Archiv für den Monat: Juli 2009

5 Tipps zum sicheren Twittern

Hinterlassen Sie eine Antwort

Original Artikel von Rik Ferguson (Solutions Architect, Trend Micro)

Wenn Sie bereits zu den geschätzten 32 Millionen Menschen gehören, die die Mikro-Blogging-Site Twitter verwenden, oder gerne Mitglied werden möchten, dann habe ich hier 5 Sicherheitstipps für Sie, die Sie beachten sollten.

1. Denken Sie bei *allem*, was Sie veröffentlichen, erst mindestens dreimal nach, bevor Sie es tatsächlich tun. Zurzeit können veröffentlichte Tweets nämlich weder gelöscht noch zurückgezogen werden.

2. Geben Sie niemals – wirklich niemals – persönliche Daten weiter (E-Mail-Adresse, Telefonnummern, Adressen usw.). Ihre Tweets sind öffentlich, werden von Suchmaschinen indiziert und mit Ihnen als Person verknüpft. *Wenn es denn unbedingt sein muss*, veröffentlichen Sie Ihre Beiträge über die Direct-Message-Funktion, und löschen Sie die Direct Message, sobald Sie nicht mehr gebraucht wird (falls Ihr Konto gehackt wird). Wenn Sie gesendete Direct Messages löschen, werden sie auch aus dem Posteingang des Empfängers entfernt. Allerdings werden sie nicht aus einer Client-Anwendung eines Drittanbieters des Empfängers oder von mobilen Geräten gelöscht, wenn sie dahin verlinkt wurden.

3. Wenn Sie von Ihrem mobilen Gerät per SMS twittern, schauen Sie sich den Inhalt Ihrer Nachricht genau an. Denn wenn Sie per SMS auf eine private Direct Message antworten, wird sie nicht als private Nachricht, sondern als öffentlicher Tweet gesendet.

4. Verwenden und ändern Sie regelmäßig komplexe Kennwörter. Nutzen Sie *niemals* einen Service, bei dem Sie Ihren Benutzernamen und Ihr Kennwort eingeben müssen. Verwenden Sie ausschließlich Services von Drittanbietern, die offene Authentifizierung (OAuth) unterstützen. Falls Sie dennoch einen der vielen Services von Drittanbieternn verwenden, die bei Twitter mitmachen, stellen Sie sicher, dass die Anmeldeadresse auf der Site des Drittanbieters, die im Webbrowser angezeigt wird, Ihr Kennwort schützt. Am Anfang der Adresse sollte http://twitter.com/oauth stehen – tut es das nicht, sollten Sie Ihre Daten auch nicht eingeben.

5. Nutzen Sie einen Twitter-Client wie TweetDeck oder eine Browsererweiterung wie LongURL. Damit können Sie sich das wahre Ziel eines verkürzten Links anzeigen lassen, bevor Sie die Site öffnen. Denn gekürzte oder verschleierte URLs sind die Methode schlechthin, um über Twitter Spam und Malware zu verbreiten. Wenn Sie sich nicht sicher sind, wohin der Link führt, klicken Sie nicht darauf. Fragen Sie beim Absender nach, ob er das wirklich senden wollte. Man kann ja nie wissen, vielleicht tut man dem Absender ja auch einen Gefallen, wenn man ihm mitteilt, dass sein Konto entführt wurde.

Und hier mein letzter Rat: Machen Sie mit! Twitter macht Spaß, ist informativ und interessant. Lesen Sie meine Beiträge (wenn Sie es ertragen können) unter http://www.twitter.com/rik_ferguson.

Hotmail-Benutzer Opfer von raffiniertem Spam

Hinterlassen Sie eine Antwort

Original Artikel von JM Hipolito (Technical Communications, Trend Micro)

Hotmail-Benutzer sollten vor einem bösartigen Spam-Rundlauf auf der Hut sein, der es speziell auf dieses Webmail-Konto abgesehen hat.

Senior Security Analyst Rik Ferguson berichtet, dass Benutzer Spam-Nachrichten erhalten, in denen auf Dateianhänge mit Bildern im JPEG-Format hingewiesen wird. Tatsächlich aber sind die Dateinamen der Anhänge Links, die sich mit Kurz-URLs verbinden, die wiederum eine Verbindung zu bösartigen URLs herstellen.

Die Verbindung zu den bösartigen URLs, die jetzt gesperrt sind, hat den Download der bösartigen Datei fotos.com zur Folge, die als TROJ_DLOADR.AQJ identifiziert werden konnte. Diese Datei lädt ihrerseits diverse datenstehlende Malware herunter. Die bösartigen URLs und Dateien werden durch das Trend Micro Smart Protection Network gesperrt.

Bemerkenswert ist, dass die Links auf den ersten Blick wie gewöhnliche Dateianhänge, die in den meisten E-Mails zu finden sind, angezeigt werden. Neben jedem Link befindet sich sogar ein Symbol mit einem Briefumschlag, wie es typisch für Dateianhänge ist.

Es gibt aber auch wichtige Unterschiede zwischen einer solchen Spam-Mail und einer rechtmäßigen E-Mail. Auf diese Unterschiede müssen Benutzer achten, falls sie eine verdächtige E-Mail erhalten.

Zum Vergrößern hier klicken Zum Vergrößern hier klicken

Im Folgenden werden einige der wichtigsten Unterschiede erläutert, die Spam-Mails von rechtmäßigen E-Mails unterscheiden:

  • Informationen über den Anhang werden nicht im, sondern über dem Nachrichtenbereich angezeigt, zusammen mit anderen Feldern.
  • Die Anzahl der Dateianhänge sollte direkt unter der E-Mail-Adresse im An-Feld angezeigt werden.
  • Die Größe der Dateianhänge wird neben dem Dateinamen angezeigt.
  • Die angehängten Bilder werden immer im unteren Bereich der Nachricht angezeigt.

Hotmail-Benutzer sollten keine Links in E-Mails öffnen, die die oben genannten Merkmale nicht aufweisen.

Bösartige Twitter-Einträge werden immer persönlicher

Hinterlassen Sie eine Antwort

Original Artikel von JM Hipolito (Technical Communications, Trend Micro)

Rik Ferguson berichtete vor Kurzem, dass bösartige Twitter-Einträge immer individueller werden – und das in einem gefährlichen Ausmaß. Die Wahrscheinlichkeit, dass Benutzer Opfer von bösartigen Angriffen werden, steigt also weiter an.

Angeblich wurde bei diesem jüngsten Angriff ein Twitter-Spam-Bot verwendet. Der Spam-Bot erstellt Twitter-Konten, die wie rechtmäßige Konten aussehen. Dazu veröffentlicht er harmlos wirkende Beiträge, die über bestimmte Freigabe-Musiktitel oder besuchte Websites informieren. Von den Spam-Bot-Konten werden dann Tweets an unbekannte Benutzer gesendet mit einem Link zu einem angeblich zufällig entdeckten und verwendeten Systemwiederherstellungstool.

Laut Rik Ferguson ist das Senden von Tweets an bestimmte Benutzer eine bemerkenswerte Social-Engineering-Technik des Spam-Bots, die den Administratoren von Twitter offensichtlich nicht verdächtig erschien. Denn die Spam-Bot-Konten wurden vermutlich vor der kürzlich auf Twitter durchgeführten Spam-Säuberung erstellt.

Der Spam-Bot nutzt zusätzlich den URL-Kürzer Doiop.com. Damit versteckt der Spam-Bot den originalen Link in den Blog-Beiträgen – allerdings nicht ohne Hintergedanken. Der Link führt zu einem weiteren Link, der wiederum mehrere Weiterleitungen auslöst, und letztendlich dazu führt, dass die Datei RegistryEasy.exe heruntergeladen wird. Die Datei wurde als TROJ_FAKEAV.DAP identifiziert. TROJ_FAKEAV.DAP gibt sich als eine Anwendung zum Beheben von Registrierungsproblemen aus. Die Masche von FAKEAV ist, lediglich gefälschte Ergebnisse anzuzeigen, um die Benutzer zum Kauf der Software zu bewegen.

Klicken
Klicken
Klicken

Interessant ist auch, dass in der Stammebene eines der Links, zu dem der Benutzer umgeleitet wird, eine Werbung für eine Anwendung namens Bot Lite angezeigt wird. Bot Lite ist, wie in dem Beitrag beschrieben, ein kleiner Twitter-Bot, den so gut wie jeder nutzen kann.

Klicken

Rik hat bestätigt, dass Bot Lite als Spam-Bot in Twitter fungiert. Der Dateiname lautet bot_lite_100.exe, und der Erkennungsname ist HKTL_FAKEBOT. HTKL_ ist das Erkennungspräfix, das Trend Micro für Hacker-Tools verwendet, die als Grayware eingestuft werden. Als Grayware werden Anwendungen mit lästigen, unerwünschten oder nicht bekannten Merkmalen klassifiziert, die aber in keine der Kategorien für kritische Bedrohungen (d. h. Viren oder Trojaner) fallen.

Betrügerischer Virenschutz beendet EXE-Dateien

Hinterlassen Sie eine Antwort

An diesem Wochenende haben wir bei TrendLabs eine Variante von FAKEAV entdeckt. Bekannt ist dieser Trojaner vom solar eclipse 2009 in America Angriff, über den wir kürzlich in einem Blog-Eintrag berichteten. Diese Variante stellt eine weitere neue Einschüchterungstaktik vor. (Bisher bestand die letzte Taktik, die wir bei der Ransomware FAKEAV entdecken konnten, darin, dass Dateien auf dem infizierten Computer verschlüsselt werden und nur über ein angebliches Behebungstool – gegen Gebühr versteht sich – repariert werden können.)

Diese FAKEAV-Variante hängt an jede ausgeführte Datei die Dateierweiterung .EXE an. Daraufhin öffnet sich ein Popup-Fenster mit der Nachricht, dass die .EXE-Datei infiziert ist und nicht ausgeführt werden kann.

Zum Vergrößern hier klicken Zum Vergrößern hier klicken

Dem Benutzer bleibt nichts anderes übrig, als das Antiviren-Produkt zu aktivieren, da keine andere Anwendung mehr funktioniert. Dieser Trojaner wurde von Trend Micro als TROJ_FAKEAV.B identifiziert. Er verhindert, dass kritische Prozesse beendet werden, und riskiert dadurch einen Systemabsturz.

Leider arbeiten Cyber-Kriminelle mit Vehemenz an der Entwicklung neuer Techniken – wir können also nur erahnen, was nach FAKEAV kommt… Zum Glück aber schützt das Trend Micro Smart Protection Network Benutzer vor all diesen Bedrohungen.

Neuer bösartiger Ansturm auf Twitter

Hinterlassen Sie eine Antwort

Original Artikel von Rik Ferguson

Nur zwei Tage, nachdem Twitter alle Spam-Bot-Konten gründlich ausgemistet hat, legt eine neue bösartige Tweet-Kampagne an Geschwindigkeit zu (zurzeit werden 33 t/h (Tweets pro Stunde) beobachtet). Die Tweets werden von Hunderten von Konten gesendet, die anscheinend nur zu diesem Zweck erstellt wurden.

Die meisten Konten wurden allerdings schon vor der Aufräumaktion von Twitter angelegt. Ich habe mir stichprobenartig Konten angeschaut (und schnell damit aufgehört, da die Profile irgendwie immer gleich aussahen), die alle am 20. und 21. Juli angelegt wurden. Die besagte Domain doiop.com zählt zu den Sites, die Links kürzen und in immer größeren Anzahl auftauchen. Es ist auch nicht das erste Mal, dass sie als Infektionsüberträger fungiert hat.

twitscoop1

Bemerkenswert bei den Social-Engineering-Elementen dieses Angriffs ist die immer raffiniertere Technik, automatisch Tweets zu veröffentlichen. Dieses Mal veröffentlichen die betrügerischen Konten jedoch nicht einfach laufend einen von vielen bösartigen Tweets in der gesamten Twitter-Gemeinschaft, noch versuchen sie, sich in laufende Diskussionen einzuklinken, um die Aufmerksamkeit auf sich zu lenken. Diese beiden Techniken sind für die Administratoren von Twitter sehr offensichtlich und auch nichts Neues; die bösartigen Konten werden also sehr schnell gelöscht.

Stattdessen werden von den Konten Nachrichten direkt an andere Twitter-Benutzer gesendet – die dem Absender natürlich nicht folgen – in der Hoffnung, dass ihre zufällig ausgewählten Opfer neugierig genug sind, um auf den bösartigen Link zu klicken. Um die gefälschten Konten echter aussehen zu lassen, werden die bösartigen Beiträge nach Belieben mit Nachrichten darüber vermischt, welche Musik der Spam-Bot gerade hört oder welche andere (rechtmäßige) Website er besucht. In vielen Fällen überwiegen auf der Seite die guten Tweets die bösartigen. Ein flüchtiger Blick auf das gefälschte Profil lässt viele schon glauben, es sei ein seriöses Profil.

jessicabonit11

Die erste Umleitung geht zu einem Link auf die Domain {GESPERRT}.com. Interessanterweise entdeckt man durch einen kurzen Blick auf die Stammebene der Domain einen einzelnen Blog-Eintrag, in dem für einen „leichten Twitter-Bot, den so gut wie jeder nutzen kann“, geworben wird. (Wir entdecken ihn als HKTL_FAKEBOT). Eine zweite Umleitung verweist von dieser Domain auf den bösartigen Link auf die Site clickbank.net, die ihrerseits auf eine nicht gerade langweilige Vergangenheit zurückblickt, da sie schon öfters von Cyber-Kriminellen missbraucht wurde.

babybot1

Der bösartige Schadteil dieses Angriffs ist eine vermeintliche Sicherheitsanwendung mit Namen „Registry Easy 5.1“. Das Programm tarnt sich als ein PC-Tuning-Programm, gibt vollkommen irreführende Ergebnisse aus und man muss bezahlen, noch bevor es den PC reinigt. Wir entdecken es als TROJ_FAKEAV.DAP. Auch die hierbei beteiligten Domains werden vom Smart Protection Network gesperrt.

Wir wurden immer und immer wieder darauf gedrillt, keine verdächtigen oder unerwünschten E-Mail-Anhänge zu öffnen. Jetzt, wo 92 % der Malware über das Internet verbreitet werden, wird es höchste Eisenbahn, diese guten Gewohnheiten auch auf verdächtige und unerwünschte Links anzuwenden, ob sie nun in einer E-Mail, Instant Message, über Twitter oder anderweitig empfangen wurden.