Cybercrime setzt auf Scareware, trickst Captchas aus Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


16.12.2009 Edmund E. Lindau

Cybercrime setzt auf Scareware, trickst Captchas aus

Scareware – gefälschte Pseudosicherheitsprogramme, die selbst Schadcode verbreiten – werden vermehrt zum Problem. Auch das CAPTCHA-Verfahren, bei dem Websites eine Anmeldung mit der Eingabe einer Zeichenfolge verknüpfen, wurde schon ausgehebelt.

Gefälschte Sicherheitssoftware, sogenannte Scareware, wird laut Candid Wüst, Sicherheitsexperte bei Symantec, zunehmend zum Problem. »Pop-up-Fenster und andere Warnmel- dungen, in denen offizielle Windows-Alarme imitiert werden, gaukeln Anwendern vor, ihre Rechner seien unzureichend gesichert oder gar infiziert. Der User müsse nur die per Link angebotene Sicherheitssoftware kaufen und installieren, um seinen Computer zu säubern«, erklärt Wüst die Masche. Alleine bis Juni 2009 hat Symantec mehr als 250 dieser auch als »Rogue AV« bezeichneten betrügerischen Programme aufgespürt. »Unsere Tests haben ergeben, dass 93 Prozent der Anwender auf diese Täuschungsversuche hereinfallen und das Schadprogramm tatsächlich freiwillig herunterladen«, sagt Wüst. Im Durchschnitt geben Anwender für die Downloads dieser Scareware zwischen 30 und hundert Dollar (etwa 20 bis 70 Euro) aus. Der mögliche Folgeschaden ist jedoch ungleich größer. Die installierte Scareware öffnet Einfallstore für weitere Attacken und setzt die persönlichen oder finanziellen Daten des Nutzers weiterem Missbrauch aus. Zu diesem Zweck verlangt sie unter anderem vom Nutzer, während der Installation andere Sicherheitseinstellungen ganz auszuschalten. Dies sei zugleich einer der immer öfter angewendeten Tricks von Cyberkriminellen, so Wüst im Gespräch mit der COMPUTERWELT, um ihre Botnetze zu erweitern.

UPDATE FÜR BOTNETZE Das gezielte Aufspüren und Abschalten von Command- und Controlrechnern wie beispielsweise von McColo im Jahr 2008 oder von Real Host im August 2009 führt dazu dass die kriminellen Hintermänner ihre Command-and-Control-Strategien überdenken und verfeinern. Die getroffenen Maßnahmen wirken darauf hin, dass sich Botnets von solchen Rückschlägen nun binnen weniger Stunden völlig erholen können, anstatt wie noch in der Vergangenheit mehrere Wochen oder Monate für die Regeneration zu benötigen. Für das Jahr 2010 geht Symantec davon aus, dass Botnets eine Art autonomer Intelligenz entwickeln werden. Das hieße, dass jeder einzelne gekaperte Rechner über eine eingebaute, autarke Programmierung verfügt, um sein eigenes Fortleben als Netzwerk-Knoten innerhalb des betreffenden Botnets zu koordinieren und zu verlängern.

Allein die zehn wichtigsten Schwergewichte unter diesen Netzwerken, darunter Cutwail, Rustock und Mega-D, kontrollieren heute mindestens fünf Millionen manipulierte Computer. Cutwail hat 2009 als dominierende Kraft die Verbreitung von Spam und Malware gleichermaßen beherrscht und zeichnete im Zeitraum von April bis November des Berichtsjahres für den Versand von 29 Prozent aller 8,5 Milliarden Spam-Mails verantwortlich. So nutzte Cutwail seine Größe und Macht auch, um massenweise E-Mails zu verbreiten, die den Trojaner-Dropper Bredolab enthielten. Getarnt war dieses Schadprogramm, das 2009 eine der massivsten Bedrohungen für Unternehmen und Computerbesitzer darstellte, dabei jeweils als angehängte zip-Datei.

Der Bredolab-Trojaner ist darauf ausgerichtet, dem Absender vollständige Kontrolle über den Rechner des Empfängers zu verleihen. Das macht es möglich, auf dem Zielcomputer weitere Malware, Adware und Spyware für das jeweilge Botnet zu installieren und zu betreiben. Der Anteil der Spam-Mails, die der Verbreitung des Trojaner-Droppers Bredolab dienten, ist in der zweiten Hälfte des Jahres 2009 stetig gestiegen. Ihren Spitzenwert erreichte die Belastung im Oktober 2009, als Schätzungen zufolge rund 3,6 Milliarden E-Mails mit diesem Schadprogramm im Umlauf waren.

Schlussendlich bleibt für das Jahr 2009 auch festzuhalten, dass die CAPTCHA-Prüfungen (Completely Automated Public Turing Test to tell Computer and Humans Apart), an die viele Websites eine Anmeldung knüpfen, einem echten Härtetest ausgesetzt waren. Denn im Untergrund blüht ein schwunghafter Handel mit Tools zur automatischen Aushebelung solcher Testverfahren, dank denen es Online-Kriminellen möglich ist, mit minimalem Aufwand große Mengen echter Accounts für Web-Mail- und Instant-Messaging-Dienste oder für Social-Networking-Websites anzulegen.

Weiters sind neue Dienstleister auf den Plan getreten, die sich darauf spezialisiert haben, im Rund-um-die-Uhr-Betrieb von Hilfskräften manuell immer neue Benutzerkonten bei großen Webmail-Anbietern anlegen zu lassen und diese Accounts dann weiterzuverkaufen. Solche Jobs werden in den Stellenausschreibungen häufig als EDV-Tätigkeiten angepriesen, sind in der Praxis jedoch äußerst schlecht bezahlt: Pro tausend erstellter Benutzerkonten, die anschließend für 30 bis 40 US-Dollar an Spammer vertrieben werden, kann eine solche Aushilfe lediglich mit etwa zwei bis drei US-Dollar rechnen. Einige der großen Internetseiten prüfen deshalb mittlerweile Alternativen zu den gängigen CAPTCHA-Prüfungen mithilfe verwirbelter Buchstaben und Ziffern. So entstehen unter anderem große Sammlungen von Fotos, die einem Anwender für eine erfolgreiche Anmeldung weitergehende Analyse- oder Interaktions-Fertigkeiten abverlangen, die automatische Computerprogramme zumeist überfordern dürften.

HONEYPOT: DAS WOMBAT-PROJEKT Symantec hat sich vor einem Jahr auch am europäischen WOMBAT-Projekt (Worldwide Observatory of Malicious Behaviors and Attack Threats) beteiligt, welches sich das Ziel gesetzt hat, das Angriffsverhalten von Hackern zu analysieren um entsprechende Abwehrmaßnahmen schneller und gezielter zu entwickeln. Österreichischer Forschungspartner dieses »intelligenten Honeypot-Netzwerkes« ist das Secure Systems Lab der TU Wien. Des weiteren besteht eine enge Zusammenarbeit mit dem Institut Eurécom (Nizza, Frankreich) und der University of California in Santa Barbara (UCSB). Christopher Krügel (UCSB) und Engin Kirda (Institut Eurécom) haben die Gruppe in Wien gegründet.

WOMBAT ist ein verteiltes und protokollunabhängiges Honeypot-Netz zum Sammeln von Angreiferinformationen unter Verwendung von vielen, kostengünstigen Sensoren, das seinen Fokus auf Code-Injection-Angriffe gelegt hat. Das Funktionsprinzip läuft darauf hinaus, dass der Angreifer einen der Sensoren kontaktiert. Der Sensor behandelt den Angriff soweit vollautomatisch, solange dieser zum bereits bekannten Wissen über Angriffe gehört. Sollte nun der Angreifer eine unbekannte Anfrage oder ein neues Angriffsmuster absenden, wird sofort eine neue reale Maschine mittels Virtualisierung aufgesetzt. Diese beantwortet die »Anfrage« und wird in Folge für die weitere Kommunikationsvorgänge und für zukünftige Anfragen benutzt.

Thorsten Holz vom Secure Systems Lab der TU Wien: »Honeypots machen erst dann wirklich Sinn, wenn dadurch neue Angriffsmuster erkannt werden. Und das ist das Ziel von WOMBAT: die Erkennung und Analyse von Web-basierter Schadsoftware, im besonderen JavaScript und Flash, in Kombination von dynamischer und statischer Analyse. Uns geht es vor allem darum, typische Merkmale von Angriffsmustern zu erkennen.«

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Rittal GmbH

    Rittal GmbH Netzwerk-Management, Netzkomponenten, Zugangs- und Zutrittskontrolle, Unterbrechungsfreie Stromversorgung (USV), Überwachungssysteme, Notfalls-Rechenzentren, Netzwerk- und Systemüberwachung,... mehr
  • APC Business Services GmbH

    APC Business Services GmbH IT-Personalbereitstellung, Individual-Softwareentwicklung, IKT-Consulting mehr
  • DBConcepts GmbH. Die Oracle Experten.

    DBConcepts GmbH. Die Oracle Experten. Enterprise Application Integration, Datenbanken, Business Intelligence und Knowledge Management, Tools, Server-Betriebssysteme, Middleware, Betriebssysteme für PCs,... mehr
  • Editel Austria GmbH

    Editel Austria GmbH Supply Chain Management, E-Procurement und Supply Chain Management, Datenkonvertierung, Überwachungssysteme, Trust Center/Zertifizierungssoftware, Digitale Signatur, Datensicherung,... mehr

Hosted by:    Security Monitoring by: