Im Android Market sind verschiedene Apps aufgetaucht, in die eine so genannte Plankton-Variante eingebettet ist, mit deren Hilfe Werbung auf das mobile Gerät geschoben wird. Auch eine Verknüpfung mit einer Suchmaschine wird hergestellt, und entsprechende Einträge in die Favoritenliste des Browsers vorgenommen.
Verschiedene Berichte sprechen über „den bislang größten Android Malware-Ausbruch überhaupt“, denn Millionen von Apps-Downloads enthalten ähnlichen verdächtigen Code. Plankton startet einen Dienst, der Shortcuts erzeugen, Lesezeichen setzen/holen, Geräteinformationen an seine Server schicken kann oder Benachrichtigungen sowie eine neue Homepage aufsetzt.
Trend Micro hat ein Puzzle namens Sexy Ladies-e.apk untersucht und darin ANDROIDOS_PLANKTON.P gefunden, eine Variante, die auch in mehreren anderen Apps auch enthalten ist. Nach der Analyse kommen die Experten zu dem Schluss, dass Plankton nicht unter Malware sondern als Adware, genauer als „mobile App Adware“, einzuordnen ist, denn der Code wird „nur“ für unerwünschte Werbung genutzt, die über den von Plankton aufgesetzten Such-Shortcut weitergeleitet wird. Es fließen auch keine persönlichen Daten an den externen Server, sondern die Apps-Entwickler wollen mit ihren kostenlosen Apps mehr Geld verdienen.

Keine Malware, aber trotzdem riskant

Die Forscher von Lookout Mobile Security kommen zu dem Schluss, dass es eine „aggressive Form eines Werbenetzwerks“ sei. Dieser Einschätzung schließt sich Threat Response Engineer Erika Mendoza von Trend Micro an und fügt hinzu: “Doch es bleibt dem Nutzer überlassen, ob er dieses lästige Verhalten als bösartig empfindet.“ Die Experten geben aber zu bedenken, dass es auch darum geht, „wie mobile Informationen gesammelt und gespeichert werden“. Und hier ergeben sich Datenschutzprobleme, welche die Nutzer nicht gleich erkennen, doch deren Auswirkungen sie unter Umständen viel später zu spüren bekommen.
Für jede installierte App ist es üblich, alle Rechte für die Installation und Interaktion in sozialen Netzen zu behalten, auch dann, wenn die App wieder entfernt wurde. Tatsächlich ist es schwierig, für Hunderte von heruntergeladenen Apps mit unterschiedlichem Fokus und diversen Sicherheitsmaßnahmen auf den Geräten, die vielen Variablen im Auge zu behalten.
Gerade vor dem Hintergrund der vielen Datendiebstähle und Datenschutzvorfälle im letzten Jahr sollten Nutzer verstärkt darauf achten, wer ihre Metadaten (Vorlieben für Produkte, Suchhistorie usw.) hat und was damit passiert.

Im Laufe des Jahres 2011 wurde über viele Angriffe berichtet, so etwa über den auf RSA, wobei Daten zu RSA’s Secure ID gestohlen und für weitere Attacken genutzt wurden. Des Weiteren gab es Berichte zur Operation ShadyRAT, welche die Langlebigkeit von Command & Control-Infrastrukturen demonstrierte, oder zu Nitro und Night Dragon, die zeigten, dass Angreifer sich auf bestimmte Industriezweige konzentrieren.
Auch über Trend Micros Erforschung der Lurid-Angriffe wurde viel geschrieben. Diese Attacken führten vor, dass Angreifer an Zielen außerhalb der USA interessiert sind und vor allem, dass es keine Einzelangriffe mehr sind, sondern „Kampagnen“.
Daneben jedoch sind noch viele APT-Gefahren erforscht worden, über die nicht öffentlich geschrieben wurde. Hier sind die Top-Themen:

• Die “Contagio Dump”- und “Targeted Email Attacks”-Blogs – Mila Parkour und Lotta Danielsson-Murphy haben viele Informationen zu der Forschung in diesem Bereich veröffentlicht. Während bösartige Binaries häufig fĂĽr eine Analyse zur VerfĂĽgung stehen, ist der Inhalt der mit Social Engineering-Techniken infizierten E-Mails meist schwer nachvollziehbar. Diese Blogs liefern einzigartige Einsichten in diese Art von gezielten Angriffen.
• Der CyberESI-Blog – Hier gibt es detaillierte Analysen einiger der erfolgreichsten Malware-Familien.
• “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kiill Chains” – Hutchins, Cloppert, und Amin erklären hier – allerdings sehr akademisch – wie die Phasen eines Angriffs nachvollzogen werden können und wie mehrfache Vorfälle in eine Kampagne einzuordnen sind. FĂĽr jeden, der APT-Angriffe erforschen will, eine PflichtlektĂĽre.
• „1.php“ – ist ein Bericht von Zscaler ĂĽber eine bestimmte Kampagne. Die Autoren analysieren die C & C-Infrastruktur und präsentieren die Ergebnisse als Grundlage fĂĽr VerteidigungsmaĂźnahmen.
• Sykipot – AlienLabs dokumentiert die Trends, die sich aus der Kampagne ableiten lassen, beschreibt aber auch die Exploits, die Schädlinge und die von den Angreifern genutzte C & C-Infrastruktur. Interessant an diesem Bericht sind auch die Spekulationen ĂĽber einen Cyberkrieg Chinas gegen die USA – oder anders rum?
• “What is an APT without a sensationalist name?” – Seth Hardys Präsentation auf der SecTor 2011 lieferte einen längst ĂĽberfälligen kritischen Blick auf den Hype rund um APT, aber auch eine detaillierte technische Analyse des Schädlings “SharkyRAT”.
• “Moli Hua” – Greg Walton dokumentierte einen Angriff auf Journalisten, be idem Facebook und ein MHTML-Exploit fĂĽr Gmail genutzt wurden, ĂĽber den die Angreifer ihre eigenen E-Mail-Adressen als “delegierte Konten“ hinzufĂĽgen konnten

Gestern hat die für Cyberkriminalität zuständige Abteilung der Polizei in Kyoto laut eigenen Angaben sechs Personen festgenommen, die der Erstellung und Verwendung von One-Click-Betrugsprogammen verdächtigt werden. Den ersten Berichten zufolge sollen sie damit etwa 12 Millionen japanische Yen (148.000 Dollar) erbeutet haben.

Mit dem One-Click Billing-Betrugsschema werden Opfer dazu verleitet, sich bei bestimmten Diensten zu registrieren und dafĂĽr zu zahlen, nachdem sie auf eine gewisse Website geleitet wurden.
Der polizeilichen Ankündigung nach setzten die Verdächtigen bösartige Programme ein, die sie unter Nutzern verbreiteten. Besuchten die Opfer bestimmte Websites, einschließlich solcher mit Pornoinhalten, und wollten über den „Play“-Button ein Video abspielen, so wurde stattdessen eine Datei ausgeführt. Es gibt 118 bestätigte Sites, die für One-Click Billing-Betrug genutzt werden. Weitere Einzelheiten hat die Polizei nicht genannt, doch Trend Micro arbeitet mit der Abteilung in Kyoto zusammen, um das bei diesem Angriff genutzte Programm zu analysieren.

Eine Suchanfrage bei Google ergab eine Trefferquote von einer Million Seiten, auf denen über diesen Schädling gesprochen wird. Ein Grund für die aktuelle Beliebtheit dieses Betrugsschemas liegt darin begründet, dass Dateien in One-Click-Ware einfach zu modifizieren sind, um so von Sicherheitsprogrammen nicht entdeckt zu werden. Herkömmliche Sicherheitssoftware, die sich auf Pattern-Technologie verlässt, hat es schwer, in diesem Spiel zu punkten. Cyberkriminelle müssen lediglich ein paar Zeilen im Code ändern und schon können diese AV-Lösungen die Programme nicht mehr erkennen.

Neue Techniken wie Reputationsdienste aus der Cloud beispielsweise in Trend Micros Smart Protection Network sind hier sehr hilfreich.

Es gibt viele Arten der Untersuchung einer Bedrohung mithilfe unterschiedlicher Sachkenntnis – vor allem, wenn es sich um eine Gefahr handelt, die mehrere Schädlinge einbezieht und eine ziemlich robuste C&C (Command & Control)-Infrastruktur verwendet. Doch unabhängig davon, ob Reverse Engineering oder die Analyse der Botnet-Infrastruktur eingesetzt wird, das wichtigste Ziel ist, die Bedrohung an sich zu verstehen.

Trend Micro ist in der glücklichen Lage, einige Experten in seinen Reihen zu haben, die diese Herausforderung mit verschiedenen Mitteln angehen können. Deren technische Analyse und die benötigte Sorgfalt bei der Überwachung der Koobface-Aktivitäten führte zu einem gründlichen Verständnis des Botnets. Somit war Trend Micro in der Lage, zu reagieren und eine angemessene Lösung für den Schutz der Kunden zu liefern.

Koobface auf dem Höhepunkt

Zu seinen besten Zeiten, war Koobface als Schadsoftware bekannt, die sich ĂĽber das sich (zu der Zeit) rasant entwickelnde soziale Netzwerk Facebook verbreitete. Doch natĂĽrlich steckte mehr dahinter.
2008 bis 2009 war Facebook gerade dabei, sich von den anderen sozialen Netzwerken wie Myspace, Twitter, Friendster oder myyearbook abzugrenzen und die Vorherrschaft zu übernehmen. Trend Micros erstes Forschungspapier zu Koobface lieferte eine detaillierte Darstellung dazu, dass der Schädling nicht allein Facebook für seine Verbreitung nutzte, sondern auch andere damals beliebte soziale Netzwerke. Auch zeigten die Sicherheitsforscher auf, wie ein mit dem Koobface-Schädling infiziertes System weitere Malware installiert, die dann entweder dazu genützt wird, um infizierten Nutzer-Verkehr zu Geld zu machen oder um die betroffene Maschine in die Koobface C&C-Infrastruktur mit einzubinden.

Koobface und das C&C

Trend Micros zweites Forschungspapier beschäftigte sich ausführlich mit der C&C-Infrastruktur und -Kommunikation. Die Experten konnten die verschiedenen Kontrollebenen in der Koobface-Bande nachvollziehen – von der feingranularen Kontrolle der Social Engineering-Nachrichten, die der infizierte Nutzer als Spam verschickte, bis zu den verschiedenen Komponenten, Konten, Infrastrukturen und Befehlen, die der Bande zur Verfügung standen.

In dieser Phase gelang es den Sicherheitsforschern von Trend Micro, das C&C-Protokoll sowie die Befehle zu entziffern und die Botnet-Aktivitäten zu überwachen. Sie entdeckten die Facebook- und Google-Konten, die die Kriminellen kontrollierten und entkräfteten die Theorie, dass die Bad Guys billige Arbeitskräfte in Indien für das Knacken von CAPTCHAS beschäftigen. Auch stellten sie fest, dass die Leute hinter Koobface jeden Versuch, das Botnet kaltzustellen, unterliefen.

Noch fehlte aber die Antwort auf die zentrale Frage nach den Vorteilen fĂĽr die Gang.

Koobface als Goldesel

Die Antwort auf diese Frage kam durch den Beweis, dass die Koobface-Bande in kriminelle Machenschaften verwickelt war, so etwa FakeAV-Installationen, Click-Betrug, Informationsdiebstahl und Online-Dating.

An diesem Punkt der Untersuchung wandten sich die Forscher für eine Zusammenarbeit an die breitere Sicherheits-Community, denn eine so große Aktion wie die um Koobface bedarf auch der Kenntnisse anderer Forscher, Ermittler und Organisationen. Trend Micro arbeitete mit unabhängigen Ermittlern wie Jan Droemer zusammen, ebenso mit Facebook und Google oder auch mit den Sicherheitsforschern von Kaspersky und Sophos. Dass auch mehrere Polizeibehörden involviert waren, ist selbstverständlich.

Die Entwicklung von Koobface

Ein nächstes Forschungspapier beschrieb, wie die Koobface-Bande die C&C-Architektur und die Malware-Binaries veränderte sowie die Backend-Dienste verbesserte, um sich gegen Schließungen und das Aufdecken ihrer Aktivitäten zu schützen.

Vor ein paar Wochen dann kam das bislang letzte Papier heraus, das zeigte, wie die Kriminellen sich den strengen Sicherheits-Checks von Facebook anpassen, indem sie auf Twitter und Blogspot umschwenken und TDS (Traffic Direction Systems) fĂĽr ihre Zwecke nutzen.

Verfrühte Veröffentlichung

Die Beteiligten hielten die ganzen Daten zu den Untersuchungen und Nachforschungen geheim, um die laufenden Ermittlungen nicht zu gefährden. Doch leider veröffentlichte ein Blogger wichtige Informationen bezüglich der Koobface-Ermittlung, und zwar ohne sich mit den Beteiligten abzusprechen. Dies geschah, bevor es zu den gewünschten Ergebnissen kommen konnte (etwa Verhaftungen).  Die langsamen Ermittlungen sind verständlich, geht es doch um Beweise, die vor Gericht Bestand haben müssen. Es bleibt zu hoffen, dass trotz der aktuellen Situation die Ermittlungen zu einem guten Ende kommen und die Kriminellen ihrer gerechten Strafe nicht entgehen.

Trend Micro-Forscher Jonell Baltazar, Ryan Flores, Joey Costoya und Nart Villenueve haben erhebliche Anstrengungen unternommen, um die Koobface-Bedrohung zu untersuchen.  In diesem Whitepaper beschreibt Sophos ebenfalls die Entwicklung der Aktion Koobface.

Das Jahr 2011 brachte sowohl Herausforderungen als auch Erfolge nicht nur für Trend Micro, sondern auch für die anderen Sicherheitsanbieter und die behördlichen Mitstreiter im Kampf gegen Cyberkriminalität. 2011 wurde, wie von unseren Sicherheitsforschern vorhergesehen, zum „Jahr der Dateneinbrüche“. Weltweit wurden Unternehmen Opfer von gezielten Einbruchsangriffen und erlitten hohe Datenverluste, der neuen digitalen Währung.
Als Vorbereitung auf das kommende Jahr lohnt es sich, einen Blick auf die von Trend Micro getätigten Vorhersagen zu werfen und auf das, was tatsächlich eingetreten ist.

• Es wird mehr zielgerichtete Angriffe und Cyberspionage geben. Wie prognostiziert, wurden weltweit einige Unternehmen Opfer von zielgerichteten Angriffen, die sie teuer zu stehen kamen. RSA und Sony PlayStation – zwei der größten Angriffsziele 2011 – verloren Millionen Kundendaten und mussten Riesensummen aufbringen, um den Schaden zu beheben.
• Es wird mehr Angriffe auf mobile Geräte geben. Der enorme Anstieg der Android-Malware hat die Reife der mobilen Bedrohungslandschaft begĂĽnstigt. Mit Trojanern infizierte und andere Arten von bösartigen Android-Apps haben nicht nur die App Stores von Drittanbietern verseucht, sondern auch den Android Market selbst. Die prominentesten Schädlingsfamilien 2011 waren RuFraud- und DroidDreamLight-Varianten.
• AusgeklĂĽgelte Malware-Kampagnen werden zunehmen. Cyberkriminelle haben weltweit Nutzer von sozialen Netzwerken mit noch mehr Aufsehen erregenden Spam- und Betrugsangriffen sowie innovativen Tools ĂĽber Social Engineering ĂĽberrollt. Diese Attacken haben Tausende von Nutzern ihre vertraulichen Daten und sogar die persönlichen Informationen gekostet.
• Die Ausnutzung von SicherheitslĂĽcken und Exploits wird weitergehen. Obwohl die Zahl der ausgenĂĽtzten SicherheitslĂĽcken, ĂĽber die berichtet wurde, rĂĽckläufig war, haben die Kriminellen weiter eine ganze Reihe von Exploit-Angriffen gestartet. Die drei am häufigsten ausgenĂĽtzten SicherheitslĂĽcken — VE-2011-3402, CVE-2011-3544 und CVE-2011-3414 – betrafen Produkte von drei der Top fĂĽnf Anbieter, nämlich Microsoft, Oracle und Adobe.
• Es wird neue Infektionen mit alter Malware geben und der kriminelle Untergrund wird sich konsolidieren. Traditionelle Bedrohungen haben auch 2011 Nutzer groĂźen Schaden zugefĂĽgt. Als Mittel, um an Daten, Geld oder Identitäten heranzukommen, nutzen sie neue und bessere Werkzeuge und infizieren damit die Systeme und Geräte unwissender Nutzer.

Die Sicherheitsforscher haben zwar Hacktivismus fĂĽr 2011 nicht prognostiziert, doch es gab eine ganze Reihe an Masseninfektionen durch AntiSec- und LulzSec-Angriffe. Hacktivistengruppen waren bei ihren Angriffen unter anderem auch politisch motiviert.
Doch insgesamt war 2011 kein so schlechtes Jahr, denn es gab auch Erfolge im Kampf gegen Cyberkriminalität. In enger Zusammenarbeit mit Partnern und den Behörden stand Trend Micro an vorderster Front in der Aktion „Operation Ghost Click“, bei der der bislang größte cyberkriminelle Ring ausgeschaltet wurde.
Weitere Einzelheiten zu den Sicherheitsvorfällen im vergangenen Jahr finden sich im Report “A Look Back at 2011: Information Is Currency”.

Betrüger zielten bislang mit ihrem Schema des so genannten One-Click Billing auf Smartphone-Nutzer. Jetzt gibt es ein ähnliches Betrugsmuster, dass speziell auf Android-Nutzer ausgerichtet ist.

Bei einem One-Click Billing-Betrug versuchen die Kriminellen, ihre Opfer dazu zu verleiten, sich fĂĽr einen bestimmten Dienst anzumelden und dafĂĽr zu zahlen, indem sie sie auf manipulierte Webseiten locken. Beim letzten von Trend Micro aufgedeckten Angriff wurden die Opfer aufgefordert, eine bestimmte Summe zu zahlen, um zu verhindern, dass ihre Informationen an eine Pornoseite weitergeleitet werden.
Die Sicherheitsexperten haben nun einen ähnlichen Angriff über eine bösartige App auf Android-Nutzer entdeckt. Der Angriff wird von einer Blog-Site ausgelöst, auf der Spiele-Videos enthalten sind. Der Blog namens „Game Dunga“ hat bereits dreimal die Domain gewechselt. In früheren Versionen gab es eine Menge Links, die auf Spiele-Videos (nicht nur Pornoinhalte) führten. Die aktuelle, dritte Generation jedoch enthält nur Links, die auf Pornoinhalte zeigen.

Beim Versuch, ein Video anzuschauen, wird ein Pop-up-Fenster geöffnet mit der Aufforderung, eine App herunterzuladen, die Trend Micro als bösartig (ANDROIDOS_FAKETIMER.A) erkannt hat. Der Schädling sammelt die Kontoinformationen des Android-Nutzers und leitet sie an eine bestimmte URL weiter, als Parameter für die folgenden Methoden:
•    getAccounts() method – sammelt Gmail-Kontoinformationen, die von dem Gerät des betroffenen Nutzers verwaltet warden.
•    getDeviceID() method – sammelt die SIM-Daten des betroffenen Geräts.
•    getLine1Number() method – sammelt die Mobilnummer des Geräts.

Die auf diese Weise erhaltenen Daten werden an die Cyberkriminellen weitergeleitet. Auch zeigt ANDROIDOS_FAKETIMER.A ein Pop-up-Fenster an mit der Nachricht: „Wir haben ihre Zahlung nicht erhalten. Aus diesem Grund müssen wir gemäß unserer Richtlinien eine Strafgebühr erheben für den Fall, dass Sie nicht gezahlt haben.“

Darüber hinaus zeigt der Schädling die gestohlenen Informationen an, um Vertrauen beim Nutzer aufzubauen und ihn zur Zahlung zu bewegen.

Die Einbindung einer App in diesen Betrug verleiht dem Schema eine bis dahin nicht vorhandene Persistenz. In der Vergangenheit wurden die Routinen hauptsächlich über eine infizierte Website ausgeführt und somit endete der Angriff, wenn ein Opfer den Browser schloss. Nun aber, da eine auf einem Gerät installierte App dafür verantwortlich ist, wird der Nutzer wiederholte Male zur Zahlung aufgefordert. Eine Codeanalyse zeigte, dass das Pop-up auf ein Zeitintervall von fünf Minuten gesetzt war.

Nutzer, die auf ähnliche Sites stoßen, sind gut beraten, die Seite sofort zu verlassen, ohne einen Link anzuklicken. Trend Micros Smart Protection Network schützt die Anwender vor dieser Art von Angriffen, den der Web Reputation-Dienst erkennt die bösartigen Seiten und blockiert die entsprechenden URLs. Weitere Informationen zu anderen mobilen Gefahren und auch Tipps für die Sicherheit der Geräte gibt es im Mobile Threat Information Hub.

Bereits im August 2011 hatte Trend Micro in einer Infografik „Snapshot of Android Threats“ die erhebliche Steigerung in der Zahl der mit Trojanern infizierten Android Apps wie auch sonstige Malware für Android-Plattformen aufgezeigt. Auch in den „12 Security Predictions For 2012“ stellte der Sicherheitsspezialist fest, dass vor allem Android Smartphone- und Tablet-Plattformen zum Ziel vermehrter krimineller Angriffe werden.

Die ständige Beobachtung dieser Gefahr zeigte schnell, dass das Problem mit alarmierender Schnelligkeit zunimmt: Von einer Handvoll bösartiger Apps zu Beginn des Jahres schoss die Zahl bis zum Dezember auf mehr als tausend bösartiger Android-Apps hoch. Die durchschnittliche Wachstumsrate in der zweiten Jahreshälfte 2011 betrug mehr als 60 Prozent.

Nehmen die Angriffe in diesem Jahr mit der gleichen Geschwindigkeit zu, so wird es sicherlich ein „aufregendes“ Jahr für Android. Dann wird es im Dezember mehr als 120.000 bösartige Android-Apps geben.

Es gibt mehrere Faktoren, die dieses explosive Wachstum verursachen:

• Die steigende Beliebtheit von Android, dokumentiert durch die Gesamtzahl der heruntergeladenen Apps (mehr als zehn Milliarden ĂĽber den offiziellen Android Market) und enorm hohe Nutzerzahl, die Gartner und auch Andy Rubin, Senior Vice President of Mobile von Google feststellen.
• Die Offenheit des Vertriebsmodells der Android-Apps. Anders als bei weiteren mobilen Betriebssystemen können Nutzer Anwendungen installieren, ohne dabei einen Filterungsprozess zu durchlaufen. Die Gefahr, eine bösartige App zu installieren, erhöht sich damit deutlich.
• Die kriminelle Denkweise: Bad Guys greifen dort an, wo das Geld ist.

Android Malware ist definitiv hier um auch 2012 zu bleiben.

Hier finden Sie Tipps & Lösungen, um Android Geräte zu schützen:

• 5 einfache Schritte zum Schutz Ihrer Android-basierten Smartphones
• Mobile Security Personal Edition – intelligenter Schutz fĂĽr Android geräte inklusive App-Scanner

Eine neue Variante der bekannten „see who unfollowed you“-Betrugstechnik kursiert auf Twitter:

Eine Menge Tweets sind abgeschickt worden, in denen der Absender behauptet, einige Leute hätten ihn von der Liste der Follower gestrichen. Wer herausfinden wolle, ob das eigene Konto ebenfalls von mehreren Followern abgelehnt wird, der solle auf den angegebenen Link klicken.

Tut ein ahnungsloses Opfer dies, so wird dieser Nutzer auf eine Seite mit einem “Followers Monitor” umgeleitet, und er muss einer Anwendung erlauben, sein Twitter-Konto zu nutzen. Diese betrügerische Anwendung kann die Tweets des Nutzer lesen, sein Profil aktualisieren und sogar Tweets veröffentlichen. Als erstes veröffentlicht sie natürlich die eigene Version des Spam-Tweets.

Die Tweets enden mit einer Reihe von Hashtags mit aktuellen Themen, wie etwa Fussballspiele, oder auch mit allgemeinen Themen.

Achtung: Die “See who unfollowed you”-Funktion ist immer Betrug. Falls ein Nutzer unabsichtlich einen solchen Link anklickt, so kann er den Schaden begrenzen, indem er der Anwendung unter „Einstellungen“ und „Applikationen“ die Autorisierung für den Zugriff auf das eigene Konto entzieht. Trend Micro hat obige Seite bereits geblockt, sodass Anwender vor dieser Gefahr geschützt sind.

Wer ein kostengünstiges iPhone 4S bei eBay kaufen will, sollte vorsichtig sein. Cyberkriminelle könnten Interessierte dazu verleiten, ihre Online-Finanzdaten preiszugeben. Trend Micro hat einen Phishing-Angriff auf potenzielle Käufer von iPhones 4S bei eBay entdeckt.

Der Angriff nutzt Domänen, die betrügerische Kopien von eBay-Angeboten für solche Geräte umfassen. Folgender Screenshot zeigt ein Beispiel einer gefälschten Seite und dazu das originale eBay-Angebot, dessen Inhalt kopiert wurde.

Es gibt Unterschiede zwischen den beiden Seiten. Beispielsweise ist der Preis im echten Angebot in Dollar angegeben, während die Fälschung Euro anzeigt. Auch ist der Preis in der Fälschung bedeutend niedriger. Die Kriminellen nutzen für ihre Zwecke das Angebot eines Verkäufers mit einer guten Reputation, um das Vertrauen von potenziellen Opfern zu gewinnen.

Die gefälschten Seiten werden auf Domänen gehostet, die /www.ebay.ie/ enthalten, um den Anschein einer echten eBay-Domäne zu erwecken. Alle Links führen auf die echte Seite, ausgenommen natürlich “Buy It Now“. Dieser Button führt zu einer gefälschten Login-Seite, wo der Nutzer seine persönlichen Daten angeben muss.

Danach wird der Nutzer auf eine andere Seite weitergeleitet, auf der er aufgefordert wird, den Verkäufer über E-Mail zu kontaktieren, damit die Transaktion abgeschlossen werden kann.

Dies ist sicherlich nicht die Art und Weise, wie Verkaufstransaktionen bei eBay ablaufen, sondern ein Betrugsversuch, um an das Geld und die persönlichen Informationen der Opfer zu kommen. Und es ist nicht der einzige Angriff während der Weihnachtszeit. Kriminelle setzen auch gefälschte elektronische Weihnachtskarten oder soziale Netzwerke ein, um Malware zu verbreiten.

Weitere Informationen liefert das E-Book “Season’s Warnings” und „Sicheres Online-Shopping leicht gemacht“.