Archiv für den Monat: Dezember 2011

Neuer „Unfollowed You“-Angriff auf Twitter-Nutzer

1 Antwort

Originalartikel von Jonathan Leopando, Technical Communications

Eine neue Variante der bekannten „see who unfollowed you“-Betrugstechnik kursiert auf Twitter:

Eine Menge Tweets sind abgeschickt worden, in denen der Absender behauptet, einige Leute hätten ihn von der Liste der Follower gestrichen. Wer herausfinden wolle, ob das eigene Konto ebenfalls von mehreren Followern abgelehnt wird, der solle auf den angegebenen Link klicken.

Tut ein ahnungsloses Opfer dies, so wird dieser Nutzer auf eine Seite mit einem “Followers Monitor” umgeleitet, und er muss einer Anwendung erlauben, sein Twitter-Konto zu nutzen. Diese betrügerische Anwendung kann die Tweets des Nutzer lesen, sein Profil aktualisieren und sogar Tweets veröffentlichen. Als erstes veröffentlicht sie natürlich die eigene Version des Spam-Tweets.

Die Tweets enden mit einer Reihe von Hashtags mit aktuellen Themen, wie etwa Fussballspiele, oder auch mit allgemeinen Themen.

Achtung: Die “See who unfollowed you”-Funktion ist immer Betrug. Falls ein Nutzer unabsichtlich einen solchen Link anklickt, so kann er den Schaden begrenzen, indem er der Anwendung unter „Einstellungen“ und „Applikationen“ die Autorisierung für den Zugriff auf das eigene Konto entzieht. Trend Micro hat obige Seite bereits geblockt, sodass Anwender vor dieser Gefahr geschützt sind.

Achtung: Billige iPhone 4S-Angebote bei eBay sind Betrug

Hinterlassen Sie eine Antwort

Originalartikel von Paul Pajares, Fraud Analyst

Wer ein kostengünstiges iPhone 4S bei eBay kaufen will, sollte vorsichtig sein. Cyberkriminelle könnten Interessierte dazu verleiten, ihre Online-Finanzdaten preiszugeben. Trend Micro hat einen Phishing-Angriff auf potenzielle Käufer von iPhones 4S bei eBay entdeckt.

Der Angriff nutzt Domänen, die betrügerische Kopien von eBay-Angeboten für solche Geräte umfassen. Folgender Screenshot zeigt ein Beispiel einer gefälschten Seite und dazu das originale eBay-Angebot, dessen Inhalt kopiert wurde.

Es gibt Unterschiede zwischen den beiden Seiten. Beispielsweise ist der Preis im echten Angebot in Dollar angegeben, während die Fälschung Euro anzeigt. Auch ist der Preis in der Fälschung bedeutend niedriger. Die Kriminellen nutzen für ihre Zwecke das Angebot eines Verkäufers mit einer guten Reputation, um das Vertrauen von potenziellen Opfern zu gewinnen.

Die gefälschten Seiten werden auf Domänen gehostet, die /www.ebay.ie/ enthalten, um den Anschein einer echten eBay-Domäne zu erwecken. Alle Links führen auf die echte Seite, ausgenommen natürlich “Buy It Now“. Dieser Button führt zu einer gefälschten Login-Seite, wo der Nutzer seine persönlichen Daten angeben muss.

Danach wird der Nutzer auf eine andere Seite weitergeleitet, auf der er aufgefordert wird, den Verkäufer über E-Mail zu kontaktieren, damit die Transaktion abgeschlossen werden kann.

Dies ist sicherlich nicht die Art und Weise, wie Verkaufstransaktionen bei eBay ablaufen, sondern ein Betrugsversuch, um an das Geld und die persönlichen Informationen der Opfer zu kommen. Und es ist nicht der einzige Angriff während der Weihnachtszeit. Kriminelle setzen auch gefälschte elektronische Weihnachtskarten oder soziale Netzwerke ein, um Malware zu verbreiten.

Weitere Informationen liefert das E-Book “Season’s Warnings” und „Sicheres Online-Shopping leicht gemacht“.

Das Geheimnis des wachsenden KOOBFACE-Geschäfts: das Traffic Direction System

3 Antworten

Originalartikel von Jonell Baltazar, Senior Threat Researcher

Das KOOBFACE-Botnetz ist dafür berüchtigt, mit dem Pay-per-Install (PPI) und Pay-per-Click (PPC)-Geschäftsmodell Geld zu machen. Allein 2009 verdiente die Bande mehr als zwei Millionen US-Dollar. Doch das scheint nicht genug gewesen zu sein, denn die Kriminellen rüsteten ihr Botnetz-Framework mit einem ausgeklügelten Traffic Direction System (TDS) auf, das den Internet-Verkehr auf von ihnen angegebene Sites lenkt. Darüber hinaus fügten sie neue Komponenten hinzu, um die Menge des Internetverkehrs in Richtung ihres TDS zu steigern. TDS lenkt den Verkehr hauptsächlich auf Werbeseiten um, wofür die Kriminellen nach Anzahl der Clicks bezahlt werden. Folgende Schautafel zeigt die Schritte, über die TDS den Kriminellen Geld in die Kasse spült:

  1. Erzeugen und Registrieren von E-Mail-Adressen: Nachdem KOOBFACE nicht länger automatisch Google-Konten für die bösartigen Aktivitäten erzeugen kann, sind die Kriminellen nun auf Yahoo! Mail-Konten umgestiegen, um so die benötigten Google-Konten zu kreieren.
  2. Erzeugen von Konten in sozialen Netzwerken: Die von KOOBFACE generierten E-Mail-Adressen werden dafür genutzt, um sich bei sozialen Netzwerken wie Twitter, Tumblr, FriendFeed3, FC24, livedoor5, So-net6 und Blogger anzumelden. Einige Konten wurden auch in altervista.org7 generiert. Die vom Botnetz erzeugten Domänen der Blog-Konten enthielten Wörter wie „news“ oder „2011 news“.
  3. Bilder sammeln: Das Botnetz wurde auch um eine neue binäre Komponente angereichert, die vor allem pornografische Bilder, Fotos von Berühmtheiten, Hochzeiten, Tattoes und Autos sowie Hintergrundbilder von Googles Image-Suche sammelt. Diese nutzen die Kriminellen dann in ihren Blog-Veröffentlichungen.
  4. Erstellen von Blog-Veröffentlichungen: Die Bande missbraucht beliebte japanische Blogging-Plattformen wie FC2, Livedoor, So-net, Jugem und Cocolog. Daneben nutzen sie aber auch die bewährte Google Blogger-Site mithilfe einer darauf zugeschnittenen Schadsoftware-Komponente, die Blog-Konten generiert, während andere Inhalte oder Veröffentlichungen von dem Proxy C&C-Server abzieht. Diese Posts werden automatisch auf die Zielplattformen hochgeladen. Sie enthalten Bilder, Links und Schlüsselwörter, die dem SEO-Ranking der entsprechenden Sites zuträglich sind. Zusätzlich verbergen sie auch JavaScript-Code, der auf die TDS-Domäne des Botnetzes weist. So kann das TDS die Zahl der Besuche der einzelnen Blog-Veröffentlichungen nachverfolgen und die Besucher auf die gewünschten Sites umlenken. Das Botnetz verdient Geld mit den Umlenkungen und der Anzahl der Clicks der Opfer während des Lesens der Veröffentlichungen.
  5. Links auf Posts mit möglichst vielen teilen: Die Bande erhöht den Verkehr zu den bösartigen Blog-Veröffentlichungen auch, indem sie aktiv Schlüsselwörter dazu im Web verteilt und besagte Posts über soziale Netzwerke bewirbt.

Mit TDS hat KOOBFACE ein exzellentes Mittel gefunden, um Star-Fans, Online-Daters, gelegentliche Porno-Surfer oder Autofans effizient anzusprechen und sie für ihre Zwecke einzuspannen.

Die KOOBFACE-Bande ist immer noch aktiv und wird auch weiterhin ihre Opfer suchen. Deren Zielplattformen sollten deshalb ihre Sicherheitsmaßnahmen verstärken, um durch Bots automatisierte Interaktion zu unterbinden.

Die Nutzer ihrerseits sind gut beraten, Sicherheitslösungen zu implementieren, die vor solchen Gefahren schützen können. Trend Micros Smart Protection Network schützt die Anwender auch vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur mittels des Email Reputation Service die Spam-Nachrichten blockiert, noch bevor sie die Inbox des Nutzers erreichen. Der Web Reputation Service wiederum verhindert den Zugriff auf bösartige Sites und Domänen, die Malware-infizierte Dateien enthalten.

Eine Alternative wäre, einen Webbrowser einzusetzen, der die mögliche Ausführung von JavaScript-Code verhindert. Das Problem dabei ist, dass damit auch „gutartiger“ Code von legitimen Websites blockiert wird.

Weitere Informationen zu den KOOBFACE-Strategien enthält das Whitepaper “More Traffic, More Money: KOOBFACE Draws More Blood”.

 

Kein A für ein O: Tippfehler bei URLs können fatal sein

Hinterlassen Sie eine Antwort

Originalartikel Rik Ferguson, Director Security Research & Communication EMEA

Hektik und müde Augen bei den letzten Online-Weihnachtseinkäufen können Shoppern zum Verhängnis werden. Kriminelle warten nämlich nur darauf, dass Käufer Tippfehler bei den Adressen machen, und haben bereits Tausende falsch geschriebene Versionen von beliebten Online-Shop-Adressen, wie John Lewis, Debenhams und andere, registrieren lassen.

Quelle: Joe Shlabotnik’s Flickr stream

 

Diese kriminellen Websites sind häufig gut gemachte Kopien der legitimen Sites, die gefälschte Ware anbieten, den Besucher auf Werbe-Links umleiten (für die die Kriminellen bezahlt werden) oder persönliche Informationen abgreifen, falls es zu einem „Einkauf“ kommt. Andere falsch geschriebene Domänennamen führen zu anstößigen Inhalten oder auf Websites, die Schadcode enthalten, der das System des Opfers infiziert und es sogar in ein Botnet eingliedern kann.

Das so genannte Typosquatting gibt es schon lang, und die US-Behörden versuchen bereits seit 1999, mithilfe des Anticybersquatting Consumer Protection Act (Paragraf 3) gegen diese kriminellen Aktivitäten vorzugehen. Auch haben einige Unternehmen, so zum Beispiel Lego, schon viel Geld ausgegeben, um Cybersquatter vor Gericht zu bringen.

Doch bei der derzeitigen Typosquatting-Welle geht es nicht allein um Domänennamen, die Bezeichnungen beliebter Marken einschließen. Diesmal setzen die Kriminellen eher darauf, dass Nutzer nicht auf Details achten. In der Hitze des Gefechts beim Suchen nach den letzten Weihnachtsgeschenken merken nämlich viele nicht, ob sie etwa auf der legitimen Website debenhams.com einkaufen oder sich auf der gefälschten debanhams.com befinden.

Zwar versuchen die Behörden immer wieder, diese gefälschten Online-Shops zu ahnden und zu schließen, doch geht es dabei eher wie beim Blindekuh-Spielen zu. Die bösen Buben haben enorme Reserven an registrierten Domänennamen, und wenn eine Website geschlossen wird, so aktivieren sie einfach eine nächste.

Das Problem liegt unter anderem darin, dass viel zu viele DNS-Domänen, einschließlich .co.uk und die vieler anderer Länder, als „offene“ Domänen gehandhabt werden. Die britische Registrierungsstelle Nominet etwa erklärt: „Wir haben keinerlei Einschränkungen im Status eines Bewerbers für die Registrierung eines Domain Names in den folgenden Second Level Domains („Open SLD“): 1. 4.4.1 .co.uk; oder 2. 4.4.2 .org.uk.“ Und an anderer Stelle: „Wir verbieten keine Bewerbungen und unternehmen nichts gegen Registrierungen, die nicht der SLD Charter entsprechen.“

Nicht anders handhaben die Registrierungsstellen anderer EU-Staaten die Bewerbungen. Nun, solange die Gesetzgebung nicht verschärft und die internationale Zusammenarbeit verbessert wird, können auch die Aktionen von Behörden lediglich Symptome behandeln und nicht die Ursache.

Deshalb kann der Autor den Nutzer nur eindringlich empfehlen, vor jedem Klick genau hinzuschauen und für die eigenen beliebtesten Online-Shops Lesezeichen zu erstellen, statt jedes Mal die URL per Hand neu einzugeben. Fünf weitere Empfehlungen für den Online-Einkauf finden Interessierte in „Sicheres Online-Shopping leicht gemacht“.

Android-Apps: Wie trennt man die Spreu vom Weizen?

Hinterlassen Sie eine Antwort

Originalbeitrag von Kervin Alintanahin, Threats Analyst

Vor ein paar Tagen hatte der britische Online-Nachrichtendienst The Register darüber berichtet, dass die Google-Sicherheitsfachleute eine Reihe von manipulierten Smartphone-Spielen aus dem Android Market entfernt hatten. Sie enthielten eine Schadsoftware (die Trend Micro als ANDROIDOS_RUFRAUD.A identifiziert hat), welche unbemerkt Textnachrichten an Bezahldienste schickte.

Diese akute Gefahr ist zwar beseitigt, doch sollten die Android-Nutzer auch weiterhin besondere Vorsicht walten lassen, vor allem in Anbetracht des von Google ausgeschriebenen „10-Cent“-Angebots zur Feier der erreichten zehn Milliarden Downloads.

Ein paar Hinweise zur sicheren Installation und Nutzung von Apps können hier von großer Hilfe sein:

Nutzer sollten sich die Autoren beliebter Spiele merken

Cyberkriminelle nutzen die Popularität bestimmter Apps und versuchen diese nachzumachen. Doch da sie nicht als Originalentwickler auftreten können, dient dessen Namen als Hinweis auf die Echtheit einer App. Beispielsweise weist die Android Market-Seite für Angry Birds Rovio Mobile als Autor des Spiels aus, während die gefälschte als Autor Logastroid angibt.


Anwender können auch das Profil des Entwickler prüfen. Zudem bietet Google Entwickler-Ratings und den Status “Editor’s Choice” als weitere Hinweise auf die Legitimität eines Entwicklers an.

Das Gleiche gilt auch für andere Informationen auf der Webseite einer App, etwa der Icon und Name. Fehlt ein Element, so sollte die App lieber nicht heruntergeladen werden.

Beurteilungen und Anzahl der Besprechungen sind ein guter Hinweis

Beurteilungen von Apps und das Feedback der Nutzer liefert eine genauere Einsicht in die Erfahrung anderer mit einer bestimmten App. Diese Informationen finden sich unter dem App Icon.

Neben den qualitativen Aussagen über eine App ist auch die Anzahl der Beurteilungen ein gutes Indiz, denn weit verbreitete Apps erhalten naturgemäß auch mehr Feedback. Ist die Zahl der Beurteilungen auffallend niedrig, so handelt es sich wahrscheinlich um eine Fälschung – dies führte auch jüngst zur Enttarnung der bösartigen Apps im Android Market.



 Recherche auf anderen Websites bringt Gewissheit

 Neben den eigenen Webseiten von Android Market liefern auch andere Besprechungen zu Android-Apps und damit mehr Möglichkeiten der Echtheitsprüfung.

Diese weiter gehende Recherche ist auch deshalb wichtig, weil die Kriminellen alles tun, um Nutzer auch beim Feedback zu täuschen. Sie können selbst irreführende Besprechungen veröffentlichen und Ratings, um den Nutzer bezüglich der Echtheit einer App zu täuschen.
Die rot eingekreiste Besprechung ist eine Fälschung für eine bösartige App, die blau umrandete stammt von einem echten Anwender.

Zusätzlich zu obigen Empfehlungen gibt es weitere Möglichkeiten, um Android-Geräte zu sichern. Weitere Informationen und Empfehlungen liefert der Kommentar „Spielend einfach: In vier Schritten zu mehr Sicherheit bei Android“ und die Re unter „Mobile Threat Information Hub“.