercrime

zurück zum Verweis Anmerkungen
 


(1) Einzelne Bande war für zwei Drittel aller Phishing-Angriffe verantwortlich, Heise online 17.05.2010
 

 

zurück zum Verweis Cyberfahnder
© Dieter Kochheim, 25.05.2010