Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul    
     
Über die Autoren des Tagebuches
Über die Autoren des Tagebuches

Das Analytiker-Tagebuch ist ein weblog, das von den Analytikern des Kaspersky Lab unter der Leitung von Eugene Kaspersky unterhalten wird. Erfahren Sie mehr über die Autoren des weblog.

Cybercrime Umfrage

Sobald Sie Ihren PC mit dem Internet verbinden, wird er zu einem potenziellen Ziel für Cyberkriminelle. Genauso wie Einbrecher bei einem ungesicherten Haus leichtes Spiel haben, ist ein ungeschützter PC wie eine offene Einladung an Autoren von Malware. Cyberbedrohungen werden nicht nur immer raffinierter, sondern nehmen auch ständig zu: Unser Antiviruslabor verzeichnet derzeit über 17.000 neue Internetbedrohungen pro Tag.

Zur Umfrage

 

  Home / Weblog

Analytiker-Tagebuch

Schwerlast-Trojaner mit Lieferung frei Haus


  Tatyana Kulikova       15 Juli 2014 | 16:05  MSK

Ihr Kommentar  

Gefälschte Mails, die im Namen bekannter Geschäfte verschickt werden, finden sich häufig im Spam-Traffic. In der Regel nutzen Cyberkriminellen zu solchen Zwecken die Namen von Online-Shops aus, doch es gibt auch Ausnahmen. Vor kurzem registrierten wir eine Versendung in (fehlerhafter) deutscher Sprache, in der der Empfänger aufgefordert wurde, eine ZIP-Datei zu öffnen, in der sich angeblich eine Rechnung und „andere wichtige Unterlagen“ von dem bekannten schwedischen Möbelhersteller IKEA befanden.

Allerdings verbargen sich im Archiv nicht die versprochenen Dokumente, sondern der Programm-Downloader Andromeda, der seinerseits den Schädling Trojan-PSW.Kegotip lud. Dieser Trojaner ist auf den Diebstahl persönlicher Informationen spezialisiert, unter anderem Logindaten und Passwörter.

Der aufmerksame Anwender kann problemlos ein gefaktes Schreiben von einer echten Benachrichtigung unterscheiden: Die faulen Spammer machten sich noch nicht einmal die Mühe, ihre Fälschung der Glaubwürdigkeit halber ein wenig auszustaffieren, z.B. mit dem Logo des Möbelhauses oder einer persönlichen Anrede, die typisch für IKEA ist.


Löcher im Schutz von Unternehmensnetzwerken: Cloud-Services


  Kirill Kruglov         9 Juli 2014 | 15:00  MSK

Ihr Kommentar  

Zu den am weitesten verbreiteten „Einsatzgebieten“ von Cloud-Services gehören: das Speichern von Scans des Reisepasses oder anderen persönlichen Dokumenten; die Synchronisierung von Datenbanken mit Passwörtern, Kontakten, Mails; das Erstellen von Websites; das Speichern von Quellcode-Versionen usw. Als der Cloud-Speicherdienst Dropbox öffentlich mitteilte, dass er eine Sicherheitslücke im Linkgenerator geschlossen habe, wurde im Internet wieder einmal eifrig darüber diskutiert, wie wichtig es ist, vertrauliche Daten zu verschlüsseln, bevor man sie auf irgendeiner Ressource ablegt - selbst wenn diese privat ist. Die Datenverschlüsselung (FLE) gewährleistet tatsächlich den Schutz vertraulicher Daten in der Cloud, selbst wenn Sicherheitslücken in der Kontrolle des Zugriffs auf Anwenderdokumente in dem einen oder anderen Cloud-Dienst entdeckt werden.

Es mag nun der Eindruck entstehen, dass man jedes Risiko vermeiden kann, wenn man entweder erst gar keine geheimen Daten in der Cloud ablegt oder diese verschlüsselt. Ist das tatsächlich so? Wie sich herausgestellt hat, nicht wirklich.

Im Internet findet man häufig Ratschläge zur „effizienten Nutzung von Filehosting-Diensten in der Cloud“, beispielsweise Anweisungen zur entfernten Steuerung des Computers, Beobachten des Computers während der eigenen Abwesenheit, Steuerung von torrent-Downloads und vieles mehr. Mit anderen Worten: Die Nutzer schaffen selbst alle nur erdenklichen Löcher, die auch von Trojanern, Würmern und vor allem Hackern mit Leichtigkeit ausgenutzt werden können, insbesondere wenn es um zielgerichtete Attacken geht.

Wir haben uns eine Frage gestellt: Wie groß ist das Risiko einer Infektion eines Unternehmensnetzwerks über einen Cloud-Service?

Auf der Black Hat 2013 referierte Jacob Williams, Chief Scientist der CSRgroup Computer Security Consultants, über die Nutzung von Dropbox zum Eindringen in ein Unternehmensnetzwerk. Im Laufe der Durchführung eines in Auftrag gegebenen Penetrationstests benutzte Jacob den zarten Dropbox-Client, der auf einem Notebook installiert war, das sich außerhalb des Unternehmensnetzwerks befand, um Schadsoftware auf Geräten innerhalb des Netzes zu verbreiten.

Zunächst infizierte Jacob mit Hilfe von Phishing das Notebook eines Mitarbeiters. Daraufhin schleuste er schädliche Skripte in Dokumente ein, die in einem „Cloud“-Ordner des Notebooks gespeichert waren. Dropbox aktualisierte die infizierten Dokumente automatisch auf allen Geräten, die mit dem Account des Anwenders in Verbindung standen (Synchronisation). Diesbezüglich steht Dropbox nicht allein da, denn die Funktion der automatischen Synchronisation ist in allen populären Anwendungen für den Zugriff auf Cloud-Filehosting-Dienste vorhanden, darunter Onedrive (alias Skydrive), Google Disk, Yandex Disk usw.

Wenn der Anwender das infizierte Dokument auf seinem Arbeitscomputer innerhalb des Unternehmensnetzwerks öffnete, installierten die in das Dokument eingeschleusten Skripte im System den Backdoor DropSmack, den Jacob speziell für diesen Pen-Test entwickelt hatte. Wie der Name vermuten lässt, besteht die Schlüsselfunktion von DropSmack in der Ausnutzung des Cloud-Dateispeichers Dropbox als Kanal zur Steuerung des Backdoors und zur Übermittlung von Unternehmensdokumenten durch die Unternehmens-Firewall hindurch nach draußen.






Jacob Williams‘ Experiment-Schema

Die Eindringungsmethode in das Unternehmensnetzwerk, die von Jacob im Rahmen des Pen-Tests eingesetzt wurde, überrascht durch ihre Einfachheit. Das ist wirklich eine eindeutige Lücke!

Wir wollten nun herausfinden, ob echte Cyberkriminelle tatsächlich Dropbox, OneDrive, Yandex Disk und Google Disk zur Verbreitung von Schadcode nutzen. Aufgrund der Informationen aus dem KSN über die Detektionen von Schädlingen, die in „Cloud“-Ordnern auf den Computern der Nutzer von Kaspersky Lab-Produkten gefunden wurden, stellten wir fest, dass solche Infektionen bei nur sehr wenigen Anwendern registriert wurden: Im Mai dieses Jahres hatten es lediglich 8.700 Personen mit einer Infektion eines „Cloud“-Ordners zu tun. Bei den Heimanwendern von Kaspersky Lab-Produkten machten die Schadprogramme dieser Art 0,42% aller Detektionen aus, bei den Anwendern von Unternehmensprodukten waren 0,24%.

Ein nicht ganz unwichtiges Detail sollte an dieser Stelle unbedingt erwähnt werden: Sobald der Schädling von einem Gerät in die Cloud gelangt ist, laden alle mit dem infizierten Account verbundenen Clients das Schadprogramm selbst auf ihr Gerät, und obendrein auch noch via HTTPS. Selbst wenn ein Antivirenprogramm den Befall auf einem der Geräte bemerkt und den Schädling direkt im Synchronisierungsordner löscht, so wird die Cloud-Anwendung – den Pflichten des Dienstes gemäß – gegen die sich abzeichnende Desynchronisierung angehen und den Schädling endlos aus der Cloud laden – wieder und wieder.

Unseren Daten zufolge gelangen in etwa 30% der Schadprogramme, die in Cloud-Ordnern auf Heimrechnern gefunden werden, über Synchronisierungsmechanismen auf die Computer! Bei Unternehmensanwendern liegt dieser Wert bei 50%. So führt der Mechanismus, den der Demonstrationsschädling von Jacob Williams verwendete, auch im wahren Leben zu Infektionen. Glücklicherweise haben wir bisher noch keine zielgerichtete Attacke unter Ausnutzung von Cloud-basierten Dateispeicherdiensten beobachten können.

Unter der schädlichen Software, die wir in den Cloud-Ordnern auf den Computern der Nutzer gefunden haben, herrschen Dateien der folgenden Formate vor: Win32, MSIL, VBS, PHP, JS, Excel, Word, Java. Erwähnenswert ist auch, dass zwischen Unternehmensanwendern und Heimanwendern ein kleiner Unterschied besteht: Bei den Erstgenannten finden sich häufiger infizierte MS Office-Dateien, bei den Letztgenannten sind es eher einmalige Schädlinge, und zwar bösartige Android-Apps.

TOP 10 der Schadprogramme:

 

HeimanwenderUnternehmensanwender
1Email-Worm.Win32.Runouce.bEmail-Worm.Win32.Brontok.dam.a
2Email-Worm.Win32.Brontok.qVirus.Win32.Sality.gen
3not-a-virus:AdWare.Win32.RivalGame.krVirus.Win32.Tenga.a
4Virus.Win32.Nimnul.aTrojan-Dropper.VBS.Agent.bp
5Trojan-Clicker.HTML.IFrame.agaTrojan.Win32.Agent.ada
6Exploit.Win32.CVE-2010-2568.genTrojan.Win32.MicroFake.ba
7Virus.Win32.Sality.genExploit.Win32.CVE-2010-2568.gen
8Worm.Win32.AutoRun.dtbvWorm.Win32.AutoRun.dtbv
9Trojan-Dropper.VBS.Agent.bpTrojan.Win32.Qhost.afes
10Trojan.Win32.Genome.vqzzVirus.Win32.Nimnul.a

Zumeist verwenden Virenautoren Cloud-Speicher gar nicht als Plattform zur Verbreitung, sondern vielmehr zum Hosting von Schadprogrammen – im Laufe unserer Untersuchungen sind wir nicht auf einen einzigen Wurm oder Backdoor gestoßen (DropSmack einmal ausgenommen), die es speziell auf Dateispeicher in der Cloud abgesehen hatten. Natürlich sind auch die Services selbst sehr bemüht, gegen Schadprogramme anzugehen, die einen freien Platz in der Cloud besetzen. Zudem wirkt sich das Hosting von Malware negativ auf den Ruf des Dienstes aus, auch wenn Cloud-Services rein formal keine Verantwortung dafür übernehmen, welche Dateien ihre Kunden in den Speicher laden. Offenbar verschlingt das Scannen aller in der Cloud befindlichen Dateien zu viele Ressourcen, die die Dienste gewinnbringender für die Speicherung von Daten nutzen können.

Die Untersuchung hat uns in erster Linie gezeigt, dass das Risiko einer Infektion über einen Cloud-Speicher relativ gering ist – im Laufe eines Jahres ist einer von eintausend Unternehmensanwendern, die Cloud-Services nutzen, einem Infektionsrisiko ausgesetzt. Man sollte allerdings bedenken, dass in manchen Fällen sogar eine einzige Infektion eines Computers in einem Unternehmensnetzwerk zu erheblichen Verlusten führen kann.

Mögliche Maßnahmen zum Schutz von Unternehmensnetzwerken:


  • Schrauben in der Firewall/IDS anziehen, den Zugriff auf die Server bekannter Services blockieren. Ein großer Nachteil dieses Ansatzes liegt in dem hohen Ressourcenverbrauch, denn man muss sorgfältig darauf achten, ob neue Kandidaten in der „Schwarzen Liste“ aufgetaucht sind.

  • Installation einer multifunktionalen Security Suite, die folgende Komponenten und Funktionen beinhaltet: heuristischer und verhaltensbasierter Antivirus, Zugriffsbeschränkung (HIPS), Kontrolle der Arbeit des Betriebssystems (System Watcher oder Hypervisor), Schutz vor Ausnutzung von Sicherheitslücken usw. Alle diese Features sollten dabei sorgfältig konfiguriert werden.

  • Da selbst eine moderne Security Suite mit allem Drum und Dran eine APT durchlassen kann, sollte man der Technologie „Anwendungskontrolle“ große Beachtung schenken (im Modus „Standardmäßig verboten“). Das ist wohl eins der zuverlässigsten Mittel, das das Blockieren jeder beliebigen unerwünschten Software ermöglicht (unter anderem solche, die im Rahmen von zielgerichteten Attacken verbreitet werden). Die komplexeste Aufgabe bei der Integration der Anwendungskontrolle besteht darin, die entsprechenden Regeln zu konfigurieren, damit alle erlaubten Anwendungen problemlos ausgeführt und aktualisiert werden. Zu diesem Zweck haben die Hersteller von Produkten mit der Funktion Anwendungskontrolle spezielle Tools entwickelt – Software-Updatefunktionen über vertrauenswürdige Aktualisierungsprogramme aus der Weißen Liste, inklusive alle möglichen System- und Anwendungsdateien, Zugriff auf die großen Cloud-Services und auf Informationsdatenbanken aller nur erdenklicher sauberer Software.

  • In besonderen Fällen muss die „Anwendungskontrolle“ benutzt werden, um die Verwendung von Cloud-Clients in Unternehmensnetzwerken einzuschränken, d.h. den Start von Synchronisierungsanwendungen von „Cloud“-Ordnern nur vertrauenswürdigen Mitarbeitern zu erlauben.

Und für die ganz und gar abgeschotteten Systeme, solchen etwa, die Elektrokraftwerke oder Wasserversorgungssysteme steuern oder den Start von Interkontinentalraketen ermöglichen – für Systeme dieser Art empfehlen wir eindringlich komplett von der Nutzung von Cloud-basierten Dateispeichern abzusehen.

Microsoft beschlagnahmt 22 NO-IP-Domains und durchkreuzt Malware-basierte APT-Operationen von Cyberkriminellen und Nationalstaaten


  Costin        1 Juli 2014 | 15:40  MSK

Ihr Kommentar  

NO-IP ist einer von vielen Dynamic DNS-Providern da draußen, die kostenlos genutzt werden können, um eine Subdomain auf so populären Domain-Namen wie “servepics.com” oder “servebeer.com” zu registrieren. Für eine recht lange Zeit war das die Lieblingsmethode von Cyberkriminellen, die leicht zu aktualisierende Hostnamen registrieren wollten, um ihre Malware-Implantate zu kontrollieren. Gestern ging Microsoft gegen NO-IP vor und beschlagnahmte 22 seiner Domains. Das Unternehmen strengte zudem einen Zivilprozess an gegen “Mohamed Benabdellah und Naser Al Mutairi sowie ein U.S.-Unternehmen, Vitalwerks Internet Solutions, LLC (die dieselben Geschäfte betreiben wie No-IP.com), für ihre Rollen, die sie bei der Entwicklung und Kontrolle von Schadprogrammen spielen, sowie für ihre Unterstützung bei der Infektion von Millionen von Computern mit Malware, wodurch Microsoft, seine Kunden und die Öffentlichkeit insgesamt geschädigt werden.”

Interessanterweise führte Microsoft zwei spezielle Malwarefamilien an, die benutzt wurden, „um unschuldige Opfer mit den Schadfamilien Bladabindi (NJrat) und Jenxcus (NJw0rm) zu infizieren”. Diese wurden von zahlreichen Cyberkriminellen und Aktivistengruppen benutzt, um Anwender anzugreifen, unter anderem auch von der berühmt-berüchtigten Syrian Electronic Army. (Bleiben Sie dran – ein ausführlicher Blog hierzu folgt demnächst!).

Hinzu kommt, dass die Beschlagnahme viele andere ATP-Operationen außer Gefecht gesetzt hat, die NO-IP für ihre C&C-Infrastruktur genutzt haben. Darunter auch die folgenden:

Unserer Statistik zufolge hat die Beschlagnahme mindestens 25% aller ATP-Gruppen, die wir beobachten, in irgendeiner Weise beeinträchtigt. Einige dieser Hosts, die früher in umfangreichen und raffinierten Cyberspionage-Operationen verwendet wurden, verweisen nun auf ein Microsoft-Sinkhole bei 204.95.99.59.



Zu den Top Level Domains, die von Vitalwerks konfisziert wurden, gehören unter anderem:


  • BOUNCEME.NET
  • MYFTP.BIZ
  • MYVNC.COM
  • NO-IP.BIZ
  • NO-IP.INFO
  • REDIRECTME.NET
  • SERVEBEER.COM
  • SERVEBLOG.NET
  • SERVECOUNTERSTRIKE.COM
  • SERVEGAME.COM
  • SERVEHALFLIFE.COM
  • SERVEHTTP.COM
  • SERVEMP3.COM
  • SERVEPICS.COM
  • SERVEQUAKE.COM
  • SYTES.NET


Unterdessen haben NO-IP / Vitalwerks ihre Reaktion online veröffentlicht:

“Offensichtlich ist die Microsoft-Infrastruktur nicht in der Lage, die Milliarden von Anfragen unserer Kunden zu verarbeiten. Millionen unschuldiger User mussten Ausfälle hinnehmen, weil Microsoft versucht hat, Hostnamen zu beseitigen, die mit einigen wenigen übelmeinenden Akteuren in Verbindung gebracht werden.”

Wir sind der Meinung, dass die gestrigen Ereignisse vielen Cyberkriminellen und APT-Operationen auf der ganzen Welt einen schweren Schlag versetzt haben.

Es ist anzunehmen, dass diese Gruppen künftig in Bezug auf die Nutzung von Dynamic DNS Providern zurückhaltender sein werden und sich dafür häufiger auf gehackte Websites und direkte IP-Adressen verlegen werden, um ihre C&C-Infrastruktur zu verwalten.

Follow me on Twitter

Nutze die Macht, Luuuk!


  Global Research and Analysis Team of Kaspersky Lab       25 Juni 2014 | 10:00  MSK

Ihr Kommentar  

Der Raub einer halben Million Euro innerhalb nur einer einzigen Woche klingt wie Stoff, aus dem normalerweise Hollywood-Filme gemacht werden. Doch die Organisatoren des Luuuk-Bankenbetrugs haben das nur mit einer Man-in-the-Browser (MITB)-Kampagne gegen eine bestimmte europäische Bank zuwege gebracht. Das gestohlene Geld wurde dann automatisch auf vorher eingerichtete Stroh-Konten überwiesen. Als GReAT das Kontrollpaneel von Luuuk entdeckte, nahm das Team sofort Kontakt mit der betroffenen Bank auf und leitete die Ermittlungen ein.

Am 20. Januar 2014 entdeckte Kaspersky Lab einen verdächtigen Server, der verschiedene Logdateien enthielt, unter anderem Ereignisse von Bots, die an ein C&C-Webpaneel berichteten. Die übermittelten Informationen schienen mit einem Finanzbetrug zusammenzuhängen und sie enthielten Details zu den Opfern und den erbeuteten Geldsummen.




Abb. 1: Beispiel einer Log-Datei


Nach einer tiefer gehenden Analyse fanden wir weitere Dateien auf dem Server, die Protokolle mit unterschiedlichem Content enthielten und potentiell betrügerische Bank-Transaktionen zeigten, sowie Quellcode in JavaScript, der mit der C2-Infrastruktur in Verbindung stand. Diese Informationen lieferten wertvolle Daten über die angegriffene Bank und andere Details, wie etwa das Geldkurier-System und weitere operative Einzelheiten über dieses Betrugschema.




Abb. 2: Quellcode Kontrollpaneel


Nachdem wir alle verfügbaren Daten analysiert hatten, war klar, dass das C2 der serverseitige Teil einer Bank-Trojaner-Infrastruktur war. Wir glauben, dass der Betrug mit Hilfe von Man-in-the-Browser-Techniken begangen wurde und dass es auch möglich war, automatisch Transaktionen durchzuführen, um die Stroh-Konten vorzukonfigurieren.

Wir haben dieses C2 nach dem Pfad, den das Administrationspaneel in dem Server verwendet, luuuk genannt: /server/adm/luuuk/

Es folgt eine Zusammenfassung der wichtigsten Informationen, die wir von der serverseitigen Komponente extrahieren konnten:


  • Etwa 190 Opfer, die meisten aus Italien und der Türkei.
  • Betrügerische Transaktionen mit einem Umfang von über 500.000 € (den Logs zufolge).
  • Falsche Transferbeschreibungen.
  • IBANs der Opfer und der Geldesel.


Das Kontrollpaneel wurde in der Domain uvvya-jqwph.eu gehostet, die während der Analyse zu der IP-Adresse 109.169.23.134 aufgelöst werden konnte.

Der Betrug richtete sich gegen die Kunden einer einzigen Bank. Obgleich wir nicht in der Lage waren, an den Schadcode zu gelangen, der gegen die Opfer eingesetzt wurde, sind wir überzeugt davon, dass die Kriminellen einen Bank-Trojaner verwendeten, der Man-in-the-Browser-Operationen durchführte, um über eine schädliche Webeinschleusung an die Anmeldedaten ihrer Opfer zu gelangen. Den Informationen aus einigen Logdateien zufolge stahl die Malware in Echtzeit Benutzernamen, Passwörter und Einmalkennwörter.




Abb. 3: Beispiel für das Log einer betrügerischen Transaktion.


Einschleusungen dieser Art sind für alle Variationen von Zeus (Citadel, SpyEye, IceIX, etc.) absolut typisch und sie alle sind in Italien wohlbekannt. Während unserer Ermittlungen war es nicht möglich, den Infektionsvektor auszumachen, doch Bank-Trojaner nutzen ein breites Spektrum an Methoden, um ihre Opfer zu infizieren, Spam und Drive-by-Downloads eingeschlossen.


Die Angreifer verwendeten die gestohlenen Anmeldedaten, um den Kontostand der Opfer zu überprüfen und automatisch verschiedene bösartige Transaktionen durchzuführen, vermutlich indem sie im Hintergrund einer legitimen Bank-Session operierten. Das würde zu einem der schädlichen Werkzeuge (einem VNC-Server) passen, das an den schädlichen Server gekoppelt war, den die Angreifer verwendeten.

Neben den “üblichen” Techniken, die angewandt werden, um das Geld der Anwender zu stehlen (Umgehung von Nutzer, Passwort und Einmalkennwort) ist das wirklich Interessante an dieser Kampagne die Klassifikation der vordefinierten Geldkuriere, die zum Transfer des gestohlenen Geldes eingesetzt wurden.

Laut Transaktionsprotokollen gab es 4 verschiedene Geldkurier-Gruppen:

  • 13test: Das Limit, das die Kuriere in dieser Gruppe akzeptieren können, liegt zwischen 40.000 und 50.000 Euro, obgleich einige Kuriere andere Limits haben, und zwar zwischen 20.000 und 30.000 €.
  • 14test: Das Limit, das die Geldesel dieser Gruppe akzeptieren können, liegt zwischen 15.000 und 20.000 Euro, obgleich einige Kuriere andere Limits haben, und zwar zwischen 45.000 und 50.000.
  • 14smallings: Das Limit, das die Kuriere dieser Gruppe akzeptieren können, liegt zwischen 2.500 und 3.000 Euro.
  • 16smallings: Das Limit, das die Geldesel dieser Gruppe akzeptieren können, liegt zwischen 1.750 und 2.000 Euro, obgleich einige Kuriere Summen zwischen 2.500 und 3.000 Euro akzeptieren können (wie in der Gruppe 14smallings).


Das könnte ein Hinweis auf eine gut organisierte Kurier-Infrastruktur sein. Unterschiedliche Gruppen haben unterschiedliche Limits bezüglich der Summen, die auf die Konten ihrer Geldesel überwiesen werden können – ein Indikator für den Grad des Vertrauens untereinander.

Die Betreiber dieses Kontrollpaneels haben alle sensitiven Daten am 22. Januar entfernt - zwei Tage nach Beginn unserer Untersuchungen. Ausgehend von der Transaktionsaktivität glauben wir, dass es sich hierbei eher um einen Umbau der Infrastruktur als um einen generellen Abbruch der Operation handelt.

Unter Berücksichtigung der betrügerischen Transaktionsaktivität, die wir auf dem Server entdeckt haben, und aufgrund mehrerer anderer Indikatoren glauben wir außerdem, dass die Kriminellen, die hinter dieser Operation stecken, sehr aktiv sind. Sie haben überdies proaktive operative Sicherheitsaktivität an den Tag gelegt, wobei sie ihre Taktik ändern und ihre Spuren verwischen, sobald sie entdeckt wurden.

Kaspersky Lab steht in Kontakt mit verschiedenen Strafverfolgungsbehörden und dem betroffenen Finanzinstitut, um die Kriminellen zur Verantwortung zu ziehen.


Kaspersky Fraud Prevention vs. the Luuuk

Die von den KL-Experten gefundenen Indizien weisen darauf hin, dass die Kampagne höchstwahrscheinlich von professionellen Kriminellen organisiert wurde. Allerdings können die bösartigen Tools, die eingesetzt werden, um den Anwendern ihr Geld zu stehlen, mit Hilfe moderner Sicherheitstechnologien effektiv unschädlich gemacht werden. Kaspersky Lab hat die Technologie Kaspersky Fraud Prevention entwickelt – eine mehrstufige Plattform zur Abwehr von finanziellem Online-Betrug. Diese Plattform beinhaltet Koponenten zum Schutz der Kundengeräte vor vielen Angriffstypen, unter anderem “Man-in–the-Browser”-Attacken, sowie Tools, die Unternehmen dabei helfen können, betrügerische Transaktionen zu erkennen und zu blockieren.

HackingTeam 2.0: Jetzt wird’s mobil


  Global Research and Analysis Team of Kaspersky Lab       24 Juni 2014 | 16:00  MSK

Ihr Kommentar  

Mehr als ein Jahr ist vergangenen seit der Veröffentlichung unseres letzten Artikels über das HackingTeam, das italienische Unternehmen, welches ein “legales” Spyware-Tool entwickelt, das als Remote Control System - oder kurz RCS - bekannt ist. In der Zwischenzeit ist viel passiert, daher ist es Zeit für ein Update aller aktuellen Forschungsergebnisse zu der RCS-Malware.

Lokalisierung der Kontrollserver


Eins der wichtigsten Dinge, die wir im Zuge unserer lang andauernden und umfangreichen Ermittlungen aufgedeckt haben, ist ein spezielles Feature, das als Fingerabdruck für die RCS-Kontrollserver (C2s) benutzt werden kann. Wir haben Einzelheiten dieser Methode auf der Virus Bulletin Konferenz 2013 präsentiert.

Um es kurz zu machen: Wenn eine spezielle Anfrage an einen „harmlosen“ HackingTeam RCS-C&C-Server geschickt wird, antwortet der RCS-C&C mit der folgenden Fehlermeldung:






Eine Folie aus unserer VB-Präsentation mit dem Fingerabdruck des C2 von HackingTeam

Zunächst einmal ist der Codename ‘RCS’ hier enthalten - so weit, so gut. Nicht ganz sicher waren wir uns in Bezug auf den ‘Collector,’ auf den in der Antwort hingewiesen wurde. Das bezieht sich wahrscheinlich auf die Tatsache, dass der Server Informationen von den Opfern sammelt, auf Englisch „to collect”. Wir haben diese spezielle Fingerabdruck-Methode verwendet, um den gesamten IPv4-Raum zu scannen, wodurch wir alle IP-Adressen der RCS-C2s rund um den Globus ausfindig machen und sie hübsch auf einer Karte einzeichnen konnten. Wir konnten insgesamt 326 C2s lokalisieren.

Anzahl der C2s Land
64VEREINIGTE STAATEN
49KASACHSTAN
35ECUADOR
32VEREINIGTES KÖNIGREICH
24KANADA
15CHINA
12KOLUMBIEN
7POLEN
7NEUSEELAND
6PERU
6INDONESIEN
6BRASILIEN
6BOLIVIEN
6ARGENTINIEN
5RUSSISCHE FÖDERATION
5INDIEN
4HONG KONG
4AUSTRALIEN
3SPANIEN
2SAUDI ARABIEN
2 MALAYSIA
2ITALIEN
2DEUTSCHLAND
2FRANKREICH
2ÄGYPTEN
1UKRAINE
1THAILAND
1SCHWEDEN
1SINGAPUR
1RUMÄNIEN
1PARAGUAY
1MAROKKO
1LITAUEN
1KENIA
1JAPAN
1IRLAND
1UNGARN
1DÄNEMARK
1TSCHECHISCHE REPUBLIK
1ZYPERN
1ANDERE
1BELGIEN
1ASERBAIDSCHAN






Karte mit den aktuellen Standorten der Server vom HackingTeam


Die meisten identifizierten Server befanden sich in den USA, in Kasachstan und in Ecuador. Leider können wir nicht sicher sein, dass die Server in einem bestimmten Land nicht von den Strafverfolgungsbehörden dieses Landes benutzt werden; in jedem Fall wäre es sinnvoll aus Sicht der Strafverfolgungsbehörden, ihre C&Cs in den eigenen Ländern zu platzieren, um so grenzübergreifende rechtliche Probleme und die Beschlagnahmung von Servern zu vermeiden. Einige IPs wurden jedenfalls eindeutig mit den Regierungen des jeweiligen Landes in Verbindung gebracht, und zwar aufgrund ihrer WHOIS-Informationen, die gute Hinweise darauf liefern, wer sie besitzt.

Mobile Module


Für eine gewisse Zeit war es ein offenes Geheimnis, dass die Produkte von HackingTeam Schadprogramme für Mobiltelefone enthalten. Trotzdem waren sie selten anzutreffen. Insbesondere die Trojaner für Android und iOS konnten zuvor nicht identifiziert werden und gehörten zu einem der letzten weißen Flecken in dieser Geschichte. Früher im laufenden Jahr entdeckten wir einige mobile Malware-Module von HackingTeam für die folgenden Plattformen:



  • Android

  • iOS

  • Windows Mobile

  • BlackBerry

Alle diese Module werden von demselben Konfigurationstyp kontrolliert, was stark darauf hinweist, dass sie miteinander in Zusammenhang stehen und zur selben Produktfamilie gehören.







Konfigurationsdatei von den mobilen RCS-Modulen

Unser Hauptaugenmerk lag bei der Analyse der mobilen Module aufgrund ihrer Popularität sicherlich auf iOS und Android. Das iOS-Modul funktioniert nur auf Geräten mit Jailbreak. Hier eine Beschreibung der wichtigsten Funktionen des iOS-Moduls:



  • Kontrolle von Wi-Fi, GPS, GPRS

  • Sprachaufnahme

  • E-Mail, SMS, MMS

  • Dateiauflistung

  • Cookies

  • Besuchte URLs

  • Webseiten im Cache

  • Adressbuch

  • Anruflisten

  • Notizen

  • Kalender

  • Zwischenablage

  • Liste der Apps

  • Änderung der SIM

  • Live-Mikrophon

  • Kamerabilder

  • Unterstützung von Chats, WhatsApp, Skype, Viber

  • Protokollierung der Tastatureingaben von allen Apps und Screens via libinjection






Disassemblierter Code des iOS-Moduls

Das Android-Modul wird von dem DexGuard-Optimizer/Obfuskator geschützt und ist daher extrem schwierig zu analysieren. Trotzdem haben wir herausgefunden (siehe die Spur unten), dass das Sample über alle oben aufgeführten Funktionen des iOS-Moduls verfügt – plus Unterstützung des Informationsdiebstahls von den folgenden Anwendungen:



  • com.tencent.mm

  • com.google.android.gm

  • android.calendar

  • com.facebook

  • jp.naver.line.android

  • com.google.android.talk






Spur eines RCS-Android-Samples

Mobile Infektoren


Ein anderer Aspekt von besonderem Interesse für uns ist die Art, wie die Malware-Samples auf den mobilen Geräten installiert sind. Wir entdeckten verschiedene Module, die mobile Geräte infizieren, die mit infizierten Windows- oder Mac OS X-Computern verbunden sind.

Wie bereits erwähnt, kann das iOS-Modul nur auf Geräten mit Jailbreak verwendet werden. Daher verwendet der iOS-Infektor das AFP2-Protokoll für die Übertragung. Der “Infektor” hat eine hübsche grafische Benutzeroberfläche, die die Installation ermöglicht, wenn physischer Zugriff auf das Gerät des Opfers besteht oder entfernter Admin-Zugriff auf einen infizierten Computer.





Hauptfenster des iOS-Infektors


iPhone1,1 iPhone1,2 iPhone2,1
iPhone3,1 iPhone3,2 iPhone3,3
iPhone4,1 iPhone5,1 iPhone5,2
iPad1,1 iPad2,1 iPad2,2
iPad2,3 iPad2,4 iPad3,1
iPad3,2 iPad3,3 iPad3,4
iPad3,5 iPad3,6 iPhone
iPhone 3G iPhone 3GS iPhone 4
iPhone 4 iPhone 4 (cdma) iPhone 4s
iPhone 5 (gsm) iPhone 5 iPad
iPad2 (Wi-Fi) iPad2 (gsm) iPad2 (cdma)
iPad2 (Wi-Fi) iPad3 (Wi-Fi) iPad3 (gsm)
iPad3 iPad4 (Wi-Fi) iPad4 (gsm)
iPad4    

Liste der Apple-Geräte, die von dem iOS-Infektor unterstützt werden

Nach der erfolgreichen Verbindungsherstellung kopiert der iOS-Infektor verschiedene Dateien in iOS und führt eine install.sh-Datei aus:







Teil der install.sh-Datei, die auf einem infizierten iOS-Gerät ausgeführt wird

Wie bereits oben erwähnt, ist entfernter Admin-Zugriff auf einen infizierten Computer ein möglicher Weg für die Malware, sich auf einem damit verbundenen mobilen Gerät zu infizieren. Die Tatsache, dass nur iOS-Geräte, auf denen ein Jailbreak durchgeführt wurde, unterstützt werden, kann eine gewisse Einschränkung bedeuten. Doch das ist kein großes Problem, da die Angreifer auch ein Jailbreak-Tool, wie etwa Evasi0n, über denselben infizierten Computer ausführen können. In diesem Fall kann nur noch der Passcode des mobilen Gerätes den User vor einem entfernten Jailbreak und einer Infektion schützen. Doch ist das Gerät entsperrt, während es mit dem infizierten Computer verbunden ist, kann es von Angreifern infiziert werden.

Ein weiterer interessanter Infektor ist der für BlackBerry-Geräte, der die Anwendung JavaLoader verwendet, um Malware-Samples auf BB 4.5 und 5.0 zu laden. In seinem disassemblierten Code fanden wir einen Pfad zu der PDB-Debug-Datei, die vermutlich aus Versehen von den Autoren hinterlassen wurde. Das Originalprojekt befand sich unter ‘C:\HT\RCSBlackBerry\Workspace\RCS_BB_Infection_Agent\’, als diese Malware entwickelt wurde.






Teil des Codes eines Blackberry-Infektors mit Pfad zu der PDB-Datei

Zusammenfassung


In der neusten Folge unserer noch andauernden Untersuchungsreihe entdeckten wir eine umfangreiche Infrastruktur, die zur Kontrolle der RCS-Malware-Implantate dient. Unsere jüngsten Ermittlungen förderten mobile Module zutage, die auf allen wohl bekannten mobilen Plattformen laufen, Android und iOS eingeschlossen. Diese Module werden mit Hilfe von Infektoren installiert – spezielle ausführbare Dateien entweder für Windows oder Macs, die auf bereits infizierten Computern laufen. Sie übernehmen die vollständige Kontrolle über den Computer des Opfers und über alles, was in der Nähe ist. Durch das geheime Aktivieren des Mikrophons und das regelmäßige Erstellen von Kameraaufnahmen wird eine konstante Überwachung des Ziels gewährleistet – was sehr viel effektiver ist als die traditionellen Nacht- und Nebelaktionen.

Die neuen Daten, die wir über das RCS von HackingTeam veröffentlichen, sind extrem wichtig, da sie den Grad der Perfektion und die Ausgereiftheit dieser Überwachungswerkzeuge zeigen. Sind wir in der Lage, unsere Kunden vor solchen raffinierten Bedrohungen zu schützten, so haben wir – unserer Meinung nach – ganz sicher keine Probleme mit weniger komplexen, gewöhnlicheren Bedrohungen, wie sie von Cyberkriminellen benutzt werden.

Anhang:


MD5s der mobilen Infektoren:



  • 14b03ada92dd81d6ce57f43889810087 – BlackBerry infector

  • 35c4f9f242aae60edbd1fe150bc952d5 – iOS infector

MD5s des Android-Samples:



  • ff8e7f09232198d6529d9194c86c0791

  • 36ab980a954b02a26d3af4378f6c04b4

  • a2a659d66e83ffe66b6d728a52130b72

  • 9f06db99d2e5b27b01113f78b745ff28

  • a43ea939e883cc33fc766dd0bcac9f6a

  • a465ead1fd61afe72238306c7ed048fe

MD5s der Windows-Samples:



  • bf8aba6f7640f470a8f75e9adc5b940d

  • b04ab81b9b796042c46966705cd2d201

  • 1be71818a228e88918dac0a8140dbd34

  • c7268b341fd68cf334fc92269f07503a

Liste der aktiven C2s am 19.06.2014:



  • 50.63.180.***

  • 146.185.30.***

  • 204.188.221.***

  • 91.109.17.***

  • 106.186.17.***

  • 119.59.123.***

  • 95.141.46.***

  • 192.71.245.***

  • 106.187.99.***

  • 93.95.219.***

  • 106.187.96.***

  • 124.217.245.***

  • 23.92.30.***

  • 82.146.58.***

  • 93.95.219.***

  • 209.59.205.***


RCS-Module (Bezeichnungen gemäß Klassifizierung von Kaspersky Lab):



  • Backdoor.OSX.Morcut

  • Rootkit.OSX.Morcut

  • Trojan.OSX.Morcut

  • Backdoor.Win32.Korablin

  • Backdoor.Win64.Korablin

  • Rootkit.Win32.Korablin

  • Rootkit.Win64.Korablin

  • Trojan.Multi.Korablin

  • Trojan-Dropper.Win32.Korablin

  • Backdoor.AndroidOS.Criag

  • Trojan-Spy.AndroidOS.Mekir

  • Trojan.Win32.BBInfector

  • Trojan.Win32.IOSinfector

  • Trojan.OSX.IOSinfector

  • Trojan-Spy.IphoneOS.Mekir

  • Trojan-Spy.WinCE.Mekir

  • Trojan-Spy.BlackberryOS.Mekir


Adware oder: Das Geld ist weg und mein persönliches WM-Spitzenspiel kann ich nun doch nicht sehen


  Bestuzhev       19 Juni 2014 | 15:00  MSK

Ihr Kommentar  

Das ist der vierte und letzte Teil unserer Blogpost-Reihe über die Fußball-Weltmeisterschaft 2014 und die damit verbundenen Bedrohungen für die Informationssicherheit. Es geht hier vor allem um Probleme, mit denen wir gerade jetzt zu kämpfen haben, während unsere Fußballstars in Brasilien zeigen, was sie drauf haben.

Viele Fans finden sich selbst nicht vorm Fernseher wieder, sondern suchen vielmehr am Computer nach einem Livestream eines großen Spiels. Doch die Suche nach einer Internetübertragung könnte Geld kosten und außerdem Schadprogramme auf dem Rechner hinterlassen.

Wer im Internet nach einer Liveübertragung der WM sucht, stößt mit ziemlicher Sicherheit auf angekaufte Anzeigen, die auf betrügerischen oder bösartigen Content führen. Hier sind zwei aktuelle Beispiele dafür, beide eigens für die WM eingerichtet:


Besucht man diese Website, so wird man aufgefordert, ein spezielles Plug-In herunterzuladen, das für alle Browser verfügbar ist. Angeblich handelt es sich dabei um den Player, der zum Abspielen der Online-Übertragung der Spiele benötigt wird:


Tatsächlich aber handelt es sich dabei um ein Adware-Programm, das rein gar nichts abspielt, sondern vielmehr die Ressourcen des Computers aufzehrt. Adware ist eine Software, die auf dem schmalen Grat zwischen klassischer Cybercrime-Software und legitimen Programmen wandelt. Daher zeigt unsere Statistik eine konstante Zunahme von Detektionen dieser Programme auf den Geräten der User an:



Sites wie diese versprechen ebenfalls, alles rund um die Fußball-WM zu zeigen:



Die Websites bieten alle Spiele zu jeder Zeit an. Sie versprechen qualitativ hochwertiges Bildmaterial, aufgenommen von den besten Kameras in den Arenen. Selbstverständlich werden alle Kreditkarten akzeptiert!

Doch wie auch immer – wenn Sie bezahlen, sind Sie Ihr Geld los. Zweifelhafte und unehrliche Websites wie diese spielen nicht nach den Regeln.

Ein letzter wichtiger Punkt: Tag für Tag beobachten wir neu registrierte Domainnamen, die Wörter enthalten wie “Fifa Live World Cup steaming 2014”. Wir sind der Überzeugung, dass die meisten davon zu schädlichen Zwecken verwendet werden.

Cyberkriminelle, Opportunisten und andere übelmeinende Individuen halten Ausschau nach Gelegenheiten, wie die Weltmeisterschaft sie ihnen bietet. Sie wissen, dass es zu solchen Zeiten am einfachsten ist, Leute zu betrügen, ihnen Geld zu stehlen und ihre Geräte mit Malware zu infizieren. Lassen Sie sich nicht über den Tisch ziehen und tappen Sie in keine Social-Engineering-Falle. Nutzen Sie den besten Antimalware-Schutz und behalten Sie einen klaren Kopf, wenn Sie im Internet surfen und nach bestimmtem Content suchen. Und falls Sie eine Liveübertragung sehen wollen, so nutzen Sie doch eine dieser legitimen Ressourcen.

Folgen Sie mir auf twitter: @dimitribest

Erste mobile Verschlüsselungs-Malware


  Roman Unuchek       17 Juni 2014 | 14:10  MSK

Ihr Kommentar  

Mitte Mai erschien in einem Virenschreiber-Forum eine Anzeige für den Verkauf eines einmaligen Schadprogramms zum Preis von 5.000 Dollar. Es handelte sich dabei um einen Verschlüsselungstrojaner, der unter dem mobilen Betriebssystem Android läuft. Nur wenige Tage später, am 18. Mai, registrierten wir das Auftreten eines mobilen Verschlüsselungstrojaners in freier Wildbahn, der von uns als Trojan-Ransom.AndroidOS.Pletor.a detektiert wird.

Bis zum 5. Juni registrierten wir über 2.000 Infektionen in 13 Ländern, die sich größtenteils auf dem Gebiet der ehemaligen Sowjetunion befinden: Aserbaidschan, Weißrussland, Kanada, Georgien, Deutschland, Griechenland, Kasachstan, Südkorea, Russland, Singapur, Tadschikistan, Ukraine und Usbekistan. Der Ausbreitungshöhepunkt von Trojan-Ransom.AndroidOS.Pletor.a fiel dabei auf den 22. Mai – an diesem Tag registrierten wir über 500 neue Infektionen.

Zum gegenwärtigen Zeitpunkt konnten wir mehr als 30 Modifikationen unterscheiden, die sich bedingt in zwei Gruppen unterteilen lassen. Die erste Gruppe nutzt zur Kommunikation mit den Cyberkriminellen das anonyme Netzwerk TOR, die zweite die üblichen HTTP- und SMS-Kanäle. Hinzu kommt, dass die Trojaner der zweiten Gruppe bei der Geldforderung an den Nutzer diesem sein eigenes Abbild zeigen, das mit Hilfe der Frontkamera des Smartphones übertragen wird.





«Übersetzung des Bildtextes vom Russischen ins Deutsche: Wegen des Anschauens von verbotenem pornografischen Material (Pädophilie, Zoophilie) wird ihr Smartphone blockiert! Das gesamte Foto- und Videomaterial auf Ihrem Smartphone wurde zur Überprüfung weitergeleitet. Damit Ihr Telefon wieder entsperrt und die Materialien gelöscht werden, müssen Sie innerhalb von 24 Stunden eine Strafe von 1.000 Rubeln (ca. 21,50 €) zahlen. Zu diesem Zweck müssen Sie das Geld an die Nummer +79147011354 überweisen. ACHTUNG: Bei dem Versuch, der Strafe zu entgehen, werden alle Daten an öffentliche Quellen gesendet.»
Wie man sieht, nutzen die Autoren von Trojan-Ransom.AndroidOS.Pletor.a dieselben Themen aus wie die Autoren früherer Verschlüsselungstrojaner unter Windows auch.


Ansonsten ist die Funktionalität der verschiedenen Modifikationen von Trojan-Ransom.AndroidOS.Pletor.a gleich. Nach dem Start beginnt der Trojaner unter Verwendung des Verschlüsselungsalgorithmus‘ AES den Inhalt der Speicherkarte des Smartphones zu chiffrieren. Er ist interessiert an Mediadateien und Dokumenten: .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp, .mp4.

Sofort nach Beginn der Verschlüsselung zeigt Trojan-Ransom.AndroidOS.Pletor.a auf dem Bildschirm seine Lösegeldforderung an. Alle von uns bisher gefundenen Modifikationen des Trojaners erhoben ihre Forderungen in russischer Sprache und hatten es auf die Bewohner zweier Länder abgesehen: Russlands und der Ukraine. Die Erpresser fordern von ihren Opfern 260 Ukrainische Griwna (ca. 15,-€) bzw. 1000 oder 1200 Russische Rubel (21,50 € bzw. 25,70 €). Zum Transfer des Lösegeldes werden die Systeme QIWI VISA WALLET, MoneXy oder eine gewöhnliche Überweisung an eine Telefonnummer genutzt.

Wie sich gezeigt hat, setzt der Schädling Trojan-Ransom.AndroidOS.Pletor.a kein SMS-Spam als Verbreitungsmethode ein. In den meisten Fällen breitet er sich von gefälschten Porno-Websites aus, getarnt als Abspielprogramm von Videodateien. Obwohl wir auch Fälle registriert haben, in denen er sich als Spiel oder nützliches Programm unter Android verbreitet hat. Zudem breitete sich Trojan-Ransom.AndroidOS.Pletor über eins der größten russischsprachigen mobilen Foren aus.

Wenn Ihr Smartphone mit Trojan-Ransom.AndroidOS.Pletor infiziert ist, raten wir, kein Geld an die Cyberkriminellen zu zahlen. Alle von uns gefundenen Versionen des Trojaners enthalten einen Schlüssel, mit Hilfe dessen man alle Dateien dechiffrieren kann. Im Falle einer Infektion können Sie uns außerdem an newvirus@kaspersky.com schreiben und die von dem Trojaner in Mitleidenschaft gezogenen Dateien mitsenden.

Fußball-Weltmeisterschaft 2014 in Brasilien: Mangelnde Wi-Fi-Sicherheit und gefälschte AC/DC-Ladegeräte gefährden Ihre Daten


  Bestuzhev       10 Juni 2014 | 18:05  MSK

Ihr Kommentar  

Wenn wir heutzutage reisen, reisen unter Umständen viele smarte Geräte mit uns. Wir benutzen sie, um schöne Momente einzufangen, wie etwa einen besonders hübschen Blick auf die Stadt, in der wir uns gerade befinden. Oder um unseren Freunden mitzuteilen, wo wir gerade sind. Oder um über Facebook oder Twitter interessante Neuigkeiten zu teilen. Wenn wir allerdings Daten austauschen, wenn wir nach Informationen suchen, wie z.B. nach einem schönen Restaurant, nach Hotelpreisen oder nach Wegbeschreibungen, brauchen wir eine Internetverbindung. Leider ist das Datenroaming meist sehr teuer, daher nutzen viele Reisende an dem Ort frei verfügbare Wi-Fi-Zugriffspunkte, an dem sie sich gerade befinden. Sie suchen aktiv danach und nehmen sie ohne Bedenken bezüglich der Sicherheit in Anspruch. Das ist allerdings sehr riskant, da alle Daten, die über frei verfügbare, offene Wi-Fi-Netzwerke gesendet oder empfangen werden, unter bestimmten technischen Umständen abgefangen werden können. Auf diese Weise könnten alle Passwörter, PINs und andere sensitive Daten Cyberkriminellen in die Hände fallen. Tatsächlich installieren einige Online-Gangster gefälschte, speziell konfigurierte Zugriffspunkte, durch die der gesamte Traffic über einen Host geschleust wird, der den Traffic kontrolliert. Sogar Server werden als “Man-in-the-Middle”-Rechner eingesetzt, um verschlüsselten Traffic abzufangen und zu lesen. Das Risiko, vertrauliche Daten zu verlieren, ist sehr hoch, und die daraus resultierenden Folgen wären überaus dramatisch, da man in so einem Fall seine gesamten Mittel verlieren könnte. Und das ist nicht wirklich schön, schon gar nicht, wenn man auf Reisen ist.

Unter Berücksichtigung dieser Tatsachen haben wir eine Wi-Fi-Studie in Sao Paulo durchgeführt, wobei wir ungefähr 100 km gefahren sind und mehr als 5.000 verschiedene Zugriffspunkte in der City analysiert haben. Die Studie wurde an den von Touristen am meisten frequentierten Plätzen durchgeführt, wie etwa in Parks, Einkaufszentren, Flughäfen oder anderen öffentlichen Plätzen, an denen sich alle Touristen gern aufhalten. Wie sicher oder unsicher sind also die Wi-Fi-Netzwerke in der City? Finden wir es gemeinsam heraus!

Wi-Fi-Studie in Sao Paulo

Die Studie fand Mitte Mai 2014 statt. Wir fanden über 5.000 verschiedene Zugriffspunkte in der City, und einige davon waren eindeutig überhaupt nicht gesichert. Doch gucken wir uns die Sache zunächst einmal genauer an, und dann beurteilen Sie selbst, was zu tun ist, damit Sie Ihre Bankdaten und andere vertrauliche Informationen nicht verlieren, wenn Sie nach Brasilien reisen.

SSID

Die SSID ist der Name, dem der Zugriffspunkt des Wi-Fi-Netzwerks zugeordnet wird, wenn man sich damit verbindet. Einige Besitzer von Zugriffspunkten lassen die Standardeinstellung so wie sie ist, andere wählen einen neuen angepassten Namen und nur wenige definieren einen neuen spezifischen Namen und verbergen ihn obendrein auch noch, so dass er nicht öffentlich verbreitet wird.



Wie man sieht, sind nur 6% aller Wi-Fi-Zugriffspunkte verborgen. Gleichzeitig verwalten 5% der verfügbaren drahtlosen Netzwerke die SSID–Konfiguration per Standardeinstellung, das bedeutet Angreifer können problemlos herausfinden, wer der Anbieter des Gerätes ist, und dann eine passende Sicherheitslücke auswählen, um vollständigen Admin-Zugriff auf den Zugriffspunkt zu erhalten. Es ist ganz allgemein eine ganz schlecht Praxis, die SSID in der Standardeinstellung zu belassen, denn das erhöht das Sicherheitsniveau gewiss nicht, sondern es erleichtert Cyberkriminellen das Leben. Was ist denn nun die beste Praxis? Die beste Praxis ist, die SSID zu definieren und dann die Option zu wählen, die SSID überhaupt nicht zu broadcasten. Ich muss leider sagen, dass nur wenige Einrichtungen auf der Welt diesen Ansatz verfolgen.

Wi-Fi-Netz-Typen

Die meisten Zugriffspunkte, die wir in Sao Paulo gefunden haben, werden verwaltet, allerdings gibt es einen kleinen 1%igen Anteil von Ad-hoc-Netzwerken:



Was bedeutet das? Wenn der Netzwerk-Typ Ihres Zugriffspunktes, mit dem Sie sich verbinden, Ad-hoc ist, so geht der gesamte Traffic, den Sie versenden oder empfangen, über einen Host oder Computer, der von einer übelmeinenden Person verwaltet werden kann. Mit anderen Worten, Ihre Daten laufen durch die Hände unbekannter Individuen, die vielleicht nichts Besseres zu tun haben, als sie zu sammeln, um dann die vertraulichen Informationen herauszupicken. Wer seine Daten nicht verlieren will, sollte solche Netzwerke besser nicht benutzen.

Wi-Fi security in Sao Paulo


Nach einer Analyse von mehr als 5.000 verschiedenen Zugriffspunkten stellten wir fest, dass mindestens 53% die WPA2-Authentifizierung erforderlich machen, was sehr gut ist. Doch wirklich beunruhigend ist die Tatsache, dass 26% aller Netzwerke komplett offen sind und keinerlei Verschlüsselung verwenden. Diese offenen Netzwerke werden von Besuchern am meisten bevorzugt, da sie kostenlosen Internetzugriff bieten. Das Risiko ist groß, wenn man sich mit einem solchen Netzwerk verbindet. Die Daten werden in reinem Text übermittelt, wenn der Server, mit dem man sich verbindet, keine SSL-Verschlüsselung verwendet. Auch wenn man meint, es könne einem nichts passieren, weil alle Sites, die man besucht, SSL haben, kann man falsch liegen. Das Problem ist, dass nicht alle Websites über eine vollständige SSL-Verschlüsselung verfügen, denn einige Websites verwenden sie nur für den Authentifizierungsprozess, d.h. während der Übermittlung der Anmeldedaten an den Server, doch danach läuft alles in Klartext. Was bedeutet das? Angenommen, Sie melden sich bei Ihrem E-Mail-Account an. Der Server baut eine SSL-Verbindung auf und übermittelt Ihren Benutzernamen und das Passwort unter gesicherten Bedingungen. Sobald Sie in Ihrer Mailbox sind, dort Mails schreiben und diese dann auch versenden, werden diese Daten in Klartext übermittelt. Ein Angreifer, der sich in demselben WiFi-Netz befindet, kann ihre Mails abfangen und sie auf die gleiche Weise sehen, wie sie auch auf Ihrem Bildschirm dargestellt werden. Stellen Sie sich nun einmal vor, dass Sie eine Mail schreiben, in der Sie auch sensible Daten erwähnen, wie z.B. das Hotel, in dem Sie sich befinden, Ihren Passnamen, Ihre Rechnungen oder irgendetwas in dieser Art – all diese Informationen fließen direkt in die Hände von Cyberkriminellen, wenn die sich zur selben Zeit im selben Wi-Fi-Netz befinden und den Traffic ausspionieren.

Ein weiteres gefährliches Szenario: Ein Angreifer, der sich im selben Netzwerk befindet, führt eine “Man-in-the-Middle”-Attacke durch, alle Leute, die dort arbeiten, öffnen Ihre E-Mails, Ihre Accounts in sozialen Netzwerken, Online-Banking-Sites oder irgendeine andere Website, auf der eine Mitteilung über ein falsches SSL-Zertifikat aufpoppt. Die meisten Leute schenken derartigen Mitteilungen keine Beachtung und fahren fort, indem sie das neue Zertifikat akzeptieren. Das allerdings ist schädlich und wird von Cyberkriminellen eingesetzt, um den Traffic zu verschlüsseln und ihn dann genau in der Mitte zwischen Ihrem Endgerät und dem Server, mit dem Sie verbunden sind, zu entschlüsseln. Cyberkriminelle bevorzugen besonders offene Wi-Fi-Netzwerke, daher seien Sie wachsam und klicken Sie bitte nie auf irgendwelche Popup-Nachrichten – lesen Sie zunächst die Warnung und entscheiden Sie dann! Wenn Sie dann der Meinung sind, dass irgendetwas falsch läuft, oder Sie ein merkwürdiges Verhalten bemerken, so brechen Sie die Verbindung ab.

Ein anderes Sicherheitsproblem hat mit WPA-geschützten Netzwerken zu tun. Man ist der Meinung, sie seien geschützt, aber in Wahrheit ist WPA heutzutage ein schwacher Schutzwall, der von Angreifern innerhalb von Minuten oder wenigen Stunden geknackt werden kann. Daher sollten solche Netzwerke ebenfalls als potentiell unsicher angesehen werden und man sollte sie besser meiden.

Wi-Fi-Anbieter in Sao Paulo

Unsere Statistik zeigt, dass der beliebteste Anbieter in Sao Paulo derzeit CISCO ist, gefolgt von D-Link.



Die meisten Anbieter verwalten die Sicherheit ihres Zugriffspunkts und insbesondere das Firmware-Upgrade als eine vom Anwender bei Bedarf durchgeführte Aktion. Das bedeutet, dass - selbst wenn es eine allgemein bekannte Sicherheitslücke gibt, die es Angreifern ermöglicht, vollständigen Administrationszugriff auf das Gerät zu erlangen -, es nicht automatisch gepatcht werden kann, wenn der Anwender nicht auf die Website des Anbieters geht, das Patch herunterlädt und dann mit dem Upgrade-Prozess fortführt, indem er sein Endgerät mit einem Ethernet-Kabel verbindet und die neue Firmware hoch lädt.

Im Allgemeinen ist dieser Prozess recht kompliziert für die Wi-Fi-Besitzer, sie wissen meist noch nicht einmal, wie sie überprüfen können, ob ihr Gerät verwundbar ist oder nicht. So verbleiben viele Zugriffpunkte ungepatcht und angreifbar gegenüber entfernten Attacken. Die Angreifer können sich vollständigen Zugriff verschaffen und dann die ISP DNS Einstellungen durch schädliche Einstellungen ersetzen. Wenn also alle Leute, die mit diesem bestimmten Zugriffspunkt verbunden sind, im Internet surfen, läuft ihr gesamter Traffic über schädliche DNS-Server, die sie auf gefälschte Online-Banking-Websites oder gefakte Online-Bezahlsysteme umleiten. Das ist eine gruselige und wirklich fiese Technik, da selbst recht erfahrene Nutzer ihr leicht zum Opfer fallen und damit Geld verlieren können. Die Phishing-Attacke spielt sich auf der DNS-Schicht ab, wenn Ihr Endgerät eine Namensanfrage stellt, der Server, auf den Sie geleitet werden, jedoch komplett bösartig ist.

Empfehlungen

Eine der ehernen Regeln für die Arbeit in jedem WiFi-Netzwerk lautet: Nutzen Sie immer eine VPN-Verbindung! Wenn Sie keine haben, so besorgen Sie sich eine und installieren Sie sie auf all Ihren Geräten – Smartphones, Tablets, Laptops, etc. Unter Umständen stoßen Sie auf Wi-Fi-Netze, in denen Ihr VPN geblockt wird. Sie werden dann durch eine gelbe Flagge gewarnt. Wenn möglich, benutzen Sie dieses Netzwerk nicht. Sollte das nicht möglich sein, so wäre es vermutlich besser, via TOR Browser ins Internet zu gehen und gleichzeitig Ihre DNSCrypt-Einstellungen direkt auf Ihrem Gerät zu aktivieren.

Wenn Sie Besitzer eines Zugriffspunktes sind, so überprüfen Sie bitte, ob Ihre Firmware aktuell ist. Ist das nicht der Fall, so sollten Sie sie umgehend upgraden. Verändern Sie an Ihrem Zugriffspunkt die Standardeinstellungen des Anbieters, definieren Sie neue, starke Passwörter, so dass Angreifer sie nicht einfach knacken können. Überprüfen Sie, welche Verschlüsselung Ihr Zugriffspunkt aktuell hat! Wenn es WPA oder WEP ist, so ändern Sie es um in WPA2 mit AES-Einstellungen. Deaktivieren Sie das SSID-Broadcasting und stellen Sie sicher, dass Ihr Netzwerk-Passwort ausreichend stark ist.

Denken Sie daran, dass ein einziger Fehler zum Verlust sensitiver Daten führen kann. Opfern Sie ein wenig Zeit, aber nicht die Sicherheit. Gibt es kein wirklich sicheres Netzwerk in Ihrer Nähe, so riskieren Sie nichts, nur um ein Foto sofort zu posten, sondern warten Sie, bis Sie einen sicheren Platz zum Arbeiten gefunden haben.

Gefakte AC/DC-Ladestationen

Es ist so ärgerlich, wenn der Akku schlappmacht, und der Tag gerade erst beginnt. Ganz besonders ärgerlich ist es, wenn man sein Smartphone braucht, für Wegbeschreibungen, Karten, Fahrpläne oder irgendwelche anderen Reiseinformationen. In solchen Situationen nutzen die Menschen jede verfügbare Auflade-Möglichkeit, an jedem Ort, und sei es nur für ein paar Minuten.



Moderne Smartphones und Tablets mit großen, schönen Displays, die LTE-Daten oder auch nun Standard-WiFi verwenden, verbrauchen eine Menge Energie. Gerade wenn der Akku nicht mehr der neuste ist, ist das Gerät zu schnell entladen, und das ist natürlich keine Option.

Daher halten Reisende überall nach Auflade-Möglichkeiten für ihre Geräte Ausschau. Selbst an einer Bushaltestelle, in einem Warteraum oder an irgendeinem anderen öffentlichen Ort. Allerdings vergessen sie dabei, dass niemand wirklich wissen kann, ob die Ladestation, mit der sie ihr Gerät verbinden, bösartig ist oder nicht.


Was genau aber ist eine bösartige AC/DC-Ladestation? Es bedeutet nicht, dass Sie dort nicht Ihren Akku aufladen können. Nein, der Akku wird schon aufgeladen, doch gleichzeitig werden auch verborgen Informationen von Ihrem smarten Gerät gestohlen, wenn Sie es über den USB-Anschluss aufladen. In manchen Fällen können solche gefakten Ladestationen auch Malware installieren, die in der Lage ist, Ihren Standort zu lokalisieren, selbst wenn Sie den Bereich verlassen, um dann Ihre Notizen, Kontakte, Bilder, SMS (und andere Instant Messages), die Anruflisten, Ihre gespeicherten Passwörter und selbst Ihre Browser-Cookies zu stehlen.

Empfehlungen

Benutzen Sie niemals unbekannte Aufladestationen, sondern halten Sie Ausschau nach vertrauenswürdigen Orten. Teilen Sie sich Ihre Akkulaufzeit ein und führen Sie am besten einen Ersatz-Akku mit sich, den Sie benutzen können, wenn der erste leer ist. Für iOS-Geräte gibt es Cases mit Ersatz-Akkus, was auch eine gute Lösung ist.

Versuchen Sie den Akkuverbrauch zu optimieren, indem Sie unnötige Prozesse darauf schließen und den Flugmodus aktivieren, wenn kein mobiles Netzwerk verfügbar ist. Sie können auch Klingeltöne, Vibration und andere Features deaktivieren, die Ressourcen verbrauchen, wie etwa animierte Hintergrundbilder und ähnliches.


Folgen Sie mir auf Twitter: @dimitribest

Fußballweltmeisterschaft in Brasilien 2014: Geldautomaten und Kreditkartenbetrug


  Fabio Assolini         3 Juni 2014 | 15:00  MSK

Ihr Kommentar  

Teil 2. Tipps zur Nutzung von Geldautomaten und zur Vermeidung von Kreditkartenbetrug

Haben Sie vor, Brasilien während der Weltmeisterschaft zu besuchen? Herzlich willkommen! Ich hoffe, Sie genießen Ihren Aufenthalt! Wie werden Sie hier Ihre Rechnungen bezahlen? Bar oder mit Kreditkarte? Machen Sie sich Sorgen darüber, dass Ihre Kreditkarte geklont werden könnte? Das sollten Sie auch.

In Brasilien sind einige der kreativsten und aktivsten Kriminellen mit dem Spezialgebiet Kreditkarten-Klonen beheimatet und unglücklicherweise gehören Fremde zu ihren Lieblingsopfern, die nicht wissen, wie sie ihre Karten schützen, wenn sie Geld von einem Automaten abheben oder wenn sie für ihr Churrasco und ihre Caipirinhas in einem Restaurant bezahlen.

In diesem zweiten Teil unserer Serie geben wir Erläuterungen zu den am weitesten verbreiteten Attacken auf Geldautomaten und PoS-Geräte (Point of Sales) in Brasilien. Sie zielen darauf ab, Ihre Kreditkarte heimlich zu kopieren, wobei Skimmer-Geräte, gefälschte Unterschriften und selbstverständlich eine Menge Malware zum Einsatz kommen.

Kreditkartennutzung – auf Brasilianisch

PoS-Geräte sind im Land weit verbreitet, man findet sie in Restaurants, Supermärkten, Tankstellen und so weiter. Tatsächlich sind Kreditkarten das Mittel der Wahl, wenn es darum geht, Waren zu kaufen und Rechnungen zu bezahlen - gemäß der Brazilian Central Bank werden 70% aller Zahlungen im Land mit Kredit- und Bankkarten geleistet:



Kreditkarten mit CHIP and PIN werden in fast allen Branchen akzeptiert, sogar von Taxifahrern – ungeachtet einiger Meldungen jüngeren Datums über Sicherheitslücken in diesem Protokoll, sind CHIP and PIN-Karten sicherer und schwieriger zu klonen als Magnetstreifenkarten. Wenn Sie einen solchen Kartentyp noch nicht besitzen, fragen Sie bei Ihrer Bank, ob sie noch vor Ihrer Abreise nach Brasilien eine bekommen können.

In Europa und Nordamerika ist es für viele ganz selbstverständlich, den Angestellten von Restaurants oder Geschäften ihre Kreditkarte auszuhändigen. In Brasilien ist das ein gefährliches Unterfangen. Tun Sie es bitte nicht! Sie geben Betrügern damit eine goldene Gelegenheit, die Karte zu klonen, und die Versuchung ist eindeutig zu groß, um ihr widerstehen zu können. Ich habe ausländische Freunde, die mir davon berichteten, dass ihre Karte in Brasilien geklont wurde, und das passierte in genau dieser Situation, also behalten Sie Ihre Karte bitte ständig im Auge.



Tun Sie das nie. Nie

Vergessen Sie Ihre europäischen Gewohnheiten: In Brasilien ist es ganz normal, die Mitarbeiter in Geschäften und Restaurants zu bitten, den elektronischen Bezahl-Terminal zu Ihnen zu bringen. Das ist sehr viel sicherer, da die Transaktion dann direkt unter ihren Augen vollzogen wird. Achten Sie darauf, dass Sie nicht in Situationen geraten, in denen sich die Karte für einen Moment außerhalb Ihrer Reichweite befindet. Wenn das passiert, stellen Sie sicher, dass die Karte, die Sie zurückerhalten, auch tatsächlich Ihre ist. Wenn Sie irgendwelche Zweifel haben, teilen Sie diese umgehend Ihrer Bank mit.



Tun Sie stattdessen dies!

Malware für PoS und PIN-Pad

Brasilianische Cyberkriminelle importieren PoS-Malware aus Osteuropa und benutzen sie dann vor Ort, indem sie Rechner infizieren und Kreditkartennummern ausspionieren. Wir haben über eine interessante Attacke berichtet, bei der die so genannte “Chupa Cabra Malware”, Trojan-Spy.Win32.SPSniffer, eingesetzt wurde, eine Schadprogramm-Familie mit verschiedenen Versionen, die in Brasilien entwickelt wurde und in Brasilien seit 2010 in freier Wildbahn gesichtet wird.




Neue Varianten der PoS-Malware, noch immer ein Trend in Brasilien

Dieser Trojaner greift PoS- und PIN-Pad-Geräte an, die im Land beide gleichermaßen verbreitet sind. Diese Geräte werden via USB- oder seriellem Port mit einem Computer verbunden, um mit der EFT-Software zu kommunizieren (electronic funds transfer). Der Trojaner infiziert den Computer und spioniert die über diesen Port übermittelten Daten aus.


Diese PIN-Pads sind mit Sicherheitsfeatures ausgestattet, um zu gewährleisten, dass die Sicherheitsschlüssel gelöscht werden, wenn irgendwer versuchen sollte, das Gerät zu manipulieren. Der PIN wird verschlüsselt, sobald er eingegeben wird, meist mit Triple-DES. Doch die Daten auf Track 1 (Ihre Kreditkartennummer, Verfallsdatum, die Servicenummer und die CVV) sowie die öffentlichen CHIP-Daten werden in der Hardware alter und veralteter Geräte nicht verschlüsselt. Sie werden vielmehr in Klartext über einen USB- oder einen seriellen Port an den Computer gesendet. Man muss lediglich diese Daten abfangen, um die Kreditkarte klonen zu können.

Die Betreiber waren sich dieser Probleme bewusst und haben ein umfassendes Firmware-Update in diesen Geräten vorangetrieben, um die Attacken zu stoppen, doch das ständige Erscheinen neuer Varianten dieser Malware belegt, dass derartige Angriffe nach wie vor effizient sind.

Man kann wenig dagegen tun, dieser Art von Betrug zum Opfer zu fallen, daher sollten Sie Ihre Kreditkartenabrechnung und alle aufgelisteten Transaktionen stets sorgfältig kontrollieren. Informieren Sie Ihre Bank umgehend, wenn Sie etwas Verdächtiges entdecken. Wo immer möglich, bezahlen Sie unter Verwendung eines drahtlosen PoS-Gerätes – die sind ein wenig sicherer als die älteren, die über serielle oder USB-Ports verbunden werden.

Geldautomaten-Skimmer, gefälschte Armaturen und Jackpot-Malware

Nach Angaben der Weltbank gehört Brasilien zu den Ländern, die die meisten Geldautomaten weltweit hat. Daher haben Betrüger auch mehr als 160.000 Möglichkeiten, einen Skimmer (auch als “Chupa Cabra-Geräte” bekannt) zu installieren; sie tun das ständig, selbst am helllichten Tag sieht man sie herumlungern, in Flip-Flops und Strandklamotten, sehr entspannt, während sie Skimmer in einer überfüllten Bank installieren:

Das Eingabefeld während der PIN-Eingabe mit der Hand abzuschirmen, ist eine gute Methode, Skimmer-Angriffe abzuwehren, die meist von versteckten Kameras abhängig sind. Aber einige haben das Skimming auf ein ganz neues Niveau gehoben und installieren nun komplette Geldautomaten-Attrappen

Einige Banken haben eine biometrische Authentifizierung eingeführt und die brasilianischen Banken leisten bei der Implementierung dieser Technologie Pionierarbeit. Doch als Ausländer wird es Ihnen kaum etwas nützen, denn es ist eine vorausgehende Registrierung bei den lokalen Banken erforderlich und die Technologie ist nur für Brasilianer und Ortsansässige verfügbar.



Es gibt biometrische Geldautomaten, aber Ausländer werden sie kaum nutzen können

Wie von Brian Krebs bereits angesprochen, ist ein scharfes Auge in diesem Fall der beste Schutz – sollten Sie etwas beobachten, das Ihnen nicht richtig erscheint, benachrichtigen Sie die Bank oder die Besitzer des Gerätes, und heben Sie an irgendeinem anderen Automaten Geld ab.

Die Vereinigung Brasilianischer Banken (Febraban) hat einige sehr nützliche Tipps für die Nutzung von Geldautomaten in Brasilien zusammengestellt:


  • Bitten Sie niemals Fremde bei der Benutzung eines Geldautomaten um Hilfe, und nehmen Sie auch keine Hilfe an, selbst wenn die Personen völlig harmlos erscheinen;


  • seien Sie verdächtigen Personen in Ihrer Nähe gegenüber misstrauisch. Haben Sie irgendwelche Zweifel, so brechen Sie die Operation ab; seien Sie besonders aufmerksam, wenn sie die Bankfiliale verlassen, denn Sie könnten dem so genannten “saidinha de banco” zum Opfer fallen;


  • Wenn Ihre Kredit-oder Bankkarte vom Geldautomaten eingezogen wird, drücken Sie auf den Knopf "Cancela” oder “Anula”, um die Operation abzubrechen und nehmen Sie umgehend Kontakt mit Ihrer Bank auf. Versuchen Sie vom Hilfe-Telefon der Bank aus anzurufen. Wenn das nicht funktioniert, kann das durchaus ein Versuch sein, Kunden auszurauben. In diesen Fällen nehmen Sie unter keinen Umständen Hilfe von Fremden an, selbst wenn sie behaupten, sie arbeiten in der Bank. Und geben Sie nicht Ihre PIN in den Automaten ein.


Ein weiterer interessanter Trend in Brasilien und Lateinamerika ist die “Jackpot”-Malware. Kürzlich hatten wir es in Mexiko mit Ploutus zu tun, und einige weitere Fälle wurden auch in Brasilien registriert. In diesen Fällen infizieren Cyberkriminelle den Geldautomaten unter Verwendung eines USB-Sticks – fast alle benutzen nach wie vor ein nicht mehr unterstütztes Betriebssystem wie z.B. Windows XP. Die Malware ermöglicht es, das gesamte Geld aus dem Geldautomaten zu entfernen. Es betrifft Sie nicht persönlich, aber es könnte bedeuten, dass im Automaten kein Geld zur Verfügung steht, wenn Sie es benötigen.

Das sind einige Tipps von einem Ortsansässigen, der hofft, auf diese Weise dazu beizutragen, dass Sie unsere Gastfreundschaft während Ihres Aufenthaltes in Brasilien genießen können. Wenn Sie Geldautomaten benutzen oder mit Ihrer Kreditkarte zahlen, seien Sie vorsichtig und genießen Sie die Zeit in Brasilien. Als letzten Tipp möchte ich Ihnen diesen Link ans Herz legen – eine sehr schöne Liste von Anregungen, die ihnen helfen sollen, gesund und munter durch die WM zu kommen.

In unserem nächsten Blogeintrag dieser Reihe wird mein Kollege Dmitry Bestuzhev die Risiken erläutern, die die Nutzung von kostenlosen Wi-Fi-Netzen und Ladegeräten mit sich bringt, und er wird erklären, wie man sich sicher mit dem Internet verbindet.

Fußball-Weltmeisterschaft in Brasilien 2014: Eigentore zählen nicht


  Fabio Assolini        22 Mai 2014 | 16:00  MSK

Ihr Kommentar  

Teil 1 – Phishing und Malware


In weniger als einem Monat werden sich 32 Fußballnationalmannschaften und tausende von Fußballfans auf den Weg nach Brasilien zum FIFA World Cup 2014 machen. Einen Monat lang wird die ganze Welt das wohl größte Sportereignis auf unserem Planeten verfolgen. In diesem Moment nehmen die Spieler und Trainer gerade die Feinabstimmung ihrer Taktiken, Spielpläne und Strategien vor, um ihre Gegner auszutricksen. Und genau das tun derzeit auch die Cyberkriminellen.

Vor wenigen Monaten beschrieben wir einige Attacken, die das Thema WM ausnutzten. Es ging dabei unter anderem um betrügerische Domains, die gefälschte Tickets verkaufen, gefälschte Giveaways sowie mehrere Phishing- und Malware-Kampagnen, die die Kreditkarten der User zum Ziel hatten. Das Turnier rückt näher und die Cyberangreifer machen weiter. In einer Reihe von vier Blogposts, die im Wochenrhythmus erscheinen, werden mein Kollege Dmitry Bestuzhev und ich Einzelheiten zu den jüngsten Attacken liefern und Tipps für Reisende und User bereitstellen, wie sie sich während eines Aufenthaltes in Brasilien oder online beim Suchen nach Fußballvideos oder Spielergebnissen schützen können.

In diesem ersten Teil werden wir einige sehr professionelle Phishing- und Malware-Attacken näher unter die Lupe nehmen, bei denen digital signierte Malware verwendet wird, sowie eine gehackte Kundendatenbank für den Ticketverkauf online, SSL-zertifizierte Phishing-Domains und jede Menge Social Engineering. All diese Attacken hatten immer dasselbe Ziel, und zwar Ihren Computer zu infizieren und Ihr Geld zu stehlen.

Echt oder nicht?

Wie erkennt man eine Phishing-Domain? Nun, die Phisher kompromittieren normalerweise eine legitime Website und hosten ihre Seite dort, z.B. anotherwebsite.com/paypal_phish_page. Doch wie sieht es aus, wenn die Phisher echte Profis sind? Sie können eine Attacke dergestalt aufbereiten, dass es dem Durchschnittsnutzer recht schwerfallen dürfte, zu sagen, ob eine Seite legitim ist oder nicht. Dadurch steigt die Zahl der Opfer enorm.

Und genau das tun aktuell brasilianische Phisher – sie registrieren Domains mit den Namen bekannter Marken, meist Kreditkartenunternehmen, Banken, Online-Shops usw. Alle diese Phishing-Sites wurden offensichtlich von Profis erstellt, wie diese hier, die den Namen Cielo ausnutzt, einem Visa-Repräsentanten in Brasilien:



Aber auch die Namen anderer Kreditkartenmarken wurden verwendet, so wie Mastercard in dem folgenden Beispiel:



Eine weitere Site benutzte ein Bild des brasilianischen Schauspielers und Moderators Rodrigo Faro:



Alle Phishing-Domains waren sehr professionell aufgemacht:



Allein in Brasilien entdecken und blockieren wir täglich durchschnittlich 50-60 Domains dieser Art.

Aber das war den Phishern noch nicht genug: Sie haben außerdem Domains registriert und angefangen, SSL-Zertifikate von Zertifizierungsstellen wie Comodo, EssentialSSL, Starfield, Register.com und anderen zu kaufen. Dabei heraus kommen dann Phishing-Domains mit einem ‘verifizierten’ SSL-Zertifikat:



Hier eine weitere Site, die den Namen VISA und seine SSL-Zertifizierung verwendet:



Wie kann ein durchschnittlicher User solche Domains als gefährlich erkennen? Nun, wirklich einfach ist das nicht. Aus diesem Grunde ist unsere Anti-Phishing-Erkennungskomponente hochgradig proaktiv und blockiert diese Domains im Vorwege, bevor die bösen Jungs den Phishing-Content aktivieren.

Warum geben die Zertifizierungsstellen SSL-Zertifikate an Phisher aus? Um ehrlich zu sein, wir wissen es nicht. Sicher ist, dass sie einen besseren Überprüfungsmechanismus einführen müssen, um Cyberkriminellen nicht weiterhin dabei zu helfen, den Anwendern Geld zu stehlen.

Die Phisher haben zudem betrügerische Seiten im mobilen Format entwickelt, so dass sie die Daten der Nutzer auch dann stehlen können, wenn sie auf einen Link auf ihrem Smartphone klicken:



Digital signiert, aber bösartig

Brasilianische Cyberkriminelle nutzen die Tatsache aus, dass es so einfach ist, SSL-Zertifikate zu kaufen und organisieren Malware-Kampagnen mit digital signierten Schadprogrammen. Diese Dateien werden in Mitteilungen wie der unten stehenden verbreitet:




«Glückwunsch, Sie haben ein Ticket für ein WM-Spiel gewonnen»

Um das Ticket für sich «geltend zu machen», wird der Nutzer aufgefordert, es auszudrucken. Der Link verweist auf einen digital signierten brasilianischen Trojan-Banker:




Trojan-Banker.Win32.Banker.bplh

Gehackte Datenbank, personalisierter Angriff

Und was ist mit einer personalisierten E-Mail, die angeblich von einem bekannten Online-Ticket-Verkaufssystem versendet wurde und Sie darüber informiert, dass Sie eine Eintrittskarte für ein Weltmeisterschaftsspiel gewonnen haben? Um diese Benachrichtigung möglichst echt erscheinen zu lassen, enthält sie persönliche Daten wie etwa den vollen Namen, das Geburtsdatum, den Geburtsnamen und die vollständige Postadresse. Klingt echt, oder? Ist es aber nicht.

Aber genau so sind brasilianische Cyberkriminelle vorgegangen, die vermutlich Informationen von einer gehackten Kundendatenbank unbekannten Ursprungs verwendet haben:




«Sie haben ein Ticket gewonnen»

Die Nachricht enthielt einen Link auf die folgende Website. Um das «Geschenk» zu aktivieren, musste der Nutzer eine Datei herunterladen, die sich als Trojan-Banker erwies:



Brasilianische Cyberkriminelle sind aber nicht die einzigen, die sich das Thema Fußball-Weltmeisterschaft zunutze machen – derartige Angriffe findet man derzeit überall, in verschiedenen Sprachen und mit unterschiedlichen Zielen.

Wenn Sie vorhaben, nach Brasilien zur Weltmeisterschaft zu reisen oder sie online zu verfolgen, so bleiben Sie auf der sicheren Seite – trauen Sie keiner Nachricht, die Sie erhalten, und sichern Sie sich doppelt ab, bevor Sie auf irgendwelche Links klicken.

In unserem nächsten Blogpost erklären wir Ihnen, wie Sie Ihre Kreditkarten schützen, wenn Sie damit etwas in Brasilien kaufen – dem Land der ChupaCabra-Malware.

Nach oben  |  Archiv >>

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen