Online-Betrüger setzen verstärkt auf Phishing Kits
Vorgefertigte Baukästen enthalten Phishing-Seiten für etliche Banken.
Ein neu entdeckter Phishing-Server hält oft mehr als nur eine gefälschte Banken-Website. In diversen Unterverzeichnissen liegen Phishing-Seiten für mehr als Dutzend Banken. Ausgangspunkt dieser Untersuchung ist eine Meldung der Websense Security Labs, in der das Anti-Spyware-Unternehmen über so genannte Phishing Kits berichtet.
Nach eigenen Untersuchungen halten Webserver, die mit dem "Rock Phishing Kit" eingerichtet werden, Phishing-Sites von mehr als 20 Institutionen. Darunter befinden sich die Citibank, Commerzbank, Deutsche Bank, Dresdner Bank, Postbank und Volksbank (siehe Bild) sowie Ebay. Ferner sind etliche amerikanische Banken im Kit enthalten.
Alle Phishing-Sites sind nach dem gleichen Schema aufgebaut. Sie bestehen aus kopierten und dann für die Zwecke der Täter angepassten Original-Seiten der Banken. Die Anpassungen bestehen im Einfügen eines Eingabeformulars für die Zugangsdaten, einschließlich PIN und mehrerer TAN sowie mehrerer Javascript-Module.
Die Scripte sollen dafür sorgen, dass sich die Phishing-Seite immer wieder in den Vordergrund drängt, wenn der Benutzer in ein anderes Browser-Fenster wechseln will. Ferner verhindern sie das Kopieren der Web-Adresse in die Zwischenablage. Ein weiteres Script-Modul, das von einigen Virenscannern als "JS/Stealus" erkannt wird, nutzt eine Sicherheitslücke im Internet Explorer, um die eigentliche Adressleiste mit einer zweiten zu überdecken, in der eine andere Web-Adresse angezeigt wird, nämlich die der Original-Bank.
Erkennbar sind solche Kit-Seiten unter anderem daran, dass die Web-Adresse meist eine IP-Adresse mit einem abweichenden Port enthält, also zum Beispiel "123.123.123.123:180". Nach Angaben von Websense ist das "Rock Phishing Kit" seit etwa November 2005 bekannt, andere Quellen berichten über Sichtungen dieser Baukasten-Seiten bereits aus dem September. Seitdem sind bereits mehrfach neue Versionen aufgetaucht.
