Behälterfälschung

Trojaner maskiert sich als Nachrichten-Newsletter

Das Ding ist topaktuell, verbreitet die heißesten Schlagzeilen und kommt perfekt gestylt als Newsletter des US-Nachrichtensenders CNN daher – und doch ist es nichts als ein Trojaner. “Crowt-A” habe es auf vertrauliche Daten abgesehen, warnt das IT-Sicherheitsunternehmen Sophos.

[...]

Bei jedem Versand holt sich das Virus frische Schlagzeilen von der CNN-Webseite ab, montiert sie zu einem aktuellen Newsletter und verschickt ihn mit einer entsprechend aktuellen Betreffzeile. Eine völlig neue, potenziell durchaus gefährliche Masche, findet Carole Theriault von Sophos: “Virenschreiber suchen ständig nach neuen Tricks, um arglose Computernutzer dazu zu bringen, ihre Schadprogramme auszuführen.” “Crowt-A” nutze da geschickt den weit verbreiteten Hunger nach Nachrichten.

Das Virus selbst ist kein Killer, auch nicht sonderlich weit verbreitet – aber es ist eine Art Prototyp: Mit ähnlichen Attacken wird man in Zukunft wohl öfter rechnen müssen.

“Crowt-A” hinterlegt auf betroffenen Rechnern ein Trojaner-Programm, das über den so genannten Port 80, über den der Datenaustausch zwischen Rechner und Internet läuft, Kontakt zu einem Webserver hält und auf weitere Befehle wartet. Der Trojaner verfügt über eine Keylogger-Funktion, mit der er Tastatureingaben aufzeichnen kann, um diese an den fremden Server weiterzumelden. So könnte “Crowt-A” beispielsweise PIN-Nummern und Passworte “abfischen”.

[...]

Seit dem heutigen Mittwochmorgen sind wieder gefälschte Telekom-Mails unterwegs, die vorgeben, die aktuelle Telefonrechung zu enthalten. Im Anhang der Mail findet der Empfänger diesmal keinen Link, sondern beispielsweise die Datei Rechnung18745514.chm. CHMs sind Hilfe-Dateien in einem komprimiertem HTML-Format und werden vom Internet Explorer ausgeführt. Einmal lokal gestartet, haben sie volle Zugriffsrechte, wenn der Anwender als Administrator angemeldet ist.

Ein Klick auf die vermeintliche Rechnung installiert nach ersten Erkenntnissen einen Trojaner, der weitere Dateien nachlädt. Derzeit stufen ihn nur Bitdefender (AV-Killer) und NOD32 (NewHeur_PE) als möglichen Schädling ein. Anwender, die solch eine Mail erhalten haben, sollten auf gar keinen Fall den Anhang öffnen oder speichern. Wann die Hersteller von Antivirensoftware neue Signaturen veröffentlichen, ist noch nicht klar. Auch ist noch nicht abzusehen, wie stark sich der Trojaner verbreitet. Weitere Hinweise zum Schutz vor Viren und Würmern und zum sicheren Umgang mit E-Mail finden sich auf den Antiviren-Seiten von heise Security.

Was ist ein Einbruch in eine Bank gegen eine Gründung einer Bank? Das fragt Mackie Messer in Bertold Brechts “Dreigroschenoper.” Der moderne Internet-Kriminelle klaut keine Passwörter per Phishing-Mail (Online-Accounts sind stets nur so sicher wie die zugehörige E-Mail), sondern eröffnet gleich eine Online-Bank. Man nennt die zum Beispiel First European Asian Finance Bank oder “Trans Intercontinental Finance”. Das klingt seriös. Auch eine Lotterie eignet sich für Betrüger: das British Lottery Headquarters will das Geld der Leute wie jede Lotterie, nur nicht für einen guten Zweck.

Ahnungslose Surfer sollen durch scheinbar seriöses Outfit der Website und angeblich günstigen Konditionen das Geld aus der Tasche gezogen werden. Die Methode scheint zu funktionieren: Laut FBI macht die Mafia der Fake-Banken 200 Millionen Dollar Umsatz pro Jahr. Vor allem die Institutionen kleinerer Länder wie etwa die Malta Financial Services Authority oder die Jersey Financial Services Commission publizieren regelmäßig Listen, in denen vor betrügerischen “Banken” im Internet gewarnt wird.

[...]

Um beim Online-Kauf das Vertrauen des Käufers zu unterstützen gibt es sogenannte Treuhand-Services, die das Geld verwahren, bis die Ware vom Verkäufer geliefert wurde. So soll vermieden werden, dass der Verkäufer das Geld einsackt und keine Ware liefert.

Nachdem bereits Berichte über gefälschte Treuhand-Services aufgetaucht sind, macht nun ein besonders perfider Trick Schlagzeilen. Zusammen mit dem Foto eines Gebrauchtwagens wird den Interessenten ein Virus untergeschummelt, der die Domain-Einträge von seriösen Treuhand-Services auf dem PC des Käufers manipuliert. So gelingt es den betrügerischen Verkäufern, einen gefälschten Treuhand-Service unterzuschummeln, ohne das der Käufer Verdacht schöpft.

Gefälschte E-Mails sind wie anonyme Anrufe
Stalker zu 12.000 Dollar Strafe und 500 Stunden gemeinnütziger Arbeit verurteilt

Auszug aus dem Originalartikel:
[...]

Während es gegen die Belästigung mit anonymen Briefe oder Anrufen, gefälschten Kontaktanzeigen oder Telefonnummern im Bahnhofsklo längst ausreichend Gesetze und Musterentscheidungen gibt, überforderte die Lage im Online-Bereich jedoch oft Polizei und Richter. In den USA wurden deshalb 1997 Gesetze erlassen, die dies klar stellen und unerwünschte obszöne E-Mails mit ebensolchen Anrufen gleichsetzen.

Erstes Opfer dieser neuen Gesetze ist der 38-jährige James Robert Murphy aus Columbia, dem die bei der Stadt Seattle angestellte Joelle Ligon schon vor 14 Jahren den Laufpass gegeben hatte. Dafür revanchierte er sich bei ihr mit obszönen E-Mails und Faxen an ihr Büro und bedachte dabei ihre Kollegen gleich mit, wobei er auch noch ihre E-Mail-Adresse als Absender eintrug, um sie im Büro in Verruf zu bringen.

Im April wurde Murphy verhaftet und hätte für seine Pöbeleien bis zu 250.000 Dollar Geldstrafe und bis zu zwei Jahren Haft kassieren können. Das Gericht gab sich jedoch schließlich mit eine Bewährungsfrist von 5 Jahren, 12.000 Dollar und 500 Stunden gemeinnütziger Arbeit  zufrieden – immer noch ein dicker Brocken für ein allerdings ebenso nachhaltiges “Ausrasten”. Der Verteidiger hatte auf 160 Stunden gemeinnützige Arbeit plädiert, doch vermisste der Richter Gewissensbisse oder eine Entschuldigung von Murphy bei seinem Opfer und verschärfte deshalb das Strafmaß.

Red Hat warnt vor gefälschter Sicherheitswarnung
E-Mail fordert zum manuellen Update der fileutils auf

Red Hat warnt vor einer gefälschten Sicherheitswarnung, die Nutzer zu einem Software-Update auffordert. Dieses schleust aber angeblich einen Trojaner ein.

Red Hat weist darauf hin, dass Sicherheitswarnungen immer über die E-Mail-Adresse secalert@redhat.com versandt und mit GPG signiert werden. Dies gilt auch für die eigentlichen Updates, die ebenfalls signiert sind und nur dann installiert werden sollten, wenn sich ihre Signatur verifizieren lässt.

Allerdings weist die Sicherheitswarnung einige sehr ungewöhnliche Eigenschaften auf. So soll das Update von einem speziellen Mirror heruntergeladen werden, der gar nicht zu Red Hat gehört, und dann händisch eingespielt werden – sehr ungewöhnlich, stellt Red Hat Updates doch in Form von RPM-Paketen bereit.  (ji)

Kursmanipulation im Internet – Privatanleger verurteilt

Weil er durch eine Falschmeldung im Internet den Kurs einer Aktie manipuliert hat, hat das Landgericht München einen Mann zu einer Geldstrafe von 5400 Euro verurteilt. “Gerade in diesem sensiblen Milieu, wo alle unter Pseudonym auftreten, kann man nicht so leicht über Manipulationen durch Falschmeldungen hinwegsehen”, sagte die zuständige Richterin in der Urteilsbegründung.

Der Mann hatte unter einem Pseudonym am 18. Oktober 2002 auf der Finanzplattform Wallstreet-online.de eine frei erfundene Nachrichtenagenturmeldung veröffentlicht. Darin hatte geheißen, SAP habe 51 Prozent am angeschlagenen E-Commerce-Anbieter Intershop aus Jena übernommen. Kurz nach Erscheinen der Top-Neuigkeit, stieg der Kurs der Intershop-Aktie deutlich an.

Es ist keine Seltenheit, dass mit falschen Meldungen im Internet versucht wird, Börsenkurse zu beeinflussen. Bislang kamen die Verantwortlichen aber meist ungeschoren davon, da die Rückverfolgung solcher Meldungen oft schwer ist. Der Intershop-Fall ließ sich jedoch verhältnismäßig leicht zurückverfolgen, weil der Täter den Rechner an seinem Arbeitsplatz benutzt hatte.

Rufnummern-Spoofing auf höchster Ebene

Was als nette Zugabe zum ‘normalen Telefonieren’ begann und sich zur hilfreichen CRM-Komponente entwickelte, wird jetzt von einer US-Firma beschnitten: die so genannte ‘Caller ID’. Ein Start-up verkauft eine Technologie, mit der sich die Identifikationsmerkmale eines Anrufs wie Name und Nummer durch erfundene oder anderweitig existierende Rufnummern ersetzen lassen.

Auf der Webseite von ‘Star38′ steht nichts anderes als “Anonymität beginnt”, und genau darum geht es auch. Wer jetzt allerdings glaubt, irgend jemanden irre führen zu können mit einer fremden Telefonnummer, der irrt selbst. Die Software soll nur an ausgewählte Stellen wie Ermittlungsbehörden verkauft werden, für 20 Dollar im Monat.

Dennoch sehen Kritiker besonders ein Problem: In falschen Händen könnten beispielsweise Telemarketing-Firmen die Lösung einsetzen, um Anrufe wie die von Verwandten aussehen zu lassen. Mit ein wenig Recherche sind die verwandtschaftlichen Verhältnisse und die entsprechenden Rufnummern schnell herausgefunden.

Das Telefonnummern-Spoofing ist vor Jahren von Hackern erfunden worden. Das wissen auch die Verantwortlichen bei Star38. “Leider hat die Technik einen negativen Ursprung”, so Jason Jepson, Gründer der Firma gegenüber der US-Presse, “mit dem Unterschied, dass die Hacker illegal  vorgehen, wir aber legal.”

Caller-IDs bieten sich im geschäftlichen Umfeld beispielsweise an, um CRM (Customer Relationship Management) zu optimieren. Die Rufnummer sorgt in einer CTI-Lösung (Computergestützte Telefonie) dafür, dass ein Kunde schnell identifiziert und seine Stammdaten auf den Rechner geladen werden können. Ein Unternehmen kann so unter anderem den Lieferstatus einer Ware für den Kunden einsehen und die frühere Kommunikation mit ihm zurückverfolgen.

Sicher kennen Sie den Werbeslogan des Nuß-Creme-Brotaufstrich-Herstellers. Seine Aussage bezieht sich auf die Tatsache, dass das richtige Etikett auf den richtigen Inhalt hinweist.

Was ist nun aber, wenn das richtige Etikett auf den falschen Inhalt hinweist?
Und noch einen Schritt weiter gedacht – wenn der falsche Inhalt vom richtigen Inhalt nicht zu unterscheiden ist…?

Diese Art von Täuschung macht sich ein Verfahren namens “Spoofing” zu eigen.

Stellen Sie sich vor, sie geben die Adresse “www.ebay.de” in Ihren Browser ein und sie landen plötzlich auf einer anderen Seite, die offensichtlich nicht von eBay stammt (so geschehen zum Beispiel am 28.08.2004; siehe dazu separate Meldung).

Dass dies technisch möglich ist, liegt an einer gewollt oder auch fehlerhaft manipulierten Zuordnung im Domain-Name-Eintrag (DNS-Eintrag) der jeweiligen Webadresse. Im genannten Fall war der falsche Inhalt offensichtlich, und es ist wohl davon auszugehen, dass der Vorfall eher aufgrund eines Konfigurationsfehlers zustande kam.

Was nun aber, wenn sich plötzlich eine Seite auftut, die äußerlich von der erwarteten Seite nicht zu unterscheiden ist? Lassen Sie Ihrer Phantasie freien Lauf, um sich vorzustellen, welche Mißbrauchmöglichkeiten sich daraus ergeben…

Um derartiges Missbrauchspotential einzudämmen haben sich im Internet bereits einige technische Sicherheitsvorkehrungen etabliert. Zum Beispiel die Vergabe von Zertifikaten für Server und auch für Clients. So kann überprüft werden, ob ein Webserver auch tatsächlich derjenige ist, für den er sich ausgibt. Andererseits ist diese Art von digitalem Ausweis noch nicht allzuweit verbreitet und wird bislang hauptsächlich für Online-Shops oder ähnliche Seiten verwendet.

Solange hier keine durchgängige Identitäts-Sicherheit gewährleistet ist, bleibt es ratsam, beim Surfen im Internet hin und wieder eine gewisse Skepsis walten zu lassen. Denn manchmal sind die Dinge nicht das was sie zu sein scheinen.

Eine besonders große und dreiste Welle von Massenmails rollt derzeit über das Land. Dutzende von Lesern haben uns auf Mahnungen hingewiesen, die sie heute per E-Mail erhalten haben. Der Text der Nachrichten mit der Betreffzeile “Letzte Mahnung” ist immer gleichlautend.

[...]

Der Urheber hat sich nicht einmal die Mühe gemacht, für jeden Adressaten eine eigene Rechnungsnummer anzulegen. Die Domain zur Absenderadresse buchhaltung@inspire-hosting.de ist laut DeNIC nicht registriert. Der Urheber scheint darauf zu spekulieren, dass Empfänger angesichts der kurzen Frist keine Zeit haben, die Rechnung zu überprüfen, und das Geld überweisen. Bislang ließ sich noch nicht feststellen, ob die angegebene Kontonummer tatsächlich einem Betrugsversuch dienen soll oder dem Kontoinhaber ein übler Streich gespielt wird.

Erhält man solche Mails, sollte man grundsätzlich nur nach genauer Prüfung reagieren. Seriöse Anbieter, etwa aus dem Internet-Versandhandel, lassen immer Überprüfungsmöglichkeiten zu; auch haben die Kunden natürlich immer entsprechende Unterlagen über eventuelle Bestellungen oder Dienstleistungen. Zwar lassen sich grundsätzlich Verträge auch per E-Mail abschließen; wer aber eine solche Mahn-Mail ersichtlich ohne Vertragshintergrund erhält, kann sogar Strafanzeige wegen Betrugsversuchs stellen.