244502

Phishing - Next Generation

01.02.2005 | 14:05 Uhr |

Wird derzeit noch hauptsächlich mit getarnten Links in Mails und auf Web-Seiten gearbeitet, erproben die Täter bereits die nächste Masche.

Bei PhishinGoogle-Mails geht es um Identitätsdiebstahl. Die Täter versuchen an die persönlichen Daten möglichst vieler Opfer zu gelangen. Dazu werden sie auf Web-Seiten mit gefälschten Formularen gelockt, die denen von Banken und Online-Auktionsanbietern täuschend ähnlich sehen. Das ist kein Wunder, sie werden komplett kopiert und dann ein wenig angepasst, sodass die eingegebenen Daten bei den Tätern landen. Die betreiben dann mit den ausspionierten Identitäten ihre Geschäfte.

Wird derzeit noch hauptsächlich mit getarnten Links in Mails und auf Web-Seiten gearbeitet, erproben die Täter bereits die nächste Masche. Sie fälschen nicht die Links sondern die DNS-Einträge (Domain Name Service), so dass die Eingabe einer echten URL zu einer Kopie der Website auf einem von den Tätern genutzten Server führt. Das bedeutet, dass ein Link zur korrekten Adresse der XY-Bank (etwa www.xybank.com) zum Server der Betrüger führt, der unter einer anderen IP-Adresse erreichbar ist.

Diese Masche ist bereits von den Browser-Hijackern bekannt, die die Datei "hosts" auf den betroffenen PCs manipulieren. Diese Datei enthält Zuordnungen von Web-Adressen zu IP-Adressen, die der Browser verwendet. Statt eine große Zahl einzelner PCs mit Hilfe von Programmen zu infiltrieren, die ständig geändert werden müssen, weil sie von Schutz-Software erkannt und beseitigt werden, greifen die Betrüger nunmehr an einem anderen Punkt an. Sie brechen in Name-Server von Providern ein und ändern dort diese Zuordnungen.

Kunden dieses Providers werden auf diese Weise umgeleitet, ohne dass ihr eigener Rechner kompromittiert ist. Die Betrüger halten zu diesem Zweck entsprechende Server-Farmen bereit, man spricht daher bei dieser Methode von "Pharming". Für die Täter ist es kein Problem auch Server mit SSL-verschlüsselten Verbindungen bereit zu stellen, meist erkennbar am Präfix "https://" einer URL. Das Problem den Betrug zu erkennen verlagert sich so auf die Browser. Sie müssen gefälschte Server-Zertifikate zuverlässig erkennen. Auch die Benutzer müssen regelmäßig die Zertifikate der Server überprüfen, auf denen sie persönliche Daten eingeben. Dazu dient ein Klick auf das Vorhängeschloss am unteren Rand des Browser-Fensters. Misstrauisch sollten Sie immer dann werden, wenn Ihr Browser meldet, dass er das Zertifikat eines Servers nicht verifizieren kann.

Security-Newsletter

Sie möchten in punkto Sicherheit immer auf dem Laufenden bleiben? Dann abonnieren Sie doch einfach unseren kostenlosen Security-Newsletter. Dieser wird werktäglich verschickt. Bei Bedrohungen, die sofortiges Handeln erfordern, erhalten Sie zudem einen Security-Alert per Mail. Sie können den Newsletter auf dieser Website bestellen .

0 Kommentare zu diesem Artikel
244502