Neue Phishing-Tricks: „Sie wurden nackt fotografiert“ (Spiegel Online, 22.4.2008)

Neue Phishing-Tricks

"Sie wurden nackt fotografiert" 

Simple Schadsoftware im E-Mail-Anhang zieht nicht mehr so gut. Computerkriminelle verlagern sich darauf, Webseiten mit Schnüffelprogrammen zu präparieren. Mit clever gestrickten Spam-E-Mails locken sie Computernutzer auf diese Seiten – per Gerichtsvorladung und Videobeweis.

Spiegel Online, 22.4.2008

Fällt darauf noch jemand rein? Öffnet heute wirklich noch jemand angehängte Dateien in E-Mails mit Betreffzeilen wie "Hello Breitling and Versace"? Sicher. Aber offenbar tun das weniger Menschen als früher. Die kriminellen Schöpfer von Schädlingen, die Computer Ahnungsloser aushorchen oder für den Spam-Versand kapern sollen, verlagern sich auf schlauere Angriffsmethoden als die "Klick-doch-mal-auf-den-Anhang"-Mail. Das berichten Hersteller von Schutzsoftware.

Sie stellen aus Eigeninteresse (Softwareverkauf) womöglich die Risiken ein wenig drastisch dar, liegen mit ihren Erkenntnissen über die Methoden aber generell richtig.

Ein Trend: Kriminelle schleusen über Server-Sicherheitslücken auf fremden Webseiten eigene Schadprogramme ein. Wer mit einem ungeschützten Browser eine dieser Seiten aufruft, hat womöglich einen infizierten Rechner. Die Forscher des Schutzsoftware-Anbieters Sophos haben ( PDF) in den ersten drei Monaten dieses Jahres im Durchschnitt täglich 15.000 derart infizierter Webseiten entdeckt. Im selben Zeitraum habe sich die Menge an E-Mails mit Schadsoftware im Anhang mehr als halbiert.

E-Mails nutzen die Datenkriminellen immer häufiger, um potentielle Opfer auf infizierte Webseiten zu locken. Die Lock-E-Mails sind cleverer gestrickt als zuvor. Ein aktuelles Beispiel beschreibt die US-Sicherheitsfirma Marshal: Eine neue Spam-Flut grabscht mit der Betreffzeile "Wir haben dich nackt erwischt, IHR NAME. Check das Video!" Als Namen setzt der Spam-Versender einfach den Namensbestandteil der E-Mail-Adresse ein, an welche die Spam-Nachricht geht.

Nacktattacken, Gerichtsbescheide und Phisher-Versprechen –SPIEGEL ONLINE dokumentiert clevere Lock-Mails.

Wir haben Sie nackt erwischt!

In der "Wir haben dich nackt erwischt"-E-Mail verweist ein Link auf das angebliche Beweisvideo – kein verdächtiger Anhang erregt das Misstrauen. Der Trick dürfte häufiger funktionieren als die antiquierten "Schau-dir-mal-diese-Datei-an"-Nachrichten. Marshal-Technikchef Bradley Anstis erklärt in der Firmenmitteilung: "In der Eile, die Behauptung zu prüfen, werden einige Leute nicht daran denken, dass dieser Link zu Schadsoftware führen könnte."

Wer auf den angeblichen Verweis zum Nacktvideo klickt und einen Rechner mit Schwachstellen hat, macht seinen Computer zu einem Teil des Srizbi-Botnetzes, einer Gruppe von infizierten und über das Netz ferngesteuerten Rechnern. Der Nackttrick scheint ganz gut zu funktionieren: Fast die Hälfte der von der US-Sicherheitsfirma Marshall abgefangenen Spam-Nachrichten stammt derzeit aus dem Srizbi-Botnetz. Im vorigen Dezember waren es nur 20 Prozent. Der Sicherheitsdienstleister Secure Networks sieht Srizbi derzeit als das größte Botnetz – weit mehr als 300.000 Computer sollen dazugehören und täglich 60 Milliarden Spam-Mails versenden.

Sie sind vorgeladen!

Die norwegische Sicherheitsfirma Norman berichtet von offensichtlich zielgerichtet an Unternehmen verschickten E-Mails, die sie zu einem Prozess vorladen. Die Betreffzeile (zum Beispiel "Vorladung in Fall #75-256-XIV") liest sich vertrauenserweckend bürokratisch, die Grammatik des englisches Nachrichtentextes ist fehlerfrei.

Norman-Geschäftsführer Trygve Aasland hat eine solche Vorladung bekommen. Erstaunlich: Diese Nachrichten enthalten den korrekten Firmennamen, sind namentlich an den entsprechenden Geschäftsführer adressiert und führen in manchen Fällen sogar die korrekte Telefonnummer der Firma auf, berichtet Norman.

Die vermeintliche Vorladung bittet, das Originaldokument auf der Webseite des Gerichts herunterzuladen. Klickt man auf den entsprechenden Link, landet man auf einem in China stehenden Server und wird gebeten, ein Plug-in zu installieren, um das Dokument korrekt betrachten zu können. Die dann installierten Dateien acrobat.exe und acrobat.dll zeigen dem Empfänger aber keine Gerichtsdokumente an, sondern den Kriminellen Mail-Versendern den kompletten Inhalt des infizierten Computers ihres Opfers.

Wir schenken Ihnen Phishing-Software!

Auf zwielichtigen Seiten machen Kriminelle leichtgläubigen Möchtegern-Crackern verlockende Angebote: Software runterladen, laufen lassen, Rechner infizieren, Adressen sammeln und verkaufen. Man muss nicht programmieren können, man muss keine Ahnung von Sicherheitslücken und derlei haben, sondern kann einfach in ein paar Minuten die eigene Schadsoftware mit einem kostenlosen Baukasten zusammenklicken.

Das klingt so gut wie die diversen Geldtransferangebote in Spam-Nachrichten (kaum Arbeit, viel Geld). Zu gut, um wahr zu sein. Candid Wüest, Sicherheitsexperte der Firma Symantec, erklärt: "Viele der angebotenen Phishing-Kits haben immer häufiger eine Backdoor, die es dem Autor erlaubt, die gestohlenen Daten des unerfahrenen Phishing-Anfängers gleich wieder zu stehlen."

Und so fallen Möchtegern-Gaunern der eigenen Gier zum Opfer. Schön eigentlich – wenn sie dabei nicht Schadsoftware verbreiten würden.