Inzwischen wurde von dem echten “Bundesbeauftragten für den Datenschutz” eine Strafanzeige gegen die Betrüger gestellt.

Vor der neuesten Falle warnt jetzt das US-Unternehmen Websense Security. Dafür würden echte Nachrichten von BBC News entnommen und per Mail weiterverschickt. Am Ende findet sich dann ein Read-more-Link, der auf eine täuschend echte Fälschung der BBC-News-Seite verweist.

Hat der Nutzer die Seite angesteuert, nutzt sie eine bislang ungepatchte createTextRange-Lücke im Internet Explorer aus und installiert im Hintergrund einen Keylogger. Diese überwacht dann in der Zukunft die Tatstatureingaben des Anwenders, sobald dieser die Webseite eines Finanzinstituts besucht. Anschließend werden die Informationen an den Angreifer zurückgemeldet.

[...]

Bislang legte Google dafür bestimmte Mindestvoraussetzungen fest, damit die Seriosität des Dienstes unter allen Umständen gewährleistet blieb.

Wie kann es nun aber sein, dass dort plötzlich Werbung für Porno-Angebote und Glücksspiele auftaucht?
Die Antwort auf diese pikante Frage ist ein neues Computervirus, das es schafft, die echten Google-Suchergebnisse im Browser des Benutzers derart zu manipulieren, dass dort plötzliche gefälschte Werbeanzeigen (die natürlich auf echte, aber unerlaubte Angebot verweisen) platziert werden.

Dies ist ein in mehrfacher Hinsicht äußerst subversives Vorgehen.
Zum einen wird hier der Benutzer im vertrauten und vermeintlich seriösen Umfeld der Suchmaschine arglistig getäuscht.
Zum anderen gehen die Anbieter von Werbeplatz im Partner-Netzwerk von Google leer aus, da natürlich die gefälschten Anzeigen nicht über das Google-System mit Provisionen für die Website-Betreiber verknüpft sind.
Und zu guter letzt leidet natürlich das Image von Google selbst unter dem Eindruck der hier eingeschmuggelten Schmuddelinhalte.

Ein anschauliches Beispiel dafür, wie durchschlagend der “Erfolg” einer Behälterfälschung im passenden Umfeld ausfallen kann!

P2Load.A heißt der Wurm und Verursacher einer Attacke auf die Gutgläubigkeit der Nutzer von Google. Entdeckt hat diesen Schädling nach eigenen Angaben das Forschungslabor von Panda Software, die PandaLabs. P2Load.A verbreite sich via P2P-Netzwerk Shareaza und Imesh und stelle dort seinen Code unter dem Titel ‚Knights of the Old Republic 2’ ein, was die User glauben machen soll, sie würden sich ein Spiel der Star-Wars-Saga herunterladen. Wird der Wurm ausgeführt, zeigt er eine Fehlermeldung auf dem Bildschirm an, die den User informiert, dass die Datei nicht existiert und wo er sie herunterladen kann. Passiert das, ist der Rechner infiziert und zwei Hauptveränderungen werden dann durchgeführt. Zum einen wird die Startseite des Browsers verändert und zeigt Werbung an. Zum anderen wird es dem Nutzer unmöglich gemacht, die Original-Seite der Suchmaschine Google zu erreichen.

Um dies durchzuführen verändert der Wurm die Host-Datei auf dem Rechner so, dass der User beim Versuch Google zu erreichen direkt auf eine exakt gefälschte Google-Seite geleitet wird. Die Kopie stelle ebenfalls die 17 Sprachen von Google zur Verfügung und leite den User auch bei einer falschen Eingabe im Browser auf die falsche Seite um, so dass der User keine Chance habe auf die echte Seite zu gelangen, heißt es in der Mitteilung von Panda Software. Bei einer Suchabfrage des Users erschienen die Suchergebnisse korrekt oder mit leichten Abweichungen zur echten Google-Seite. Die bezahlten Treffer allerdings am oberen Rand werden auf der gefälschten Seite durch andere Unternehmen ersetzt. Der Sinn und Zweck des Wurms, so vermutet Panda Software, sei es vermehrt Traffic auf den gesponsorten Seiten zu generieren, die teuer an Firmen verkauft worden seien. Der Wurm sei sogar in der Lage jede andere bekannte Webseite durch Ändern des Inhalts ebenfalls zu fälschen.

Online-Betrüger haben sich ein neuen Trick einfallen lassen. Sie haben eine Site ins Netz gestellt, die dem ‘Windows Security Center’ täuschend ähnlich sieht. Das Security Center ist eine Bedienoberfläche, über die Anwender in Windows XP Sicherheitsfeatures einstellen können. 
Auf der Fälscher-Site werden technische Daten des Besuchers angezeigt, sagte Patrick Hinojosa, CTO von Panda Software, dem Branchendienst TechWeb. Darunter seien die IP-Adresse, der verwendete Browser und das benutzte Betriebssystem.
Gleichzeitig werde behauptet, ein Hacker habe die Kontrolle über das System übernommen. Und dass der Einbrecher Informationen darüber sammele, welche Sites der Anwender aufrufe und welche Daten der Ordner ‘Eigene Dokumente’ enthalte. Zudem ploppe eine Fenster auf, in dem behauptet werde, der Rechner sei mit der Spyware ‘W32.Sinnaka.a’ infiziert.
“Das ist alles eine Lüge”, sagte Hinojosa. Es gebe weder eine Online-Ausgabe des Windows Security Center noch eine Spyware mit der Bezeichnung W32.Sinnaka.a. Ziel der Fälscher-Site sei es, den Anwender weich zu klopfen und sie dazu zu bringen, Programme zu kaufen, die angeblich Spyware beseitigen.
Diese Programme werden auf der Fälscher-Site beworben. Angeboten wird Software mit Namen wie ‘PS Guard’, ‘Spy Trooper’, ‘Raze Spyware’ und ‘World AntiSpy’ – zu einem Preis von jeweils 10 Dollar. Diese Software sei einschlägig bekannt, so Hinojosa. So sei ‘Spy Trooper’ lediglich eine umbenannte Version des berüchtigten Programms SypwareNo.

Einmal angemeldet, zeigt die Seite folgende Warnung an: “Pagina Hackeada – Cuidado!” Übersetzt aus dem spanischen heißt das soviel wie ‘Vorsicht, gehackte Seite’. Um die Anwender auf die Site zu locken, nutzen die Betrüger nach Angaben von Trend Micro Spam, der über den IM-Dienst (Instant Messenger) von Yahoo versendet wird.

“In erster Linie handelt es sich dabei um einen ‘Honeypot’, mit dem versucht wird, die Nutzer anzulocken, um sich für Online-Spiele anzumelden”, sagte Trend-Micro-Experte Adam Biviano gegenüber silicon.com. Die IM-Nachrichten könnten über einen Virus oder andere Malware generiert werden. Es werde immer üblicher, dass sich Viren über IM verbreiten, so Biviano.

Der einzige Zweck der Seite sei ID-Diebstahl. Es gehe nicht darum Kreditkarteninformation oder Geld von einem Bankkonto zu stehlen, es gehe ausschließlich um private Details. “Das zeigt, in welche Richtung die nächsten großen Bedrohungen gehen.”

Ein ausgesuchter Mitarbeiter wird zur Zielscheibe

Datendiebe (Phisher) haben sich einen neuen Trick einfallen lassen, um an vertrauliche Daten zu kommen. Sie schicken Angestellten von Behörden und Unternehmen E-Mails, die angeblich vom Chef oder anderen Führungskräften stammen. Besonders raffiniert: nur ein einziger Mitarbeiter bekommt die Phishing-E-Mail.

So hat diese Technik – die besonders bei Angriffen auf große Behörden und Unternehmen effektiv sein dürfte – bereits einen Namen: ‘Spear Phishing’ (Speer-Phishing). Gab es zunächst nur wenige dieser Attacken, so ist deren Anzahl in der letzten Zeit sprunghaft angewachsen. Das Sicherheitsunternehmen MessageLabs verzeichnet derzeit nach einem Bericht der US-Presse ein bis zwei Spear-Phishing-Angriffe pro Woche.

Diese funktionierten für die Phisher wunderbar, sagte Allan Paller, Chef des Sicherheitsunternehmens SANS Institute. Die Angriffe seien schwer zurückverfolgbar. Viele dieser ‘Targeted Attacks’ würden von Rechnern in Asien gestartet, hieß es vom britischen ‘Zentrum zur Koordination der Sicherheit der nationalen Infrastruktur’ (NISCC).

In einem bereits im März bekannt gewordenen Fall, auf den die US-Behörde Overseas Security Advisory Council hinweis, waren mehrere Pseudo-Flugbuchungssites aufgetaucht, im Einzelnen www.BusySky.net, www.CheapClouds.com, www.CrazyTickets.net und www.SubmitPrice.net. Alle Sites lockten mit Dumping-Preisen für Flüge, die die Angebote anderer Anbieter deutlich unterboten, und sammelten Kreditkarteninformationen der Buchungswilligen ein. Mittlerweile sind die Sites vom Netz. Da die Masche jederzeit auch für andere Produkte wiederholt werden kann, empfiehlt Panda Software, möglichst nur bei bekannten Web-Diensten einzukaufen, die vertrauenswürdig sind.
(jo/c’t)

Anwender durch ‘Evil Twins’ bedroht

Sicherheitsexperten sehen die Nutzer von WiFi-Hotspots durch so genannte ‘Evil Twins’ gefährdet. Darunter sind “geklonte” WiFi-Netze zu verstehen, die von Hackern aufgesetzt werden. Das Hacker-Netz täuscht vor, das vom Anwender angewählte Netz zu sein, dient jedoch dazu, vertrauliche Daten abzufangen.

“Evil Twins sind eine versteckte Bedrohung für die Internet-Nutzer”, sagte Phil Nobles, Forscher an der Cranfield University, in britischen Medien. WiFi-Netze basierten auf Radiosignalen. Hacker, die auf der gleichen Frequenz wie ein Anwender arbeiteten, könnten ein WiFi-Netz leicht missbrauchen.

Das Klon-Netz unterbricht den Datenverkehr, indem es ein stärkeres Signal als das Original-Netz aussendet. Die Anwender werden mit gefälschte Login-Daten eingeladen, sich in den Evil Twin einzuloggen. Um sich gegen die Gefahr zu schützen, sollten WiFi-Nutzer die Sicherheitsfunktionen ihrer Geräte aktivieren, hieß es von Brian Collins, Professor an der Cranfield University.