137818

Abschaltung von Phishing-Sites oft schwierig

21.07.2005 | 16:06 Uhr |

Eine schnelle Sperrung der Websites von Phishern scheitert oft an ganz banalen Problemen.

Zu einem typischen Phishing-Angriff gehört auch eine Website, auf der eine kopierte Login-Seite zum Beispiel einer Bank abgelegt ist. Sie liegt meist auf einem gekaperten Web-Server irgendwo auf der Welt. Oft sind mehrere solcher fremdgesteuerten Web-Server zugleich im Einsatz. Die potenziellen Opfer werden auf verschiedenen Wegen zu einer dieser Phishing-Sites geleitet, wenn sie den Link in der PhishinGoogle-Mail anklicken.

Eine Möglichkeit sind Provider, die den Tätern ermöglichen, die DNS-Einträge ihrer Server alle paar Minuten oder Stunden zu ändern. Eine andere Methode ist ein Gateway-Rechner, auf den der Link in der Mail zeigt. Dieser leitet dann den Aufruf zufällig oder nach bestimmten Kriterien an einen der noch aktiven Web-Server weiter. Das soll die Verfolgung der Spuren erschweren.

Banken und die von ihnen beauftragten Ermittler versuchen die Web-Server mit den gefälschten Login-Seiten möglichst schnell zu sperren. Dazu stellen sie fest, wo der jeweilige Rechner steht und wer der Provider oder rechtmäßige Betreiber ist. Dann nehmen sie Kontakt mit ihm auf und setzen ihn von dem festgestellten Missbrauch in Kenntnis. Damit verbunden ist die Aufforderung den kompromittierten Rechner umgehend vom Netz zu nehmen.

Da die gekaperten Rechner häufig in Asien (China, Südkorea, Indien, Japan), Russland oder in den USA stehen, sehen sich deutsche Ermittler oft mit ganz banalen Problemen konfrontiert, wenn sie diese Rechner so schnell wie möglich kaltstellen wollen.

Das erste Problem ist die Sprache. Selbst wenn es noch gelingt dem indischen oder chinesischen Gesprächspartner am anderen Ende der Telefonleitung in englischer Sprache zu vermitteln, um was es eigentlich geht, gestaltet sich der Dialog schwierig, weil dessen englischer Akzent am Telefon kaum zu verstehen ist. Manchmal muss da die Bedienung des China-Restaurants um die Ecke aushelfen.

Ein anderes Problem sind die weit auseinander liegenden Zeitzonen von Mitteleuropa einerseits und Fernost sowie USA andererseits. Wenn hierzulande der normale Arbeitstag beginnt, ist in Korea schon Feierabend. Mit den USA ist es umgekehrt. Meist kann man leider nicht davon ausgehen, dass rund um die Uhr wenigstens eine Person erreichbar ist, die weiterhelfen kann.

So verzögert sich die Schließung der Phishing-Sites zuweilen um mehr als einen Tag - auch weil zunächst erstmal geklärt werden muss, wer nun eigentlich zuständig ist und wer entscheiden kann, dass ein Rechner vom Netz genommen wird. In der Zwischenzeit haben die Phisher ihr Etappenziel schon erreicht und starten die nächste Welle von PhishinGoogle-Mails, mit neuen Links zu neuen Servern.

0 Kommentare zu diesem Artikel
137818