Behälterfälschung

Der Antivirensoftware-Hersteller Panda Software warnt vor einer neuen Phishing-Masche, die darauf abzielt, Web-Surfern Kreditkartendaten zu entlocken. Dabei setzen die Angreifer Websites auf, die echten Online-Diensten ähneln, und machen diese über Suchmaschinen publik. Perfide an der neuen Masche ist, dass nicht der Phisher aktiv, zum Beispiel per E-Mail, auf die Opfer zugeht, sondern anders herum das Opfer von sich aus die Phishing-Site sucht. Da die Phishing-Sites per Suchmaschine auffindbar sind, könnten die Opfer die Transaktionen unbedarfter durchführen.

In einem bereits im März bekannt gewordenen Fall, auf den die US-Behörde Overseas Security Advisory Council hinweis, waren mehrere Pseudo-Flugbuchungssites aufgetaucht, im Einzelnen www.BusySky.net, www.CheapClouds.com, www.CrazyTickets.net und www.SubmitPrice.net. Alle Sites lockten mit Dumping-Preisen für Flüge, die die Angebote anderer Anbieter deutlich unterboten, und sammelten Kreditkarteninformationen der Buchungswilligen ein. Mittlerweile sind die Sites vom Netz. Da die Masche jederzeit auch für andere Produkte wiederholt werden kann, empfiehlt Panda Software, möglichst nur bei bekannten Web-Diensten einzukaufen, die vertrauenswürdig sind.
(jo/c’t)

Der 1. April ging wieder einmal nicht spurlos an den publizierenden Medien vorüber.

In zahlreichen “seriösen” Zeitschriften und Newsfeeds sowie auch in den Blogs und Foren geisterten diverse als News-Meldung getarnte Aprilscherze durch das Netz.

Eine Sicherheitslücke ermöglicht es, beliebige Stellenangebote scheinbar unter dem Dach des Arbeitsamts anzubieten

Erstaunen lösen momentan einige kuriose, per E-Mail eifrig weitergeleitete Stellenangebote aus. Vom staatlich geprüften Bezirksbefruchter mit regelmäßigem Nachteinsatz über den Maserati-Einparker in der Fußgängerzone bis zum Spammer oder Bordellmanager oder gar als niederste Stufe dem gescheiterten Jurastudenten mit nicht bestandenem zweiten Staatsexamen, der in einer Anwaltskanzlei für Kost und Logis Kaffee kochen und Abmahn-Serienbriefe in ihre Umschläge stecken soll, scheint die Agentur für Arbeit auf einmal die merkwürdigsten Stellenausschreibungen in ihrer Datenbank zu führen.

Alle diese Stellenangebote finden sich im Berufenet, einer eigentlich rein über Berufsbilder informierenden und keine Stellen anbietenden Subdomain von Arbeitsamt.de, deren Hauptseite inzwischen aber pauschal auf den neuen Namen Arbeitsagentur.de weiterleitet.

Nur wer sich die aufgerufene URL genau ansieht, stellt fest, dass das scheinbare Angebot zwar tatsächlich mit der Arbeitsamt-Adresse beginnt. In Wirklichkeit wird aber über ein CGI-Skript ein beliebiges, auf einer ganz anderen Domain gelagertes Bild mit frei wählbarem Text in den Frame und die URL des Arbeitsamts eingebunden und so scheinbare Seriosität hergestellt.

[...]

Trojaner maskiert sich als Nachrichten-Newsletter

Das Ding ist topaktuell, verbreitet die heißesten Schlagzeilen und kommt perfekt gestylt als Newsletter des US-Nachrichtensenders CNN daher – und doch ist es nichts als ein Trojaner. “Crowt-A” habe es auf vertrauliche Daten abgesehen, warnt das IT-Sicherheitsunternehmen Sophos.

[...]

Bei jedem Versand holt sich das Virus frische Schlagzeilen von der CNN-Webseite ab, montiert sie zu einem aktuellen Newsletter und verschickt ihn mit einer entsprechend aktuellen Betreffzeile. Eine völlig neue, potenziell durchaus gefährliche Masche, findet Carole Theriault von Sophos: “Virenschreiber suchen ständig nach neuen Tricks, um arglose Computernutzer dazu zu bringen, ihre Schadprogramme auszuführen.” “Crowt-A” nutze da geschickt den weit verbreiteten Hunger nach Nachrichten.

Das Virus selbst ist kein Killer, auch nicht sonderlich weit verbreitet – aber es ist eine Art Prototyp: Mit ähnlichen Attacken wird man in Zukunft wohl öfter rechnen müssen.

“Crowt-A” hinterlegt auf betroffenen Rechnern ein Trojaner-Programm, das über den so genannten Port 80, über den der Datenaustausch zwischen Rechner und Internet läuft, Kontakt zu einem Webserver hält und auf weitere Befehle wartet. Der Trojaner verfügt über eine Keylogger-Funktion, mit der er Tastatureingaben aufzeichnen kann, um diese an den fremden Server weiterzumelden. So könnte “Crowt-A” beispielsweise PIN-Nummern und Passworte “abfischen”.

[...]

Man nehme viele Fotos auf denen in irgendeiner Weise eine Uhrzeit bildhaft vorkommt, stelle das ganze zeitgesteuert ins Internet und fertig ist die “Human Clock”!

Jeder Nutzer hat die Möglichkeit, seine individuelle Minute zu gestalten, indem er ein Motiv – z.B. von sich selbst mit einer aufgemalten Uhrzeit – einsendet, welches dann zum richtigen Zeitpunkt auf der Clock-Homepage veröffentlicht wird.

Nette Idee für die Zweckentfremdung des Mediums in einem anderen Zusammenhang.

Was ist ein Einbruch in eine Bank gegen eine Gründung einer Bank? Das fragt Mackie Messer in Bertold Brechts “Dreigroschenoper.” Der moderne Internet-Kriminelle klaut keine Passwörter per Phishing-Mail (Online-Accounts sind stets nur so sicher wie die zugehörige E-Mail), sondern eröffnet gleich eine Online-Bank. Man nennt die zum Beispiel First European Asian Finance Bank oder “Trans Intercontinental Finance”. Das klingt seriös. Auch eine Lotterie eignet sich für Betrüger: das British Lottery Headquarters will das Geld der Leute wie jede Lotterie, nur nicht für einen guten Zweck.

Ahnungslose Surfer sollen durch scheinbar seriöses Outfit der Website und angeblich günstigen Konditionen das Geld aus der Tasche gezogen werden. Die Methode scheint zu funktionieren: Laut FBI macht die Mafia der Fake-Banken 200 Millionen Dollar Umsatz pro Jahr. Vor allem die Institutionen kleinerer Länder wie etwa die Malta Financial Services Authority oder die Jersey Financial Services Commission publizieren regelmäßig Listen, in denen vor betrügerischen “Banken” im Internet gewarnt wird.

[...]

Um beim Online-Kauf das Vertrauen des Käufers zu unterstützen gibt es sogenannte Treuhand-Services, die das Geld verwahren, bis die Ware vom Verkäufer geliefert wurde. So soll vermieden werden, dass der Verkäufer das Geld einsackt und keine Ware liefert.

Nachdem bereits Berichte über gefälschte Treuhand-Services aufgetaucht sind, macht nun ein besonders perfider Trick Schlagzeilen. Zusammen mit dem Foto eines Gebrauchtwagens wird den Interessenten ein Virus untergeschummelt, der die Domain-Einträge von seriösen Treuhand-Services auf dem PC des Käufers manipuliert. So gelingt es den betrügerischen Verkäufern, einen gefälschten Treuhand-Service unterzuschummeln, ohne das der Käufer Verdacht schöpft.

Durch ein von Google bereitgestelltes Angebot war es bis vor kurzem offenbar möglich, bestimmte Seiten aus der Suchmaschine zu entfernen. Als kürzlich aber die Seiten von Microsoft und Adobe für mehrere Stunden aus Google verschwanden, haben die Suchmaschinenbetreiber nun die Lücke im System geschlossen.

Ein Webmaster mit Namen ‘Feelfree’ hatte die Seiten von Microsoft, Adobe und einiger weiterer Unternehmen gelöscht, bestätigte Google. Dies geschah jedoch nicht durch Hacken, sondern mit Hilfe des von Google bereitgestellten ‘Page Removal Tool’, das ursprünglich dafür gedacht war, eigene Webseiten aus Google zu entfernen.

Wie der Webmaster in dem Forum Webmasterforum.com mitteilte, habe er mit seiner Aktion auf den möglichen Missbrauch des Web Page Removal Tools hinweisen wollen. Wie der User schreibt, war es dadurch möglich alle Seiten, die weder eine index.html- oder index.htm-Seite haben, aus dem Verzeichnis zu löschen. Auch er betonte, dass er Google nicht gehackt, sondern nur deren Angebot genutzt habe.

Als Motivation nannte der Webmaster, dass seine eigene Website mehrfach von einem Konkurrenten gelöscht worden sei. Google hat inzwischen bekannt gegeben, dass die Lücke geschlossen wurde und alle entfernten Websites wieder im Index vorhanden sind.