125956

Phishing-Bande legt eine Umbaupause ein

09.09.2008 | 16:42 Uhr |

Nach Ansicht eines Sicherheitsunternehmens ist ein zwischenzeitliches Abflauen von Phishing-E-Mails darauf zurück zu führen, dass die Rock-Phish-Bande ihre Botnet-Infrastruktur gründlich umbaut.

Normalerweise fällt es allenfalls Spezialisten auf, wenn eine Phishing-Gang das Botnet wechselt oder andere Änderungen an ihrer Angriffstaktik vornimmt. Der Wechsel führt nicht zu einem merklichen Rückgang der Mail-Flut. Im Fall der Rock-Phish-Bande, einer der größten osteuropäischen Phishing-Gangs, sind offenbar so massive Umbauten im Gange, dass es sich auf die Gesamtzahl der verbreiteten Phishing-E-Mails auswirkt. Das meinen jedenfalls Forscher des Sicherheitsunternehmens RSA Security .

Die Beobachtungen der RSA-Forscher, die sie in ihrem Blog veröffentlicht haben, deuten darauf hin, dass die Rock-Phish-Gang ihre Infrastruktur gründlich umbaut. Nach Ansicht der RSA-Forscher haben sie die Steuerung ihrer Aktivitäten mit dem Asprox-Botnet verknüpft. Asprox ist eine Weiterentwicklung so genannter Fast-Flux-Botnets. Diese wechseln die DNS-Einträge ihrer Server zum Teil im Minutentakt und auch die Name-Server, die DNS-Anfragen beantworten, wechseln mit hoher Frequenz.

Damit erreichen sie eine hohe Ausfallsicherheit und schützen sich vor Ermittlungen von Strafverfolgern und Sicherheitsunternehmen. Das Asprox-Botnet hat in diesem Jahr durch massive SQL-Injection-Angriffe auf legitime Websites Aufmerksamkeit erregt. Dabei wurden weltweit etliche tausend Websites kompromittiert und Phishing-Seiten sowie Malware eingeschleust.

Die Zahl der Phishing-Angriffe ist nach Angaben der RSA-Forscher von weit über 13.000 im Juni auf etwas mehr als 9000 im Juli und nur noch etwa 7000 im August zurück gegangen. Das sei eine direkte Folge der Umstrukturierung im Netz der Rock-Phisher. Die Folge könnte allerdings sein, dass die Zahl der Phishing-Angriffe bald wieder stark ansteigt - mindestens auf das im Frühjahr beobachtete Niveau.

Die ursprüngliche Basis der Rock-Phish-Bande wird im russischen St. Petersburg vermutet. Sie benutzt nicht nur klassische Phishing-Mails, die wie echte Mails von einer Bank wirken sollen, sondern setzen auch auf die Verbreitung von Malware, die Rootkits und Key-Logger installiert, um Zugangsdaten fürs Online-Banking auszuspionieren.

0 Kommentare zu diesem Artikel
125956