Web-Server mit ausspionierten Daten entdeckt

Der weitere Verlauf der Recherchen im "Fall Opodo" (wir berichteten) führte zu einer zunächst nur interessanten, dann jedoch alarmierenden Entdeckung. Zunächst entstand die Vermutung, dass es eine Verbindung zu dem von Sunbelt gemeldeten Fall eines mit Hilfe der Spyware CWS verbreiteten Key-Loggers (wir berichteten) geben könnte. Dieser Anfangsverdacht bestätigte sich schnell. Die eingesetzten Schädlinge sind in beiden Fällen zumindest teilweise identisch.

Das Trojanische Pferd aus den Opodo- und Telekom-Mails installiert mehrere Schadprogramme, die es von verschiedenen Servern herunter lädt. Eines davon ist, vorsichtig ausgedrückt, Spyware. Dieses Programm spioniert unter anderem Daten aus den im Internet Explorer gespeicherten Formulardaten (Funktion "AutoVervollständigen") aus - Daten, die der Benutzer in den letzten Wochen und Monaten auf diversen Websites eingegeben hat. Das sind etwa der volle Name, Benutzernamen, Passwörter, Adressen, Telefonnummern, Geburtsdaten, Auktionsgebote oder Mail-Adressen.

Das Programm installiert im Internet Explorer ein BHO (Browser Helper Object), ähnlich wie diverse Toolbars, nur dass dieses nicht sichtbar ist. Dieses BHO fängt alle Daten ab, die über verschlüsselte Verbindungen (https://) gesendet werden - bevor sie verschlüsselt werden. Ferner erzeugt es nach Eingabe einer TAN ein Popup-Fenster, das zur Eingabe einer weiteren TAN auffordert. Die sendet es zusammen mit den anderen Daten an einen Server in den USA. Auf diesem Server befindet sich im Moment eine mehrere Megabyte grosse Datei mit Daten von mehreren hundert Internet-Nutzern, darunter auch viele Deutsche.

Unter den ausgespähten Informationen sind beispielsweise Online-Buchungen bei Fluglinien, Bestellungen bei Versandhäusern, Zugangsdaten zu Web-Mail-Providern und anderen Web-Diensten sowie auch alles, was zum Online-Banking gehört (Kontonummer, PIN, TAN) und so weiter, dazu die jeweils aktuelle IP-Adresse des PC.

Diese Daten liegen völlig ungeschützt in einer Datei auf dem Server eines US-Providers, der schon in den letzten Wochen und Monaten häufig als Heimstatt für Phishing-Server diente und noch dient. Es kommen auf diesem Server nach wie vor frische Daten hinzu. Die Datei wird in regelmäßigen Intervallen abgerufen, gelöscht und neu angelegt.

Eine weiteres installiertes Programm verwandelt den PC in einen fernsteuerbaren "Zombie", der für weitere kriminelle Zwecke missbraucht werden kann. Auf dem entdeckten Server findet sich auch eine Web-basierte Fernsteuerung für diese Zombies - schön sortiert und auswählbar nach dem Ländern, in denen die gekaperten Computer stehen, die gerade online sind. Dieser "Botnet Controller" erlaubt das Absetzen von Kommandos, das Senden und Ausführen von Programmen oder das Speichern von Screen-Shots. Es gibt schätzungsweise weit über 1000 solcher Daten- und Kontroll-Server weltweit, die derzeit aktiv sind.