Home      Themenübersicht / Sitemap      Notizen      Webmaster      

Dieser Artikel ist Teil einer Serie zum Thema Schadsoftware (Malware).

Dieser Artikel hier gibt einen Überblick über verschiedene Formen der Schadsoftware: Spam, Trojanern und anderen Schädlinge. Tipps für Heim-PCs erklärt wie man seinen Rechner am besten schützt, der dritte Artikel erklärt die wirtschaftlichen Hintergründe: Was ist eigentlich das Business Modell der dunklen Seite im Internet?.
Der vierte Artikel gibt dann eine Übersicht über die Angreifer im Internet und der letzte Artikel erklärt was die Angreifer machen, wenn sie einen Rechner übernommen haben.

Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

 

 

Die dunkle Seite des Internets

Phishing, Adware, Trojaner, Zombie-Netze und andere Schädlinge

Stand Dez. 2013

Scareware, Ransomware

Hier jetzt erst mal 2 aktuelle Angriffsarten: Ransomware gaukelt dem Benutzer des infizierten PCs vor, eine offizielle Stelle (FBI, Bundeskriminalamt, etc. je nach Land) hätte den PC gesperrt weil der Benutzer etwas illegales getan hätte. Die Angreifer verschlüsseln die Dateien des Benutzers und verlangen eine Lösegeldzahlung mittels eines anonymen Bezahldienstes. Leider zahlt eine große Zahl der Opfer, helfen tut ihnen das aber in aller Regel trotzdem nichts, der Rechner bleibt gesperrt. Die Anti-Malware Firmen bieten zum Teil Software an, um den Rechner wieder zu entsperren, das sicherste ist aber, die Platte vollständig zu löschen (formatieren mag nicht ausreichen) und den Rechner neu aufzusetzen (gut, wenn man eine aktuelle Datensicherung hat).

Beispiel für Scareware: "Global Virus Alert - Your PC may be in danger!"

Scareware nennt man die Versuche, Windows- und Apple-Benutzern falsche Sicherheitssoftware zu verkaufen, bzw. unterzujubeln indem man ihnen vorgaukelt, dass ihr Rechner infiziert sei (siehe links). Dies geschieht z.B. indem sich beim Browsen im Internet ein Fenster öffnet, das wie ein Systemfenster aussieht und über eine vorgebliche Infektion berichtet. Der Benutzer soll eine kostenlose Software herunterladen und installieren um das Problem zu beheben. Bis zu dieser Stelle ist erst mal noch nichts passiert.

Wenn der Benutzer dann diese Software installiert so dann findet die Software (Scareware genannt) angeblich weitere Schadsoftware und verlangt dann dass der Benutzer Geld für eine angebliche Vollversion ausgibt. Oft verdreht die Software sogar die Suchergebnisse in Google so, dass der Benutzer nicht mal mehr auf die Websites der legitimen Anbieter von Sicherheitssoftware kommt und die ersten 10 Suchergebnisse berichten, dass man das angebliche Problem durch den Kauf von kommerzieller Software oder durch den Download von Removal-Tools beheben kann. Oft findet die Initial-Infektion ohne Zutun des Benutzers statt, z.B. durch über eine nicht-aktuelle Version des Adobe Readers oder von Flash, Quicktime oder auch über eine Nachricht auf Skype.

Diese Software infiziert dann den Rechner immer weiter. Dieses Problem gibt es auf Mac OS und Windows-Systemen und lässt sich manchmal nur durch eine komplette Neu-Installation beheben. Hier ein Artikel aus 2008: Starke Zunahme dubioser Antivirensoftware, mittlerweile (2011) wird es immer mehr zu einem Problem. Wie kann man sich schützen und wie kann man den Rechner wieder säubern: Hier sind meine PC-Tipps.

 

Spam: Unerwünschte Zusendung von Massen-E-Mails, oft mit gefälschtem Absender (Spoofing). Kann direkt, über den Verbrauch von Bandbreite, oder indirekt, z.B. über Sperrung des gefälschten Absenders für diesen zu einem Sicherheitsproblem werden. Der Schutz geschieht über Ausfiltern der E-Mails, entweder über Listen von Versendern oder über den Inhalt der Mails.
Woher bekommen die Spammer ihre Adressen?

Von Website, z.B Postings in Blogs in denen der Benutzer etwas eingetragen hat

Von Websites die ihre Dateien nicht ausreichend geschützt haben (z.B. Registrierungs-E-Mail-Adressen)

Mittels "Dictionary Attack" gegen große ISPs oder Free-mailer (senden von geratenen Adressen, Warten auf Nicht-Zustellbarkeit)

von infizierten Privatrechnern oder Smartphones deren Adressbuch ausgelesen wird (die meisten Apps ziehen das Adressbuch ab)

Verkauf durch Firmen, die die Adresse legitim erfahren haben (z.B. Registrierungen, Mailing Lists oder Shopping im Internet, "meine Adresse darf an Partnerfirmen weitergegeben werden")

Kauf aus der Konkursmasse von E-Commerce-Firmen, in diesem Augenblick gelten die Privacy Regeln der Originalfirma nicht mehr, der Konkursverwalter macht alles zu Geld

Spam, Trojaner und andere Probleme

Im Jahre 2004 feierte Spam sein 10-jähriges Jubiläum:

Vor fast 20 Jahren - am 12. April 1994 - haben zwei Anwälte in Arizona ein selbst gestricktes Softwareprogramm in Betrieb genommen, mit dem sie ihr Geschäft ankurbeln wollten. Mit Hilfe eines Scripts überschwemmten sie die damaligen Onlineforen (Vorläufer der Web-Communities und Chat-Rooms) mit Werbung für ihre Anwaltskanzlei, Canter & Siegel. Seither sind unerwünschte Mail in den Postfächern zum unausweichlichen Begleiter unseres elektronischen Alltags geworden. Der wütenden Reaktion zahlreicher User auf diese Marketingaktion verdankt das Phänomen auch seinen Namen: "Schickt Cantor & Co. Kokosnüsse und Dosen mit Spam", schrieb ein empörter Usenet-Leser - andere Poster griffen das Wort auf, die Marke eines Dosenschinken. (Hier ein Link zu dem Sketch, in dem Monty Phyton das Wort Spam berühmt macht).

Die Spam-Mails die sie sehen sind nur wenige Prozent der Spam-Mails die versendet werden. Über 90% wird erst gar nicht zugestellt.
Quelle: Microsoft Security Intelligence Report (SIR) 1. Hälfte 2010

Spam liegt wie fast alles heute den Kräften von Angebot und Nachfrage. Spamer versenden den Typ vom Spam-Mail der gerade am meisten Geld bringt.
Quelle: Microsoft Security Intelligence Report (SIR) 2012

Wie sowohl der Sophos Security Threat Report 2012, wie auch der Microsoft Security Intelligence Report (SIR) 2012 berichten, hat Email-Spam für die "dunkle Seite des Internets" erheblich an Bedeutung verloren. Der Grund liegt einmal darin, dass das Blockieren von Spam immer effektiver geworden ist, anderseits aber auch, dass andere Methoden viel einfacher und zielführender sind. Dazu gehört z.B. die Verbreitung von Links über Social Networks, Twitter und ähnliche Medien. Auch Drive-By Downloads funktionieren weiterhin sehr effektiv für die Angreifer, soiwohl bei Windows PC wie auch bei MacOS Systemen.

Die Graphik links zeigt leider sehr deutlich, dass das Öffnen von Mails, die im Spam-Folder sind, fast nie eine gute Idee ist. 4% verteilen Schadsoftware, weitere 4% sind Phishing Mails und 10% sog. 419-Scam-Mails. Ein drastisches Beispiel was beim Herausklauben von Spam aus dem Spam-Verzeichnis passieren kann ist der Angriff auf die Firma RSA.

Trojaner: bzw. besser Trojanisches Pferd: Historisch das Holzpferd, mit dem es Odysseus gelang, sich Zutritt zur stark befestigten Stadt Troja zu erschleichen. In der modernen Fassung eine Software, die vordergründig eine definierte Aufgabe erfüllt, aber zusätzliche Funktionen enthält. So werden bei der Installation von Freeware fast immer zusätzliche Programme installiert, oft wird sogar korrekt im EULA darauf hingewiesen. Im harmlosesten Fall ist dies Adware, aber es kann auch Spyware oder Backdoor-Software sein.

Adware: Programme die meist unerwünscht und heimlich auf einem Rechner installiert werden (Trojaner) und die Pop-ups oder ähnliche Mechanismen verwenden, um Reklame zu präsentieren. Dies ist zu unterscheiden von Spyware im engeren Sinne, die Informationen wie Passworte u.ä. ausspioniert. Aber auch Adware liefert meist Informationen über das Surfverhalten der Benutzer zurück, damit die Reklame gezielter präsentiert werden kann.

 

Spyware: Software, die oft in der Form eines Trojaners oder unter Ausnutzung von Schwachstellen auf dem Rechner des Benutzers installiert wird und die dann dort z.B. Passworte, das Surf-Verhalten des Anwenders, oder E-Mail-Adressen ausspioniert und an den Autor der Spyware sendet. Eine spezielle Form sind Key Logger. Auf diese Weise finanzieren sich z.B. manche Raubkopierer oder P2P-Programme. Die Abgrenzung zu Adware ist umstritten. Hersteller dieser Software wehren sich gegen den Begriff Spyware, obwohl ihre Programme zwecks Optimierung der in Form von Pop-ups dargestellten Anzeigen oft das Surfverhalten der Benutzer weiterleiten.

EULA: (End User Licence Agreement) Bei der Installation von Software entweder durch einen Accept-Button oder durch Öffnen der Packung getroffene Vereinbarung. Die Rechtswirksamkeit solcher Verträge wird zumindest in Europa zum Teil bestritten. Diese Agreements sind Grundlage für den Streit zwischen Adware-Firmen und Anti-Spyware-Anbietern. Die Adware-Firmen sagen, dass ihre Programme (die als „Beipackung“ bei anderer Software mitinstalliert werden) keine illegale Spyware sind, weil der Benutzer ja die EULA akzeptiert hat. Daher wird manche der Adware von kommerziellen Anbietern von Antiviren-Software ignoriert.

Aber Spam ist ja nur eines der vielen Probleme, die heute für viele Leute die Nutzung des Internets sehr lästig gestalten. Da ist z.B. auch Spyware und Adware (siehe Hintergrundartikel, englisch), d.h. Programme, die als sog. Trojaner vom Benutzer aktiv auf dem Rechner installiert werden, z.B. weil der Anwender ein kostenloses Spiel oder eine Raubkopie von einem Softwareprogramm installiert hat. Spyware liefert Informationen über den Benutzer des Rechners, entweder "nur" sein Surf-Verhalten und seine Interessen, aber manchmal auch seine Passworte, z.B. für Online-Banking an den jeweiligen Auftraggeber. Adware präsentiert ständig irgendwelche lästigen Pop-up Fenster mit Werbung. Zum Schutz gegen Spyware und andere Schadsoftware gibt es übrigens kostenlose Programme.

Interessante Hintergrundinformationen, z.B. auch wie man Leute identifizieren kann, die Adressen ernten, gibt es hier. Eine sehr ausführliche Studie der bundesdeutschen BSI (pdf, 2MB) zeigt zusätzlich zu den technischen Aspekten der verschiedenen Filtermethoden auch juristische Aspekte auf, sowohl für das Unternehmen, das eingehende E-Mail filtern will, wie auch für das Unternehmen, das Massenmails versenden will.

Mittlerweile sind auch die Spammer bei Web 2.0 angelangt und nutzen Techniken wie Social Networking. Sie haben z.B. automatische Programme zum Einfügen von Links in Gästebücher und Diskussionsforen oder nutzen sog. Doorway-Sites, das sind automatisiert erstellte Websites zu trendigen Themen, deren Inhalte von legitimen Websites wie Wikipedia geplündert werden. Mehr dazu unter Partnerka Networks.

Hier findet sich eine ständig aktualisierte Linkliste zu Reports und Studien zu Malware.

 

 
Nach oben

30 Sekunden Tipps für sicheres Internet-Banking

  1. Grundvoraussetzung ist ordentliche Grundhygiene des PCs oder Macs
  2. Für Internetbanking und andere Finanzwebsites immer einen separaten Browser verwenden, der NUR für solche Websites genutzt wird (ich verwende dafür Chrome). In der Liste der Favoriten sind NUR die Banken drin und diesen Browser NIE für das restliche Internet verwenden. Dieser Browser bekommt KEINE Plugins, Extensions oder irgendwelche anderen fremden Komponenten
  3. Große Skepsis bei allem was anders ist als beim vorigen Mal, lieber einmal zu oft beim Call-Center anrufen

Eine ganze Reihe von Vorschlägen, wie Phishing erheblich erschwert werden könnte und viele Details über die Angriffstechniken finden sich im Artikel: Phishing-Misere.

Eine technischere Betrachtung zu Schutzmaßnahmen gegen Phishing (auch unter Berücksichtigung zukünftiger Angriffe) befindet sich unter dem Stichwort Man-in-the-Middle Angriffe

 

Phishing und andere Methoden des elektronischen Bankraubs

Traditioneller Bankraub kommt bei den Profis mehr und mehr aus der Mode. Es ist viel bequemer und vor allem sicherer, irgendwo von Brasilien oder Thailand aus eine große Zahl von Konten auszuräumen. Und das geschieht oft über eine neue Methode, das sog. phishing.

Phishing: Kunstwort aus "password fishing". Das Erschleichen von Passworten, z.B. durch das Versenden von E-Mails die zu einer Passworteingabe auf einer gefälschten Website auffordern. Typischer Weise mit Irreführung des Benutzers verbunden

Beim Phishing geht es darum, dass Angreifer in großen Mengen SPAM-Mails versenden, in denen der Adressat aufgefordert wird, seinen Account bei eBay, einer Kreditkartengesellschaft oder einer Bank zu aktualisieren und dafür sein Passwort und oft auch TANs einzugeben. Natürlich sind die meisten Empfänger dieser E-Mails gar keine Kunden der betroffenen Bank, aber wenn 1 Million Mails versendet werden, so sind wenige Prozent doch eine sehr große Zahl. Leider klappt das ziemlich oft. Gartner berichtete im Mai 2004: 3 Mio. Amerikaner sind bereits Opfer von Phishing geworden, mit einem Schaden in 2003 von 1,2 Milliarden $ (und es begann erst im Herbst 2003).

Interessant: ein Artikel aus 2014 beschreibt die Betreffs, bei denen am schnellsten geklickt wird:

1. Invitation to connect on LinkedIn

2. Mail delivery failed: returning message to sender

3. Dear Customer

4. Comunicazione importante

5. Undelivered Mail Returned to Sender

Details dazu gibt es z.B. in diesem interessanten ausführlichen Artikel im securityfocus (englisch). Eines dieser E-Mails habe ich hier aus technischer Sicht detailliert beschrieben (auf deutsch).

Spear Phishing: (engl. Speer(p)fischen) Variante des Phishing Angriffs, bei der gezielt einzelne Personen oder eine Gruppe E-Mails mit entsprechender Spyware (z.B. Keylogger) erhält. (targeted email trojans). Ziel ist dabei oft Industriespionage

antiphishing.org ist ein Zusammenschluss vieler Banken, die sich gegen Phishing zu wehren versucht. Dort können Phishing-Emails von jedem eingemeldet werden.

Geldwäsche

Wenn der Kunde den Benutzernamen, Passwort und vielleicht sogar TANs eingegeben hat, so räumen die Angreifer so viel wie möglich vom Konto des Betroffenen aus. Aber wie schaffen es die Betrüger, an das Geld zu kommen, wo doch eine Überweisung leicht nachvollziehbar ist? Eine der möglichen Lösungen ist eine Betrugstechnik, bei der auf Job-Websites angeboten wird, dass jemand leicht Geld als ein sog. "Finanzmanager" oder "Finanzagent" verdienen kann, er braucht nur ein Bankkonto. Die Phisher überweisen dann das Geld von dem "geklauten" Bankkonto auf das Konto des Finanzagenten, der muss 90% abheben und bar weiter überweisen an eine Adresse im Ausland, postlagernd, z.B. über Western Union. Irgendwann kommt die Bank dann der Sache auf die Spur, die Polizei kommt zum vermeintlichen Finanzagenten und der hat einen kräftigen Prozess und Schadenersatzforderungen am Hals. Siehe dies Geldwäsche-Beispiel (Geldwäsche-Beispiel 2) und ein Artikel in heise.de.

Der neueste Trick (Herbst 2006): das Bundeskriminalamt in Deutschland warnt vor einem neuen Trick: Die Phisher bezahlen mit dem Geld von den gecrackten Konten entweder Käufe bei eBay, bezahlen jedoch viel zu viel und bitten um Rücküberweisung in bar. Oder sie leisten Vorauszahlungen für Gebrauchtwagen, Ferienwohnungen oder ähnliches, treten vom Verkauf zurück und bitten um Rücküberweisung des Geldes (oder eines Teiles) in bar.

Der deutsche Bankenverband hat eine informative Seite zum Thema Finanzagent (Money Mule) ins Netz gestellt: Vorsicht vor dubiosen Job-Angeboten im Internet. Dazu gibt es auch eine 6-seitige PDF-Brochüre Tätigkeit als Finanzagent?.

Banken sind immer noch das beliebteste Ziel der Phisher, aber auch mit den Social Networking und Gaming-Accounts lässt sich heute Geld verdienen.
Quelle: Microsoft Security Intelligence Report (SIR) 1. Hälfte 2010

Frühjahr 2005: Jetzt gibt es komplette Phishing Kits im Internet, Komplettpakete, mit Spamming Software, Tools zum Kopieren von Websites und andere Hilfen.

Mai 2005: Neuere Angriffsmethoden machen es für den Kunden extrem schwer, einen Phishing-Angriff zu erkennen. Letztendlich geht es bei diesen Angriffen um Variationen einer traditionell eher theoretischen Angriffsmethode, des Man_in_the_Middle-Angriffs, die heute immer realer wird und wirklich durchgeführt wird.

Eine Phishing Studie des Honeynet Projects gibt viele Detailinformationen über die genauen Abläufe von Angriffen. (Juni 2005)

Auf dieser Website gibt es einen guten Überlick, woran man Phishing Mails erkennt.

Veröffentlichungen weisen auf eine neue Methode hin: personalized phishing. Die Benutzer werden nicht über Massenmail angeschrieben, sondern es wird ihnen bereits ihr Name, Geburtsdatum, Kreditkartennummer, u.ä. vorgegeben und nur noch wenige fehlende Daten abgefragt. Es gibt Gerüchte, dass das Material für diesen Angriff aus dem "Verlust" von 40 Mio. Kundendaten bei CardSystems stammt. (Juli 2005)

Eine ganze Reihe von Vorschlägen, wie Phishing erheblich erschwert werden könnte und viele Details über die Angriffstechniken finden sich im Artikel: Phishing-Misere.

Eine technischere Betrachtung zu Schutzmaßnahmen gegen Phishing (auch unter Berücksichtigung zukünftiger Angriffe) befindet sich unter dem Stichwort Man-in-the-Middle Angriffe

Mai 2006:
Ein neuer Trick der Phisher übers Telefon: Die Angreifer schicken ein E-Mail mit der angeblichen Telefonnummer der Bank und bitten um Kontaktaufnahme. Es meldet sich ein Computer und der bittet um die Eingabe von Kundennummer/Verfügernummer, PIN und möglicherweise auch TAN.

März 2008:
Das Bundeskriminalamt in D. berichtet: "Die Zahl der Diebstähle fremder Kontodaten (Phishing) wuchs 2007 um 20 Prozent auf 4200 Fälle, die durchschnittliche Schadenssumme um die Hälfte auf 4000 bis 4500 Euro."

Dez. 2011: Immer neue Tricks, hier gut dokumentiert: Banking-Trojaner verleitet Kunden zu vermeintlicher Rücküberweisung. D.h. dem Kunden wird ein zu hoher Kontostand vorgespiegelt und er wird aufgefordert, das Geld zurückzuüberweisen. Das funktioniert bei einem infizierten Rechner der einen falschen Kontostand anzeigt. Der Kunde hat hier schlechte Karten gegenüber der Bank: er hat die Überweisung ja selbst angewiesen.

 

 
Nach oben

 

Die Infektion der Rechner

Diese beiden Grafiken illustrieren, wie das konsequente Absichern des Windows Betriebssystem zu einer Verschiebung der Angriff zu Microsoft Office geführt hat. (Quelle: McAfee Security Journal) - Ebenso angestiegen ist gleichzeitig das Ausnützen von Schwachstellen in Browsern (siehe unten) und in Flash/Shockwave, Quicktime, PDF-Dokumenten, etc. D.h. wenn ein Loch zugemacht wird dann suchen sich die Angreifer eben ein anderes.

Sog. Hacker entwickeln verschiedene Formen von Schadsoftware (Malware). Darunter fallen Viren, Würmer, aber auch Spyware, Keylogger, Angriffssoftware zum "Knacken" von Schutzmechanismen wie z.B. Firewalls und vor allem Software zum Ausnützen von Schwachstellen, d.h. Programmierfehlern in Betriebssystemen und Anwendungsprogrammen.

Andere Hacker beschäftigen sich damit, solche Schwachstellen zu finden und sie verwenden dafür sogar automatisierte Tools, wie z.B. Fuzzing. Die verschiedenen Formen von Schadsoftware werden dann auf verschiedenen Wegen zu Geld gemacht, z.B. durch Verkauf an speziellen Online-Börsen im Internet (wo auch neu-entdeckte Schwachstellen, Kreditkarten und E-Mail Adressen gehandelt werden).

Ziel der Angriffssoftware ist letztendlich die Übernahme (Infektion) möglichst vieler Rechner im Internet. Das kann z.B. mittels Viren oder Würmern, geschehen, die über Spam-E-Mail verteilt werden. Oder in der Form von sog. Trojanern, d.h. zusätzlich installierte Software in Raubkopien oder auch in Share- oder Free-Ware (wie z.B. Spielen, Musik-Download-Software, etc.).Das Installieren von Raubkopien ist eine ziemlich sichere Methode, seinen Rechnern zu infizieren. Aber es geht auch anders. Es ist heute nämlich durchaus nicht mehr so, dass ein Benutzer auf einen Mail-Anhang klicken muss, um seinen Rechner zu infizieren. Mailprogramme, die HTML-Mail direkt interpretieren (wie die meisten es tun), erlauben es dem Angreifer, über Javascript im E-Mail auch ohne Hilfe des Benutzers einen Rechner zu infizieren (ein aktueller Virenschutz hilft hier). Und auch von Websites kann automatisch, ohne Zustimmung des Nutzers, auf nicht ganz optimal geschützten Rechnern etwas installiert werden. Oder über Instant Messaging Würmer werden von vermeintlichen guten Bekannten Links im Chat-Fenster angeboten, die auf infizierte Websites führen.

Ein anderer Einsatz der on den Hackern entwickelten Angriffssoftware läuft über die Schiene der Port-Scanner, das sind Leute die das gesamte Internet ständig automatisiert nach Rechnern absuchen, auf denen nicht die aktualisierten Versionen der jeweils genutzen Software installiert sind und über deren Schwachstellen eine Infektion und damit Übernahme der Rechner durchgeführt werden kann. Alle Rechner im Internet sind ständig solchen Angriffsversuchen ausgesetzt, Firewalls und aktuelle Software schützen dagegen zumindest teilweise. Ein ungeschützter Rechner im Internet braucht im Durchschnitt zwischen 5 und 12 Minuten bis er infiziert worden ist.

Bei der Infektion eröffnet diese Schadsoftware zumeist erst einmal ein sog. Backdoor, d.h. einen Hintereingang, über den der Auftraggeber beliebigen Zugriff auf den Rechner hat, solange dieser am Internet hängt. Dies bedeutet, dass diese Rechner von den Auftraggebern ferngesteuert und benutzt werden können. Solche Rechner werden "Zombies" genannt, mehr zu diesen Rechnern weiter unten.

Hier gibt es eine sehr ausführliche (und auch sehr technische) Analyse eines Tests, bei dem ein ungepatchter XP-Rechner auf eine einzige Website mit Spielen zugriffen hat. Nach kurzer Zeit waren 3 MB mit zusätzlichen Programmen installiert und der Besitzer hat kaum noch Kontrolle über den Rechner. Die Details finden sich auf heise.de (die technischen Details einfach überspringen, die sind mir auch zu kompliziert). Die Zusammenfassung befindet sich dann auf Fortsetzung 4 und zeigt, dass die Spammer und die Spyware-Leute sehr eng zusammenhängen.

Hier eine recht interessante Zusammenfassung zur Basis-Technologie von Malware wie Infektion durch dropper, P2P command & control Strukturen u.ä.: malware to crimeware: how far have they gone, and how do we catch up?.

 

 
Nach oben

Drive-By Downloads

Eine Technik, die für die Angreifer auch 2012 extrem gut wirkt, ist die sog. "Drive-By"-Infektion. Dafür werden fremde Webserver infiziert (was bei den vielen Millionen von Webservern im Internet leider nicht schwer ist). Google hat in einer Studie zu Drive-by-Infektionen (pdf) 450 000 ganz klare drive-by-downloads URLs gefunden (Installation von Software ohne Benutzerinteraktion), weitere 700 000 URLs waren zumindest dubios. Und das sind zumeist absolut harmlose Websites. Diese große Zahl entsteht zum Teil dadurch, dass bis zu 1000 Websites auf einem Rechner gehostet werden und dann oft eine einzelne Infektion viele Tausend infizierte URLs ergibt.

Die Angreifer nutzen eine Schwachstelle auf dem Webserver aus (z.B. zu alte Software) und bauen dann zusätzlichen Code dort ein, oft sehr gut versteckt. Das können dann z.B. sog. iFrames sein, die bei den Besuchern der Website automatisch die Schadsoftware installieren. Oder es werden Dokumente angeboten (in pdf, Flash- oder Shockwave-Format, oder als MS Office Dokument). Alle, die diese Dokumente laden oder die Filme betrachten (die evtl. automatisch abspielen :-( ) und deren PDF-Reader, oder MP3-, Flash- oder Shockwave-Plugins u.ä. nicht 100% aktuell ist, werden infiziert ohne dass der Anwender etwas bestätigen muss und oft auch ohne dass ein Virenscanner anschlägt. Vorteil für den Angreifer ist, dass für die Infektion kein Eindringen in das Netz und den Rechner notwendig ist, der Benutzer ruft (unwissentlich) die Malware selbst ab und leitet sie sicher durch seinen Firewall durch.

Der Sophos Security Threat Report 2012 berichtet von mehr als 30 000 neu infizierten Websites pro Tag, 80% davon reputierliche Websites.

Dieser Screenshot zeigt, dass selbst reputablen Websites böswillige Werbung untergeschoben werden kann, die dann versucht, die Rechner entweder beim Download bereits zu infizieren, oder erst beim Klick. Was kann ich dagegen tun? Meinen Rechner immer aktuell halten (z.B. mit PSI-Expert - kostenlos) und beim Klicken im Zweifel vorsichtig sein.
Quelle der Graphik: http://www.techrepublic.com/

Drive-by Angriffe gibt es auch über Websites, bei denen die Benutzer eigene Eingaben machen können, z.B. im Gästebuch, Kommentaren in Blogs oder ähnlichem. Wenn der dort eingegebene Text nicht sehr gründlich auf bösartigen HTML- oder JavaScript-Code untersucht und bereinigt wird, so kann auf solchen Seiten sehr schnell eine Infektion stattfinden. Die Angreifer verwenden automatische Programme, um auf allen Seiten einen entsprechenden Code zu platzieren. Aufpassen müssen Webmaster auch, wenn sie kostenlose Angebote wie Besucherzähler in ihre Website einbinden. Auch darüber kann leicht eine Infektion bei allen Besuchern erzeugt werden. (Details dazu in dem obigen Link)

Leicht zu infizierende Webserver sind übrigens ganz leicht zu finden: Durch die Eingabe der richtigen Suchbegriffe in Google finden sich ohne große Sucherei verwundbare Systeme. Der Suchbegriff "intitle:phpMyAdmin "Welcome to phpMyAdmin ***" "running on * as root@*" listet alle phpMyAdmin Installationen die mit root rechten laufen (gleich mit PHP Version, und notwendiger Info für den Angriff) ... Heißer Tipp an die Administratoren der Webserver: Sehr zügig aktuelle Versionen einspielen. Ein Beispiel für solche "Google Hacks": Goolag Scan, ein kleines .Net-Programm, das knapp 1500 vorkonfigurierte Google-Suchanfragen in Kategorien wie "Vulnerable Servers", "Sensitive Online Shopping Info" und "Files containing juicy info" präsentiert. Aktuelle Meldung April 2008: Hunderttausende Webseiten mit schädlichem JavaScript infiziert .

2008: Finjan bringt eine sehr gute Beschreibung von NeoSploit als Angriffstool (pdf, aber erst nach Registrierung), mit dessen Hilfe eine große Zahl von Websites sehr iffizient infiziert werden kann. Und in der Januar-Ausgabe ihrer Berichte sind Details beschrieben, was genau auf den Webservern abläuft, nachdem sie infiziert sind.

Google findet bei ihrem Web-Crawling 1,3% (pdf) Seiten mit Angriffscode, d.h. über 3 Millionen gefährliche Webseiten und davon die allermeisten auf "reputablen" Websites, und nicht nur auf Sex-Seiten. Ungefähr die Hälfte der Websites verteilt die Schadsoftware weil ihre eigene Software nicht akutell und damit leicht zu infiltrieren ist, aber bei einem guten Teil wird die Schadsoftware über bezahlte Werbung verteilt, der Rest verteilt die Schadsoftware, weil bei der Website die Benutzer eigene Kommentare schreiben können (z.B. Blogging-Sites) und diese nicht auf ihren Inhalt geprüft werden. Und recht beunruhigend: der Test gegen 3 der bekannteren Antiviren-Produkte zeigt Erkennungsraten zwischen 20 und 70%, d.h. auch ein aktueller Virenschutz schützt nur sehr begrenzt gegen Drive-by-Downloads (ist aber trotzdem absolut notwendig).

Ein gutes Tutorial zum Ablauf von solchen Angriffen bietet SANS. Und der folgende Artikel erklärt sehr gut, wie die Experten bei der Analyse einer verdächtigen Datei vorgehen.

Wie weit die Arbeitsteilung im Untergrund bereits gediehen ist zeigt ein Artikel Underground call-centre for identity theft uncovered der über illegale Call Center berichtet, die gegen Bezahlung Social Engineering Angriffe z.B. gegen Bankkunden durchführen und auf diese Weise versuchen, ohne Zugangscodes, TAN-Listen oder die Einmal-TANs zu kommen, die per SMS versendet werden. Sie geben dann z.B. vor, von der Servicestelle der Bank zu sein und helfen zu wollen.

 

An anderer Stelle habe ich einen kurzen Aufsatz zur Frage was das besondere an Internet-Kriminalität ist.

 

 
Nach oben

 

Zusammenhänge und Geschäftsmodelle - alles rund um die dunkle Seite des Internets

Die folgende Graphik illustriert die Zusammenhänge zwischen vielen der Angriffstechniken und den Business Modellen der Angreifer: wie finanziert sich eigentlich das Ganze, wovon lebt ein Hacker denn eigentlich?


Klicken für die volle Auflösung

An anderer Stelle schreibe ich über Berichte zu aufgedeckten Hackern. In dem dort verlinkten Bericht über die Koobface Malware Gang wird u.a. eine detaillierte Grafik gezeigt, die ein reales Beispiel für die Arbeitsteiligkeit im Internet-Untergrund darstellt.

 

 
Nach oben

 

Zombie: in der EDV ein PC, der mit Hilfe eines Trojaners, bzw. RAT (remote-access-trojan), von einem Angreifer zu illegalen Zwecken genutzt werden kann. Eine große Zahl davon bildet ein Botnet (oder Zombienetz). Diese können für illegale Zwecke, z.B. dDoS-Angriffe, aber auch die Verteilung von Pornographie, Phishing oder Spam genutzt werden. Es soll Netze von über 100 000 solcher Rechner geben. Diese Infektionen finden über Malware statt

Botnet: Netz von vielen Zombies. Wird seit Ende 2004 für kriminelle Aktivitäten, z.B. dDoS und Phishing eingesetzt. Netze bis zu mehreren 100 000 Rechnern, gesteuert oft über IRC Chat Software.

Backdoor: (engl. Hintertür) Programme, welche auf einem anderen PC installiert und von fremden Personen benutzt werden können, um diesen PC zu kontrollieren. Um solche Backdoors unbemerkt zu installieren, werden oft Trojaner (als Beipack zu Freeware wie einem harmlos wirkenden Bildschirmschoner oder einem kleinen Spiel oder zu Raubkopien) verwendet, zum Teil werden auch Schwachstellen (z.B. fehlende Sicherheitspatches) ausgenutzt.

Die Zombie Netze (Botnets) und ihre Geschäftsmodelle

Ziemlich im Mittelpunkt stehen die Zombie Netze (oder auch Botnets) genannt. Dies sind Rechner, die durch Schadsoftware infiziert wurden und die von den Angreifern für ihre Zwecke ferngesteuert werden. Sie werden für unterschiedliche kriminelle Zwecke eingesetzt (siehe unten). Eine Studie von ENISA (pdf, Seite 3) berichtet, dass 30000 neue infizierte Websites pro Tag gezählt werden und eine Untersuchung von Google von 4,5 Millionen URLs zeigte eine Infektionrate von 10%). Die Gesamtzahl von Zombierechnern wird mit 6 Millionen abgeschätzt (2007). Große Zombie-Netze können eine Größe von deutlich über 100 000 Rechnern haben und können gemeinsam einen Internetverkehr erzeugen, dem keine kommerzielle Website standhält. Hier eine interessante Studie zu dem, was dort wirklich in den Netzen abläuft. Herausgefunden durch Infiltration der Netze mit Hilfe sog. Honeypots, d.h. bewusst verwundbarer Systeme, die als Falle im Internet aufgestellt werden.

Weitere Studien zur Problematik Zombie-Netze (Juli 2007) und sehr aktuell in 2009: Your Botnet is My Botnet: Analysis of a Botnet Takeover. Eine sehr detaillierte Analyse des Trojaners Torpig, analysiert nach einer Übernahme des gesamten Botnets durch die Autoren der University of California. Enthält auch eine ausführliche Erklärung von modernen Botnetz-Techniken wie Domain Flux.

Diese infizierten Rechner werden als sog. Zombies für kriminelle Zwecken genutzt. Dafür gibt es eine ganze Reihe von Nutzungsmöglichkeiten:

  • nach der zusätzlichen Installation eines SMTP-Mailservers kann ein solcher PC verwendet werden, um die Herkunft von SPAM-Mails zu verschleiern.
  • Andere Software, die auf diesen Rechnern aktiviert wird, erlaubt die Durchführung von dDoS-Angriffen (distributed Denial of Service). Bei solchen Angriffen wird eine kommerzielle Website von einer großen Zahl solcher Zombies mit Anfragen überschüttet. Ziel ist zumeist eine Erpressung. Die Drecksarbeit (das Kassieren, etc.) erledigt die organisierte Kriminalität, die Zombies für den Angriff steuern skrupellose Hacker bei. - Hier eine offizielle Anklageschrift aus den USA, Operation Cyberslam (2004, 400 KB, pdf), bei der es darum geht, dass ein Internet-Händler Botnetzbetreiber angeheuert hat, um Konkurrenzfirmen vom Netz nehmen zu lassen.
  • Der Rechner kann auch dafür genutzt werden, eine Website (oft nur mit einer einzigen Seite) zu hosten, die dann auf andere Websites verweist, von denen der Betreiber des Zombie-Netzes eine Provision bekommt, wenn jemand über diesen Link zum bezahlenden Kunden, z.B. einer Pornosite verbunden wird.
  • Oder auf dem Rechner werden Bilder gespeichert, z.B. Kinderpornos. Das kann für den (an sich unschuldigen) Besitzer dieses Rechners sehr empfindliche Konsequenzen haben. Viele seiner Bekannten werden sich dann evtl. daran erinnern, dass er immer schon so nett zu Kindern war. Aus solch einer Rufschädigung kommt man nur sehr schwer wieder raus.
  • Eine weitere Verwendung dieser Fernsteuerung ist das Installieren von Adware auf dem infizierten Rechner selbst, d.h. Software, die ständig Werbung aus dem Internet lädt und dem Benutzer präsentiert. Wenn der Benutzer dann auf solche Links klickt, bekommt der Angreifer eine Provision.
  • Ein ähnlicher Angriff beruht auf der Tatsache, dass die Werbung im Internet meist über "Pay-per-Click" bezahlt wird. D.h. der Werbekunde zahlt für jeden, der auf seine Website kommt. Das wird ausgenutzt, um mit solchen Rechnern die Klicks zu simulieren. Mehrere Tausend Rechner können in 1 Stunde ziemlich viel Verkehr auf eine Website bringen, und die Firma muss pro Klick zahlen. Ein ähnlicher Pay-per-Click-Angriff ist hier beschrieben.
  • Auf den meisten dieser infizierten Rechner ist Spyware installiert, die in der harmloseren Form "nur" das Surfverhalten des Benutzers weitermeldet, aber auch in der Form von Keyloggers die Anschläge berichtet, z.B. wenn Passworte für Internetbanking oder Kreditkartennummern eingegeben werden
  • Auf jeden Fall werden diese Rechner regelmäßig nach E-Mail-Adressen durchsucht, und zwar nicht nur im Adressbuch, auch in allen E-Mails und allen sonstigen Dokumenten auf dem Rechner. Diese Adressen bringen zwar nicht viel Geld, aber Kleinvieh macht auch Mist

Anteile und Preise im Untergrund - Quelle: Symantec Threat Report Sept. 2007 -
Auf avertlabs.com weitere detaillierte und ausführliche Preisübersichten für individuelle Bankkonten in Abhängigkeit vom Kontostand, Preise für Kreditkarten, für Zugriff auf den Admin-Zugang zu Webshops, Bankomatkarten, usw.

Diese ganze Kette ist heute kommerziell gut durchorganisiert und sehr arbeitsteilig. "Scouts" benutzen eine spezielle Software, sog. Port Scanner, um Listen von verwundbaren Systemen zu erstellen. Solche Listen werden im Internet auf speziellen Online-Börsen gehandelt(ebenso wie Kreditkartennummern, die entweder von Privatrechnern oder schlecht geschützten Webservern kommen). Solche Dinge werden wie auf einer Börse im Internet nach Angebot und Nachfrage gehandelt. Ebenfalls gehandelt werden die Adressen von Rechnern, die bereits "übernommen" wurden und jetzt z.B. für Spam-Verteilung, Denial-of-Service-Angriffe oder Pornographie zur Verfügung stehen (die sog. Zombie-Rechner).

Die Botnetz-Betreiber leben davon, mittels der bereits beschriebenen Techniken solche Zombie-Netze zu ergaunern und dann mit diesen Netzen zu handeln. Die Preise, die dabei erzielt werden, wurden in USA Today dargestellt. Dort wurden 2000 bis 3000 $ für ein Netz von 20.000 Zombie PCs genannt. Hier noch eine Artikel zu den Geschäftsmodellen der Piraten-Software mit interessanten Details.

Und hier noch ein 2008 Artikel Cracking open the cybercrime economy. Aktuell Mai 2008: Thema Botnetze: ein sehr guter Überblick über Geschichte, Funktionsweise und Geschäftsmodelle, geschrieben durch einen Experten der Firma Kapersky. Statistiken zu Botnetz-Größen gibt es bei shadowserver.org.

 

 

Die Spam-Allianz

Die von solchen Rechnern geernteten E-Mail-Adressen sind vergleichsweise billig, 5$ für 1 Mio. Adressen, allerdings ohne Qualitätskontrolle. (Verifizierte Qualitätsadressen (AOL-Kunden) wurden von einem AOL-Angestellten für 100.000 $ verkauft, das waren 92 Mio. Kunden-Adressen.) Solche Adressen werden von den Spammern gekauft und dann für Spamming benutzt. Dafür verwendet der Spammer dann oft auch wieder die Zombies seines Hacker-Partners. Aber woher bekommt der Spammer sein Geld? Das bekommt er von "spam-freundlichen" Firmen, die ganz offiziell sog. Leads, d.h. Hinweise auf Kunden mit Interesse an einem Kredit oder an Viagra, etc. haben. Dies sind ganz reputable Banken oder Pharmahändler, und die zahlen ca. 10 Euro für jeden ernsthaften Interessenten (natürlich lassen sie es sich schriftlich geben, dass der Kundenkontakt nicht über illegale Methoden zustande gekommen ist). Letztendlich sind es aber trotzdem diese reputablen und etablierten Firmen, die das Spamming finanzieren.

Ebenfalls in dieser Allianz sind sog. "bullet-proof" Webhoster. Das sind Firmen in Ländern, auf die europäische oder amerikanische Justiz nur sehr schwer Zugriff hat. Diese Webhoster ignorieren alle Hinweise, dass auf ihren Rechnern z.B. Raubkopien oder eine illegale Phishing Website liegen, d.h. die Imitiation einer Bank, Kreditkartenfirma oder eBay. Hier gibt es Details zum Geschäftsmodell der Spammer.

Die Phishing-Allianz

Und dann sind da noch die Phisher (die bereits weiter oben ausführlich beschrieben wurden), die auch in diesem Ökosystem unterwegs sind. Auch sie kaufen Schad- und Angriffssoftware, auch sie brauchen die "Bullet-proof" Webhoster für ihre gefälschten Websites, sie brauchen E-Mail Adressen für ihre Phishing E-Mails.

An dieser Stelle ist auch die organisierte Kriminalität immer stärker involviert, z.B. wenn es darum geht, aus gestohlenen Kreditkartennummern und Bank-Passworten Geld zu machen. Dafür braucht man nämlich eine gute Logistik und weltweite Kontakte und die hat der normale Hacker nicht. Auch eine Erpressung mittels Denial-of-Service-Angriff braucht Know-How, das nur die Profi-Kriminellen haben.

Die organisierte Kriminalität ist auch involviert, wenn mit Hilfe der Zombie-Netze Denial-of-Service Angriffe auf Firmenrechner durchgeführt werden, z.B. das Blockieren von Internet-Wettbüros während großer Sportereigneisse.

Hier ein Blog-Eintrag aus 2005 zur Professionalisierung und zu TitanRain.

Nov. 2006:
Ein sehr interessanter Artikel in USA Today beschreibt ausführlich die Konkurrenzkämpfe zwischen den Betreibern der Online-Foren (mit Namen wie CardersMarket [6000 members], TalkCash [2600 members], ScandinavianCarding und Shadowcrew [4000 members] und Betreibern der Foren wie "iceman" und "unknown killer") in denen die Ergebnisse der Phishing-Züge, gestohlene Kreditkarten, Online-Identitäten, Passworten, etc. gehandelt werden. Wie man in diesem Milieu erwartet, fast man sich da nicht unbedingt mit Samthandschuhen an, auch wenn gegenseitige Angriffe wegen der Anonymität der Betreiber eher auf der virtuellen Ebene passieren.

Die ENISA Studie Security Economics and the Internal Market (pdf, 2008) fasst die Professionalisierung und Arbeitsteilung folgendermaßen zusammen:

    "Someone who can collect electronic banking passwords, or bank card and PIN data, can sell them online to anonymous brokers; and brokers sell them on to cashiers who specialise in money laundering. The money-laundering step becomes further specialised, with spammers recruiting mules who are duped into accepting bank payments and sending them onwards to third countries via Western Union. The collection of bank passwords has become further specialised as phishermen operate websites that appear to be genuine bank websites, and hire the spammers to drive bank customers to them. Both the spammers and the phishermen use malware writers, who create the hacking tools that compromise millions of machines. A new profession, the botnet herder, has arisen – the man who manages a large collection of compromised PCs and rents them out to the spammers and phishermen. On occasion, botnets can be used for even more sinister purposes, such as by blackmailers who threaten to take down bookmakers’ websites just before large sporting events – and, in the case of Estonia, to attack a Member State’s infrastructure as a political protest.
    In the eighteenth century, rapid specialisation by artisans led to the Industrial Revolution. Adam Smith describes how a pin factory became more efficient by having one worker cutting the wire, another sharpening the pins, and so on; the last few years have seen an online criminal revolution driven along very similar lines. Hacking has turned from a sport into a business, and its tools are becoming increasingly commoditised."

2011: Ein recht detaillierter Artikel mit einem weiteren Link: Exploring Underweb forums: How cybercriminals communicate.

Hier ein separater Artikel zu Kriminalität in der Gamer-Szene.

 

 
Nach oben

 

Wachsende Kriminalität und Professionalisierung im Internet-Underground

Dez. 2013: Eine Untersuchung von Dell SecureWorks untersucht den illegalen Handel mit gestohlenen virtuellen Werten: The Underground Hacking Economy is Alive and Well. Sie listen detailliert auf, welche Preise im Untergrund für gestohlene Credentials, d.h. z.B. Kreditkartennummern, Zugangspassworte zu Bankkonten, gefordert werden. Auffällig sind die recht unterschiedlichen Preise. Das kann mit Angebot und Nachfrage zusammenhängen, sicher ist aber auch ein wichtiger Faktor, wie viel Gewinn mit einer typischen Account gemacht werden kann und wie gut die Schutzmechanismen sind. Auch Preise für infizierte Rechner sind dort angegeben.

Hier einige Notizen und Links zur Professionalisierung der Hackerszene: Profitsucht ersetzt die Geltungssucht, die Würmer spähen Passworte und Konstruktionsdaten aus und verhalten sich zum Teil eher unauffällig. An anderer Stelle analysiere ich die verschiedenen Angreifer im Internet, Stand 2013.

Okt. 2007:
Der Storm Worm (eine neue Klasse von Schadsoftware)

Bruce Schneier schreibt in Wired im Detail, warum der seit einem Jahr aktive Storm Virus/Wurm/Trojaner, der seiner Meinung nach in eine ganz neue Klasse der professionellen Schadsoftware gehört. Ich zitiere Bruce Schneier:

    "Storm has been around for almost a year, and the antivirus companies are pretty much powerless to do anything about it. Inoculating infected machines individually is simply not going to work, and I can't imagine forcing ISPs to quarantine infected hosts. A quarantine wouldn't work in any case: Storm's creators could easily design another worm -- and we know that users can't keep themselves from clicking on enticing attachments and links."

Die technischen Details seiner Analyse finden sich im oben verlinkten Artikel. Dort ist auch ein Link zu "fast flux", einer neuen Technik, wie solche Botnetze durch sich ständig ändernde DNS-Einträge selbst organisieren können, ohne dass ein zentrales Command-and-Control Zentrum einen angreifbaren Schwachpunkt bilden würde. Weitere interessante Details über "Storm" und MPack im Ironport Trend Report 2008 (pdf, 1,6 MB, Storm Seiten 14-19, MPack Seiten 24-27, leider nur nach Registrierung erhältlich).

Hier gibt es ähnlich detaillierte Information zu Gozi, ein Subscription Hacking Model und hier noch mal eine Aktualisierung zu Storm.

Hier ein Link zu den Ergebnissen einer sehr interessanten Studie zum Thema Datendiebstahl - wie arbeiten die Profis.

 

 
Nach oben copyright natürlich www.dilbert.com

 

Nigeria Scams - 419 Scams, Nigeria E-Mails

Einen interessanten Blick in die über 100 Jahre alte Geschichte dieser Betrügereien bietet die NY Times: Who Made That Nigerian Scam?

Bei diesen sog. Nigeria Scams geht darum, dass jemand aus einem Entwicklungsland, oft angeblich aus Nigeria, viele Millionen auf die Seite gebracht hat, entweder über einen Entwicklungshilfebetrug, oder dass eine Erbschaft die nicht eingefordert wurde und dass jetzt ein Europäer gesucht wird, der sein Konto für die Überweisung ins Ausland zur Verfügung stellt. Dafür wird ein Anteil an den Millionen versprochen. Natürlich sieht der Empfänger des E-Mails kein Geld, aber oft wird sein eigenes Konto bei der Aktion leer geräumt. Diese Nigeria Scams haben eigentlich nicht viel mit dem Internet zu tun, das ist ein alter Trick, der vor Jahrzehnten eben über Faxe abgehandelt wurde.

copyright natürlich www.glasbergen.com
"Haben Sie noch irgendwelche andere Sicherheiten, außer diesem E-Mail von einem nigerianischen Prinzen?"

Der neueste Trend (2008) geht so: Das E-Mail behauptet, es käme von der nigerianischen Behörde zur Aufklärung dieser Betrugsaktionen. Und der Empfänger der Mail hat Anspruch auf eine Rückerstattung von 500 000 $ (obwohl er nie betrogen wurde). Lediglich die Angabe von Kontonummer, etc. etc. ist notwendig. Es sind auch schon E-Mails gesehen worden, die vorgeben, vom CIA zu kommen (auch eigenartigerweise mit einer hotmail-Adresse) und auch eine Rückerstattung anbieten. Hier ein entsprechendes Beispiel-Email. Hier wird u.a. auch ausgenutzt, dass Betrugsopfer immer wieder auf Betrüger reinfallen, d.h. die Adressen der Opfer werden gehandelt. Der gleiche Effekt wird auch in diesem 260 Seiten Bericht The psychology of scams: Provoking and committing errors of judgement beschrieben.

Der allerneuste Trend (2009) geht jetzt aber eher über Social Networking und Dating Websites. Hier mehr Details zu Betrugsgefahren im Social Networking.

Scam Baiter

Scam-Baiter machen sich einen Spaß um den Betrügern die Arbeitszeit zu stehlen: z.B. 419eater.com und . Aber Achtung: Scam Baiting kann eine gefährliche Sache sein, das ist nichts für Anfänger, wir haben es mit Kriminellen zu tun die oft auch in Europa ausreichende Verbindungen haben um sich zu rächen!

Es ergeben sich aber dabei zum Teil wunderbare Realsatiren rund um diese sog. Nigeria E-Mails. Hier eine ganz wilde Geschichte um einen DR DAVID EHI, die dann fließend zu Lovecrafts "Cthulhu mythos" überwechselt.

Hier noch ein paar Geschichten zu diesen Thema, die auch 419 Scam genannt werden (und hier). Es handelt sich bei dieser Website um sog. 'counterscamer' oder 'baiters', die sich einen Spaß daraus machen, unter falschen Identitäten auf diese unseriösen Angebote einzugehen und möglichst viele Informationen zu sammeln, die sie dann der Polizei weitergeben.

Dieses Phänomen hat sich bis in die nigerianische Popmusik verbreitet, hier ein Artikel und Download zu einem Song "I Go Chop Your Dollar".

Hier ein guter Überblick zu Nigeria E-Mails

Ökonimische Analyse aus Sicht der Betrüger

Juli 2012:
Eine interessante Analyse (mit viel Mathematik, aber einer einfachen Conclusio beschäftigt sich mit der Frage:Why do Nigerian Scammers Say They are from Nigeria? (PDF).

51% der Email-Scammer sagen, dass sie aus Nigeria sind, weitere 34% behaupten, aus den Nachbarländern zu sein. Das klingt wie eine extrem dumme Strategie, selbst Google schlägt, wenn man Nigeria eingibt, im Deutschen Nigeria Connection vor, im Englischen Nigeria Scam. Warum sagen die Betrüger trotzdem offen, sie seien aus Nigeria?

Die ökonomische Analyse geht davon aus, dass die Kosten für die Bearbeitung jeder Antwort auf solche betrügerischen Emails deutlich größer Null ist (das verwenden ja auch Scam-Baiter um den Betrügern die Arbeitszeit zu stehlen)

Weil die Betrüger viel Zeit auf jede Zuschrift verwenden müssen haben sie ein "false positive" Problem, d.h. Antworten die letztendlich nicht zu Geld führen, sondern erhebliche Betriebskosten. Der einzige Weg für sie, solche false positives zu minimieren (mathematisch komplex dargelegt) ist die Reduzierung der true positives, d.h. sie müssen ihre Arbeitszeit auf die Opfer konzentrieren, die am Ende auch ziemlich sicher zahlen werden. Diese Vorauswahl treffen sie, indem die Emails von vornherein so sind, dass 99,9% der Empfänger sie sofort als Betrug erkennen können und löschen. Auf diese Weise wird eine Vorauswahl getroffen, die sicherstellt, dass nur extrem gutgläubige, naive und geldgierige Menschen antworten. Das begrenzt die mögliche Opferzahl, erhöht aber die Effektivität der Arbeitszeit der Betrüger.

Ich lerne daraus dass es für Phisher (die mit human-assisted Angriffen arbeiten, bei denen sie gleichzeitig mit dem Opfer online sind müssen) evtl. gar kein Nachteil ist, wenn Phishing-Mails nicht in perfektem Deutsch und logisch sinnvoll sind. Evtl. sind schlechte Phishing-Mails für die Betrüger die viel geschicktere Strategie, sie wollen ihre Zeit nicht mit den Kunden vergeuden, die sich letztendlich dann den Text vom SMS-TAN wirklich durchlesen und abbrechen. Ich habe eine Statistik gesehen, dass die überwiegende Zahl der Bankkunden, die auf einer Phishing Website Verfüger und Passwort eingegeben haben, dann letztendlich die TAN doch nicht eingeben, eine Zeitvergeudung für den Phisher.

Hier noch eine Analyse aus 2012 mit weiteren Links: The truth behind those Nigerian 419 scammers.

 

 
Nach oben

 

Weiterführende Themen

Einen ständigen Überblick über die aktuellen Angriffstrends finden Sie auf der Website von arbor.net. Jede Menge Studien über diese Bedrohungen, auch über mit Statistiken und über viele Jahre hinweg von Sie auf meiner Sammlung von Studien und Reports.

Dieser Artikel ist Teil einer Viererserie zum Thema Schadsoftware (Malware).
Da sind einmal Tipps für Heim-PCs, dieser Artikel hier gibt einen Überblick über verschiedene Formen der Schadsoftware: Spam, Trojanern und anderen Schädlinge und der dritte Artikel erklärt die wirtschaftlichen Hintergründe: Was ist eigentlich das Business Modell der dunklen Seite im Internet?.
Der vierte Artikel gibt dann eine Übersicht über die Angreifer im Internet.

Wen das alles in Bezug auf seinen Heim-PC beunruhigt und wer wissen möchte, wie er/sie sich schützen kann, der/die möge meine ständig aktualisierten PC Tipps für Heim-PCs und Apple Rechner lesen.

Wenn Sie jedoch für die Firmen-IT verantwortlich sind, so sollten Sie sich an Informationssicherheit und das Eisbergprinzip wagen.

Hier noch eine hilfreiche Seite von dialerschutz.de.

April 2007:
Ein speziell für Unternehmen extrem wichtiger Aspekt sind sog. targeted Attacks. Und neuere Trojaner werden immer komplexer: SpamThru.

 



Philipp Schaumann, http://sicherheitskultur.at/ Stand: April 2008

Home

 

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.