Archiv für den Monat: März 2011

„Ernster“ Cyber-Angriff auf die EU

Hinterlassen Sie eine Antwort

Originalartikel von Rik Ferguson (Director of Security Research & Communication at Trend Micro)


Genutzt mit Erlaubnis von Anonymous9000 unter Creative Commons

Am Vorabend eines EU-Gipfeltreffens zur laufenden Militäraktion in Libyen, dem europäischen Nuklearprogramm und der Schuldenkrise wurden zentrale Systeme heruntergefahren und die Belegschaft gewarnt. Grund hierfür war ein Vorfall, den ein Sprecher als „einen ernsten Cyber-Angriff“ bezeichnete.

Weitere Einzelheiten zum Angriff, Ausmaß und Folgen gibt es derzeit nur wenige, doch zeitlich und inhaltlich erinnert er stark an den Angriff auf das französische Finanzministerium vor zwei Wochen, der auf Informationen zum G20-Gipfeltreffen abzielte.

Laut einem EU-Sprecher sei die Kommission zwar oft das Ziel von Cyber-Angriffen, jedoch übersteige das Ausmaß des aktuellen Angriffs diese fast schon regulären Vorkommnisse um ein Vielfaches. Die Belegschaft wurde gebeten, ihre Kennwörter zu ändern, und der externe Zugriff auf E-Mails und das Intranet der Kommission wurde vorübergehend gesperrt, um die unbefugte Veröffentlichung von Daten zu verhindern. EUObserver berichtet, dass die gesamte Belegschaft per E-Mail gewarnt wurde.

"Uns liegen Beweise vor, dass die Kommission sowie der Europäische Auswärtige Dienst Gegenstand eines anhaltenden und umfassenden Cyber-Angriffs sind."

Laut AFP-Bericht wurde der Angriff, so EU-Sprecher Antony Gravili, von Malware verursacht. Es handle sich also „nicht um einen Versuch, geheime Dokumente zu Gipfelthemen unbefugt zu veröffentlichen“. Aufgrund der Machart heutzutage üblicher Angriffe auf Unternehmen und Behörden ist es sehr schwer, klar zwischen den Angriffsformen zu unterscheiden. Malware ist schlicht und ergreifend eines der „Arbeitsmittel“ in der Trickkiste für Verbrechen und internationale Spionage. Das eine oder andere bereits vor dem Abschluss einer gründlichen Untersuchung eindeutig auszuschließen, ist – gelinde gesagt – kontraproduktiv.

Schon seit einigen Jahren werden Cyber-Spionage und verbrecherischer Datendiebstahl aus Profitgier betrieben; in das Licht der Öffentlichkeit sind sie jedoch erst mit dem Aufruhr um die Aurora-Angriffe in den Jahren 2009/2010 gerückt. Seit damals ist man viel eher bereit, die Öffentlichkeit über derartige Angriffe zu informieren; auch aus diesem Grund scheint es vielleicht so, als würden die Angriffe an Häufigkeit zunehmen.

Nichtsdestotrotz veranschaulichen Aurora, Night Dragon, Stuxnet und die Angriffe auf das G20- bzw. EU-Gipfeltreffen eindrücklich die neue Wirklichkeit. Cyber-Spionage lässt sich, wie auch Cyber-Kriminalität, einfacher und mit viel weniger Risiko verüben und ist dazu schwerer erkennbar als herkömmlich verwendete Methoden. Hier ist die neue Front, an der wir kämpfen.

Eine klare Ansage an alle Cyber-Kriminellen: Ihr seid nicht unsichtbar. Ihr steht nicht über dem Gesetz.

Hinterlassen Sie eine Antwort

Originalartikel von Ranieri Romera (Senior Threat Researcher)

Täglich beobachten Sicherheitsforscher auf der ganzen Welt die Aktivitäten, das Verhalten, die Forenkommunikation und die Netzwerke von Cyber-Kriminellen, um herauszufinden, wie digitale Dateien sicher ausgetauscht werden können.

Neben dem Verhindern von Angriffen sammeln wir auch Informationen und geben sie an die entsprechenden Vereinigungen zur Bekämpfung von Cyber-Kriminalität bzw. an die Strafverfolgungsbehörden weiter.

Seit einer Weile schon sind wir einem ganz bestimmten Kriminellen auf der Spur, nennen wir ihn hier Herr L. Er späht nichtsahnende Anwender aus, und zwar überwiegend solche in Chile und Mexiko. Laut unseren jüngsten Informationen ist er noch immer fleißig dabei, Daten und Geld zu stehlen. Erst letzte Woche haben wir einen aktiven C&C-Server (Command-and-Control) sowie andere kriminelle Tools entdeckt, darunter auch ein Tool, das auf einer personalisierten Version des CrimePack Exploit Pack basiert. Auch bei seinen früheren Bot-Netzen ist der Kriminelle so vorgegangen.

Wir haben diese Informationen bereits an unsere Ansprechpartner bei den Strafverfolgungsbehörden weitergegeben. Wir wollen jedoch, dass auch Sie von dieser Gefahr wissen, dass Sie vorsichtig und umsichtig sind, wenn Sie verdächtige Spam-Mails erhalten oder anderes ungewöhnliches Verhalten bemerken.

Was wissen wir bisher?

Im September 2010 veröffentlichten wir ein ausführliches Forschungspapier, in dem wir die technischen Details der Bot-Netze und Toolkits dieses gewissen Kriminellen beschrieben.

Das erste Bot-Netz, das Trend Micro gefunden hatte, hieß Tequila. Darauf folgten Mariachi sowie die Twitter-Bot-Netze Alebrije und Mehika. Zusammen sind diese Bot-Netze unter dem Namen „Botnet PHP family“ bekannt.

Die Angriffe begannen im Mai 2010. Damals erhielten Anwender in Mexiko eine E-Mail, dass es angeblich „Nacktfotos“ von der Mutter eines verschwundenen vierjährigen Mädchens gäbe. Mit diesem Köder wurden die Anwender dazu gebracht, über einen bösartigen Link eine betrügerische Anwendung herunterzuladen.

Ein interessantes Ergebnis unserer Analyse war, dass das Skript, mit dem der Bot-Client installiert wurde, ganz bestimmte Wörter und Begriffe enthielt. Damals konnten wir zwar noch nichts mit ihnen anfangen, aber zumindest gaben sie uns etwas Material in die Hand.

Bei unseren Nachforschungen suchten wir nach einem aktiven C&C-Server, den wir schließlich unter http://www.botnet.{GESPERRT}.tk/Admin fanden. Unter diesem URL fanden wir weitere Informationen über den Autor … Auf der Anmeldeseite warb er sogar für seine Dienste – und veröffentlichte seinen Namen, seine E-Mail-Adressen und seine Mobilnummer!

Nun hatten wir also einen Namen, zwei E-Mail-Adressen und eine Telefonnummer, die in der mexikanischen Stadt Guadalajara gemeldet war. So gelang es uns, Herrn L. zu finden.

Wie bereits erwähnt, ist es eine Richtlinie von Trend Micro, alle relevanten Informationen zu kriminellen Aktivitäten an die Strafverfolgungsbehörden weiterzugeben.

Sollten Sie mit dem Gedanken spielen, auch kriminell tätig zu werden – tun Sie es nicht!

Uns ist Folgendes über Herrn L. bekannt:

  • Er scheint 1987 geboren zu sein und bei Netec zu studieren. Er wohnt in Zapopan, Mexiko.
  • Trend Micro kennt seine Gmail- und Hotmail-Kontodaten usw.
  • Wir kennen auch die Angaben, Fotos, Benutzernamen und anderen Informationen, die er in Kontaktnetzwerken veröffentlicht.

Wir haben uns entschieden, keine weiteren Angaben, über die man ihn persönlich ausfindig machen könnte, hier zu veröffentlichen.

Denken Sie daran: Was immer Sie im Internet tun, ob gut oder böse – Sie hinterlassen immer eine Spur.

Für Sie als unsere Kunden gilt, dass wir unser Bestes tun, um Sie zu schützen. Sie sollen wissen, dass wir unablässig daran arbeiten, für Ihre digitale Sicherheit zu sorgen. Wir nehmen kriminelle Aktivitäten genauestens unter die Lupe und arbeiten weiter mit den Strafverfolgungsbehörden zusammen, damit diese Kriminellen daran gehindert werden, Sie und Ihr privates Umfeld zu betrügen.

Phishing-Angriff nutzt gefälschte Spenden-Website

1 Antwort

Originalartikel von Noriaki Hayashi (Senior Threat Researcher)

Heute Morgen haben wir eine Phishing-Website gefunden, die sich als Spendenseite ausgibt, um Geld für die Opfer des jüngsten Erdbebens in Japan zu sammeln. Die Phishingseite http://www.japan{GESPERRT}.com wird unter Verwendung des Open-Source-Kontaktnetzwerks Jcow 4.2.1 erstellt. Die Seite wird von der IP-Adresse 50.61.{GESPERRT}.{GESPERRT} gehostet, die sich in den USA befindet. Wir können bestätigen, dass die Website zu dem Zeitpunkt, an dem dieser Bericht verfasst wurde, noch aktiv war.


Abbildung 1: Phishingseite gibt sich als Spendenseite aus, um Geld für die Opfer der jüngsten Erdbebenkatastrophe zu sammeln


Abbildung 2: Diese Seite wird angezeigt, nachdem der Benutzer auf „Join Now“ geklickt hat.

Die Cyberkriminellen, die für diesen Angriff verantwortlich sind, betreiben nicht nur die Phishingseite, sondern haben auch die Blog-Funktion der Website missbraucht. Außerdem wurden Posts hinzugefügt, die wie Werbung aussehen, wahrscheinlich um die SEO-Trefferquote der Seite zu erhöhen.


Abbildung 3: Die Blog-Funktion der Phishingseite

Solche Angriffe sind nicht ungewöhnlich. Wir haben schon früher von Angriffen berichtet, die sich Naturkatastrophen zu Nutze machten, wie z. B. Hurrikan Katrina im Jahr 2005, Hurrikan Gustav im Jahr 2008, das Erdbeben 2008 in der chinesischen Provinz Sichuan; die neuesten Angriffe nutzen das Erdbeben in Haiti im Jahr 2010.

Die Benutzer sollten sich in jedem Fall von der Vertrauenswürdigkeit der jeweiligen Spendenorganisation überzeugen.

Das Trend Micro™ Smart Protection Network™ sperrt bereits mittels der Web Reputation Technologie den Zugriff auf die Phishingseite.

Neuauflage des MileyCyrus-JustinBieber-Facebook-Spams

Hinterlassen Sie eine Antwort

Originalartikel von Paul Pajares (Fraud Analyst)

Vor kurzem haben wir über ein Betrugsmanöver berichtet, das auf Facebook-Benutzer abzielt, indem es Anwender unfreiwillig zu Spammern macht.
In letzter Zeit nun gibt es immer mehr neue Domains zu einem weiteren Betrugsversuch: Auch dieser zielt auf Facebook-Benutzer ab, und zwar mittels Social-Engineering-Techniken, die schon früher einmal verwendet wurden.

Die besagten Domains scheinen mit bestimmten Facebook-Beiträgen zusammenzuhängen, wie z. B. „This Guy Took A Picture Of His Face Every Day For 8 Years“.

Die erstellten Domains ähneln sich alle, da sie Wörter enthalten wie: daddy, busted, guy, face, pic, miley und bieber.

Wenn ein Benutzer dann in einem Facebook-Beitrag auf eine dieser Domains klickt, wird er oder sie auf eine YouTube-ähnliche Webseite weitergeleitet. Diese Technik wird in der Regel von der berühmt-berüchtigten KOOBFACE-Clique verwendet. Die Seite enthält jedoch nichts weiter als ein Bild, das einer Seite der bekannten Video-Website ähnelt.

Wenn der Benutzer irgendwo auf der Seite klickt, wird eine Meldung angezeigt, die ihn zur Teilnahme an einer Umfrage auffordert, um sein Alter zu bestätigen.

Was aber tatsächlich passiert, ist, dass ein bösartiges Skript, das als PHP_FBJACK.A entdeckt wird, auf das Facebook-Konto des Benutzers zugreift und einen Link zur selben bösartigen Seite veröffentlicht, zusammen mit einer ähnlichen Mitteilung wie oben aufgeführt.

Facebook war 2010 das gefährlichste Kontaktnetzwerk und ist es noch heute, wenn man einmal die zahlreichen Angriffe betrachtet, denen die Benutzer täglich ausgesetzt sind. Daher ist es für Facebook-Benutzer wichtig, beim Navigieren durch das Netzwerk – und insbesondere beim Klicken auf gemeinsam genutzte Links, auch wenn sie von vertrauenswürdigen Kontakten stammen – ganz besonders vorsichtig zu sein.

Das Trend Micro™ Smart Protection Network™ schützt Benutzer von Trend Micro Produkten bereits vor diesem Angriff, da betroffene URLs und Scripts gesperrt und entdeckt werden.

Was tun, wenn das Facebook-Konto gestohlen wird?

1 Antwort

Originalartikel von Vic Hargrave, Sr. Staff Engineer bei Trend Micro

Als ich kürzlich meine neuesten Facebook-Nachrichten durchschaute, las ich auf der Pinnwand meines Sohnes etwas ganz seltsames.

Ja, ich bin auf Facebook mit meinem Sohn und meiner Tochter befreundet – die beiden haben mich übrigens erst auf Kontaktnetzwerke gebracht. Und ich bestehe darauf, mit ihnen befreundet zu sein – Sie etwa nicht? Mehr dazu später …

Auf jeden Fall stammte die seltsame Mitteilung von einem seiner Lehrer, und sie lautete ungefähr so: „Ich habe dich in diesem Video gesehen …“ Irgendwie sah mir das verdächtig nach einer dieser Facebook-Virenangriffe aus, über die kürzlich berichtet wurde.

Kein Lehrer meines Sohnes würde so etwas über einen befreundeten Erwachsenen erzählen, geschweige denn über einen Schüler. Ich dachte mir also, dass das Konto des Lehrers wohl gehackt worden ist.

Ich fragte den Lehrer per E-Mail und er bestätigte meinen Verdacht. Anscheinend hatte er auf einen Link in einer E-Mail geklickt, die von Facebook zu stammen schien. Der Link ging zu einer Phishing-Website, über die seine Anmeldedaten gestohlen wurden. Wir alle kennen die Moral aus diesem Teil der Geschichte, also werde ich mich nicht weiter damit aufhalten.

Die Hacker hatten auch das Facebook-Kennwort des betreffenden Lehrers geändert, so dass dieser gar nicht mehr auf sein Konto zugreifen konnte. Er hatte daraufhin angenommen, dass Facebook sein Konto gesperrt hatte. Damit hatte sich die Sache für ihn erledigt. Ich teilte ihm mit, dass man noch immer seine Fotos und andere veröffentlichte Informationen sehen konnte, sein Konto also immer noch aktiv sei.

So bekommen Sie Ihr Facebook-Konto zurück

Ich riet ihm, mit der von Facebook bereitgestellten Methode sein Kennwort zurückzusetzen, damit er wieder über sein Konto verfügen konnte. Das geht ganz einfach:

  1. Facebook öffnen und dann auf „Kennwort vergessen?“ klicken.
  2. E-Mail-Adresse oder Kontoname, die zum Anmelden verwendet werden, in „Konto identifizieren“ eingeben und auf „Suchen“ klicken.
  3. Die Buchstaben eingeben, die im Fenster „Sicherheit“ angezeigt werden, und dann auf „Senden“ klicken.
  4. Im Fenster „Kennwort zurücksetzen“ auf „Kennwort zurücksetzen“ klicken.
  5. Facebook sendet dann einen Aktivierungscode an die E-Mail-Adresse für das Facebook-Konto.
  6. Diesen Code dann im Fenster „Bitte E-Mails und SMS überprüfen“ eingeben und auf „Code senden“ klicken.
  7. Ein neues Kennwort eingeben, dieses im Fenster „Neues Kennwort eingeben“ bestätigen und dann auf „Kennwort ändern“ klicken.
  8. Im Fenster „Sicherheitseinstellungen aktualisieren“ auf „Speichern“ und „Weiter“ klicken.

Jetzt konnte der Lehrer wieder auf sein Konto zugreifen. Der Hacker wird das Konto vermutlich nicht noch einmal über diese Methode stehlen, da die erforderlichen Schritte nicht so leicht zu automatisieren sind (wie z. B. Schritt 3, indem Text eingegeben werden muss, der in einem CAPTCHA-Fenster angezeigt wird). Außerdem hatte der Hacker sich die Anmeldedaten ja über einen Phishing-Angriff verschafft. Wenn also Ihr Facebook-Konto entführt wird (oder Sie einfach Ihr Kennwort vergessen haben), bekommen Sie mit den von Facebook bereitgestellten Methoden auch wieder die Kontrolle über Ihr Konto zurück.

Warum man auf Facebook ein Freund seiner Kinder sein sollte
Also, wie war das noch mit dem Anfreunden und Kindern auf Facebook … . Es kann ganz schön peinlich sein, was die eigenen Kinder auf Facebook anstellen. Sie können damit sich selbst und auch ihre Eltern in Schwierigkeiten bringen. Um das zu vermeiden, sollten Sie:

  • Ihre Kinder darüber aufklären, was mit privaten Informationen passieren kann, wenn man sie öffentlich zugänglich macht;
  • Ihren Kindern sagen, welches Material sich Ihrer Meinung nach zur Veröffentlichung (Versand sowie Empfang) in einem Kontaktnetzwerk eignet;
  • Ihnen klarmachen, dass Sie ihre Facebook-Aktivitäten kontrollieren werden.

Wenn Sie darauf bestehen, dass Ihre Kinder Sie auf Facebook als Freund hinzufügen, können Sie sehen, was sie veröffentlichen, und haben Zugriff auf ihre Fotos und persönlichen Angaben. Damit können Sie sicherstellen, dass sie keine Dummheiten machen, keine unangemessene Daten veröffentlichen oder von anderen Benutzern belästigt werden.