Die Javascript-Tricks der Phishing Sites
Die Betreiber von Phishing-Sites und andere Online-Betrüger verschleiern mit Javascript, was dem Browser untergeschoben wird.
Die Befehle einer Javascript-Routine in einer Web-Seite sind üblicherweise im Quelltext der Seite im Klartext erkennbar. Es gibt jedoch verschiedene Möglichkeiten den Code vor dem Auge des Betrachters zu verschleiern. Das IT-Sicherheitsunternehmen Websense hat nun die Ergebnisse einer Untersuchung veröffentlicht, die sich mit den von Online-Betrügern eingesetzten Methoden befasst.
Die beschriebenen Methoden sind keineswegs neu oder besonders originell. Sie basieren im Wesentlichen auf der Konvertierung von Zeichen in eine äquivalente Kodierung. So wird etwa aus "?" ein "%3F", ein "a" wird zu "%61" und so fort. Das sind die hexadezimalen Zeichen-Codes der jeweiligen Buchstaben oder Zeichen. Oft werden diese Teile einer Web-Site in HTML-Konstrukten wie zum Beispiel einem IFRAME verborgen, dessen Breite und Höhe auf den Wert Null gesetzt ist. So ist im Browser nichts davon zu sehen, der Inhalt des IFRAME-Tags kann von einer fremden Website geladen werden.
Die von Websense betonte Bedeutung liegt vor allem in der beobachteten breiten Anwendung dieser Verschleierungstaktiken auf Phishing-Sites und anderer Web-Seiten mit unlauteren Absichten. Die Täter verbergen so ihren schädlichen Code, der zum Teil Sicherheitslücken im Internet Explorer ausnutzen soll. Websense hat in den letzten Wochen fast 10.000 Websites ausgemacht, die praktisch die gleiche Methode zur Verschleierung böswilligen Script-Befehle einsetzen. Diese Methode wird sogar von manchen Virenscannern erkannt und zum Beispiel von McAfee als "JS/Wonka" bezeichnet.
Etwa drei Viertel der entdeckten Websites, die mit JS/Wonka und ähnlichen Methoden arbeiten, liegen auf Servern in den USA. Daraus leitet Websense den Schluß ab, dass hier möglicherweise eine bestimmte Gruppe von Tätern am Werk sein könnte, die in den USA beheimatet sind. Europäische Server sind mit insgesamt kaum mehr als 12 Prozent beteiligt. Zu einem nicht geringen Teil liegen Phishing-Sites in Unterverzeichnissen unzureichend geschützter Web-Server. Daher sind Provider und Website-Betreiber aufgerufen, ihre Web-Server regelmäßig auf eingeschleuste Seiten in Unterverzeichnissen zu untersuchen, die zudem verdächtigen Script-Code enthalten.
Technische Details und Beispiel-Code zur Anschauung sind in einer PDF-Datei enthalten, die Sie auf der Website der Websense Security Labs erhalten.
