Quelle: Philo Nordlund’s Flickr stream

Weil viele Leser dieses Blogs auch regelmäßig Facebook und Twitter nutzen, hier ein paar Tipps dazu, was für die Sicherheit beim social Networking wichtig ist:

• Machen Sie sich vertraut sowohl mit den Privacy-Einstellungen als auch mit der Sicherheits-Policy jedes sozialen Netzwerks, dass Sie nutzen. Wenn Sie Zweifel an der Sicherheit haben, lassen Sie die Site lieber außen vor.
• Beim Erstellen des eigenen Profils sollten Sie bei jeder einzelnen Information, die Sie veröffentlichen, gut überlegen, ob das Detail wirklich relevant für die Site ist. Geben Sie beispielsweise keine Telefonnummer an, und füllen Sie kein Formular aus, nur weil es vorhanden ist!
• Wenn Sie Inhalte, Chats, Mail oder Kommentare zu den Einträgen oder Profilen anderer ansehen oder teilen, sollten Sie die Kommunikation nie für persönlich oder privat halten. Auch wenn Sie alle verfügbaren Privacy-Einstellungen nutzen, können Sie nie davon ausgehen, dass Ihre Inhalte nicht ohne Ihr Wissen kopiert, herunter geladen oder sonst auf eine Weise benutzt werden.
• Die meisten Sites bieten eine Möglichkeit des Resets eines Kennwort, falls Sie dieses vergessen. Doch stellt dies auch eine der üblichsten Arten des Einbruchs in ein Konto dar. Sollten Sie dazu aufgefordert werden, auf „Sicherheitsfragen“ zu antworten, überlegen Sie, ob die Antworten auch wirklich sicher sind. Sicher heißt, dass Sie die einzige Person sind, die diese Frage beantworten kann! Gibt es die Möglichkeit, eigene Fragen aufzusetzen, so nutzen Sie diese! Werden Sie jedoch dazu gezwungen, Standardfragen wie „erste Schule“ oder „erstes Haustier“ zu beantworten, so denken Sie daran, Sie müssen keine wahrheitsgemäß Angaben machen.
• Verwenden Sie nicht ein und dasselbe Kennwort für mehrere unterschiedliche Sites. Falls die eine infiziert wird, müssen Sie sich um die anderen keine Sorgen machen. Setzen Sie komplexe Kennwörter auf, die Groß- und Kleinbuchstaben enthalten, Zahlen und Sonderzeichen. Finden Sie einen Weg, um die Kennwörter für die verschiedenen Sites zu unterscheiden, etwa indem der erste und letzte Buchstabe der Website am Anfang beziehungsweise Ende des Passwortes enthalten ist
• Erhalten Sie eine „Friend“-Anfrage von jemand, den Sie nicht kennen, so kontaktieren Sie die Person direkt, bevor Sie sie zu ihren Vertrauten hinzufügen. Fragen Sie nach, woher die Person Sie kennt. Damit schützen Sie nicht nur Ihre eigene Vertraulichkeit sondern auch die Ihrer Freunde.
• Es mag sinnvoll sein, die Freunde in Gruppen zu unterteilen, um bestimmte Inhalte nur mit bestimmten Leuten zu teilen.
• Versuchen Sie, die Zahl der installierten Apps und Dienste von Drittanbietern, die Zugriff auf Ihr Konto haben, möglichst gering zu halten. Sie sollten auch wissen, wie man diese Apps entfernt oder sperrt, wenn Sie sie nicht mehr benutzen wollen. Denken Sie daran, dass auch auf Twitter jeder von Ihnen autorisierte Service seine Berechtigungen behält, es sei denn, Sie ändern diese per Hand.
• Klicken Sie keine Links in Nachrichten oder Einträgen an, auch wenn die Links von Freunden kommen. Prüfen Sie erst, ob die Person die Links auch wirklich an Sie schicken wollte. Damit verhindern Sie nicht nur, Opfer eines Phishing- oder Scam-Angriffs zu werden, sondern könnten auch einem Freund einen Gefallen tun, indem Sie ihn darüber informieren, dass sein Konto kompromittiert ist und von dort Links verschickt werden.

Letzte Woche wurde das Pushdo-Botnetz dank der Bemühungen einiger Sicherheitsforscher vom Netz genommen. Das Botnet hatte über das Cutwail-Modul Spam verbreitet. Von den 30 als Command-&Control-Server (C&C) identifizierten Systemen wurden 20 stillgelegt, nachdem die entsprechenden Internet Hosting Provider davon in Kenntnis gesetzt wurden.

Die Aktion zeigt bislang Erfolg. Das Monitoring bei Trend Micro hat ergeben, dass die Spam-Menge über die Cutwail-Bots erheblich zurückgegangen ist und die C&C-Server seither inaktiv sind. Noch ist es zu früh, um Prognosen über den Langzeiteffekt dieser Aktion abzugeben. In der Vergangenheit waren schon häufiger Botnetz-Server stillgelegt worden, so etwa diejenigen von McColo Ende 2008. Leider konnten die Kriminellen in vielen Fällen die betroffenen Botnetze schnell wiederherstellen und ihre Tätigkeit innerhalb von Wochen wieder aufnehmen.

Botnetze lahmzulegen ist eine gute Sache, doch reicht es nicht aus, um die Spam-Pandemie zu stoppen. Das Botnetz mag erst einmal zerstört sein, doch die Spammer dahinter sind immer noch da und können weitere Botnetze erzeugen. Diese Kriminellen müssen verhaftet und hinter Gitter gebracht werden. Nur so haben wir eine Chance diesen Cyber-Krieg zu gewinnen. Trend Micro arbeitet eng mit den Polizeibehörden zusammen, um die Kriminellen zu finden.

Nähere Informationen zu den Aktivitäten des Pushdo/Cutwail-Botnetzes gibt es in dem Papier “A Study of the Pushdo/Cutwail Botnet”.

Kürzlich erhielt der Autor eine Instant Message über sein Yahoo!Messenger-Konto. Die Nachricht schien von einer Bekannten zu kommen und war an die gesamte Liste ihrer Freunde versendet worden.

Das bekannte Nachrichtenformat ließ den Schluss zu, dass der Absender ein Bot war, der den Empfänger dazu verleiten wollte, auf den Link in der Nachricht zu klicken. Der Link führte auf die folgende Seite mit 11 Fragen für einen IQ-Test führte:

Wer die Fragen beantwortet, landet auf einer “Ergebnisseite”, wo er seine Mobilnummer angeben soll, um die Quizergebnisse zu erhalten.

Auf den ersten Blick erschließt sich nicht, was die Spammer mit einer Mobilnummer machen wollen. Doch unten auf der Seite im „Summary of Terms“ zeigte sich, dass der Nutzer durch die Angabe seiner Mobilnummer ein Abo auf mobilen Content abschloss – und dieses war natürlich nicht kostenlos. 9,99 bis 19,99 Dollar im Monat wären fällig gewesen.

Die IM-Nutzer sind gut beraten spätestens an diesem Punkt den Browser Tab zu schließen und die Website zu verlassen. Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network vor dieser Gefahr geschützt, denn der „IQ-Test“ ist von der Sicherheitsinfrastruktur blockiert worden.

Eine Gruppe unabhängiger Sicherheitsforscher haben angekündigt, während des Monats September Zero-day- und Webanwendungsschwachstellen sowie Proof-of-concept (PoC) Exploits für gepatchte Sicherheitslücken zu veröffentlichen. Unter den Anbietern, deren angebliche Produkt-Sicherheitslücken an die Öffentlichkeit geraten sollen sind renommierte Unternehmen wie Adobe, Apple, Microsoft oder Mozilla.

Dem Trend Micro-Forscher Rajiv Motwani zufolge handelt es sich um eine Sammlung neuer und alter Lücken, die in erster Linie Microsoft betreffen. Die neuen Sicherheitslücken können als Zero-day-Schwachstellen gesehen werden, die die Nutzer verwundbar machen, bis ein Hersteller einen Patch anbietet. Das kann jedoch dauern, und daher sollten die Anwender jeden angebotenen Workaround nutzen.

Auch ist davon auszugehen, dass Einzelheiten zu den kürzlich veröffentlichten Advisories publiziert werden und dass auch PoC-Code dabei ist – damit aber Exploits wahrscheinlicher sind. Damit wiederum steigt das Risiko für die Anwender. Für Anwendungen wie der Internet Explorer (die Forscher haben angekündigt, dazu eine Schwachstelle zu veröffentlichen) kann ein Exploit innerhalb von Stunden nach der Ankündigung publik werden. Teile der vielen in Umlauf befindlichen Exploits lassen sich zudem für neue Angriffe wiederverwenden, sodass der Prozess sich nochmals beschleunigt.

Unternehmensanwender sollten wissen, dass Serveranwendungen ebenfalls von den veröffentlichten Sicherheitslücken betroffen sind. Möglicherweise dauert es länger, bis diese geschlossen werden. Außerdem ist auch der potenzielle Schaden für einen betroffenen Server höher als bei Privatanwendern.

Andererseits ist es für einzelne User schwieriger, sich zu schützen. Es gibt keine zentralen Benachrichtigungsmechanismen zu Updates, und die teilweise verfügbaren Auto-Update-Fähigkeiten stellen eine zusätzliche Belastung für diese Anwendergruppe dar.

Trend Micro bietet einige kostenlose Tools zum Herunterladen, die Anwender dabei unterstützen ihre Computer zu schützen.

FAKEAV-Malware wird mittlerweile wie als ganz normales Geschäft betrieben, und das trotz der hohen Aufmerksamkeit von Seiten der Medien. Trend Micro-Sicherheitsforscher haben drei wichtige Aspekte – nämlich Social Engineering-Techniken, FAKEAV-Techniken und das Geschäft mit der Malware — untersucht, um herauszufinden, warum diese berüchtigte Malware sich so hartnäckig behaupten kann.

Social Engineering stellt die überwiegend genutzte Technik für die Weiterentwicklung böswilliger Aktivitäten dar, sowohl online als auch offline. FAKEAV ist ein gutes Beispiel für eine Online Social Engineering-Erfolgsstory. Die Malware nutzt menschliche Schwächen aus und setzt Techniken wie „Black Hat“ Search Engine Optimization (SEO) ein, um Nutzer auszutricksen.

Hinter professionell wirkenden Benutzerschnittstellen, störenden Pop-ups und sonstigen Scareware-Taktiken von FAKEAV steckt eine einfache Technologie. Man kann daher sagen, dass die FAKEAV-Technik eher trickreich als komplex ist. Aber ungeachtet der Einfachheit der Technik spielt sie eine erfolgskritische Rolle für die Social Engineering Malware-Taktik.

Natürlich ist eine böswillige Kampagne sinnlos, wenn sie den Betreibern nichts bringt. Im FAKEAV-Geschäft geht es um hohe Einsätze, denn neben den 40 bis 100 Dollar, die die Nutzer als Preis für eine Schwindelsoftware zahlen, geht es vor allem um Informationsdiebstahl.

Weitere Einzelheiten zu den Aspekten gibt es im Security Spotlight Artikel “Why FAKEAV Persists”.

Folgende Geschichte über einen Autoverkauf im Internet hört sich zwar witzig an, zeigt aber vor allem, wie dreist Betrüger sind und wie sorgfältig Nutzer die Kommunikation mit Unbekannten prüfen sollten.

Ich versuche gerade, mein Auto über Facebook Marketplace zu verkaufen. Kaum hatte ich das Verkaufsangebot dort eingestellt, bekam ich eine Nachricht von einer gewissen Caroline McMillan, die Einzelheiten zum angebotenen Auto haben wollte. Die lieferte ich sofort und bekam umgehend ihre Zusage, das gute Stück kaufen und die Bezahlung über PayPal abwickeln zu wollen. Ich wurde stutzig: Einen Wagen über PayPal bezahlen, ohne einen Blick darauf geworfen zu haben? Es schrillten sofort die Alarmglocken und ein Suchlauf über Google ergab sehr schnell, dass ich es mit einem Betrüger zu tun hatte.

Jetzt wollte ich es genau wissen und gab ihr (oder wahrscheinlich ihm) meine PayPal-Adresse für die Geldüberweisung, und dann kam’s … Sie schrieb, sie müsse Geld an die Firma zur Autoabholung überweisen und die akzeptieren keine Kreditkarten. Daher benötige sie meine Hilfe, sprich, ich solle 750 Euro über Western Union überweisen. Aha, das ist also die Masche!

Ich ließ sie wissen, dass ich selbstverständlich ich nichts überweise, bevor ich von ihr das Geld auf meinem Konto habe. Erstaunlicherweise erklärte sie sich damit einverstanden und versprach, die Zahlung so schnell wie möglich zu tätigen.

Einige Minuten später erhielt ich dann eine E-Mail von PayPal. Bei genauerem Hinsehen entdeckte ich eine Reihe von Ungereimtheiten, ja sogar Schreibfehler. Die Nachricht war definitiv nicht von einem englischen Muttersprachler verfasst worden. Kurze Zeit später kam eine weitere absurde E-Mail von einem „William“ von PayPal, der mir mitteilte, die Geldsumme sei eingetroffen und ich solle nun das Geld  über Western Union an besagte Transportfirma überweisen. Wer fällt auf so etwas herein? Also ignorierte ich diese E-Mail und antwortete „Caroline“: „Ich warte auf das Geld und werde den Eingang bestätigen. Bislang ist noch nichts auf meinem Konto.“

Offensichtlich, um die Kommunikation aufrecht zu erhalten, antwortete sie mir: „Lesen Sie bitte die Mail an Sie gesendet werden sehr gut.“ So, so!

Mehr Infos ließen sich nun aus diesem Betrüger nicht herausholen, deshalb schickte ich einen Link zu einer Website, die vor diesem Betrug warnt. Um keinen Verdacht zu wecken, kürzte ich die URL mit bit.ly ab, und nach fünf Minuten sah ich auf der Stats-Seite, dass nur ein einzelner Zugriff auf diese URL getätigt worden war. Raten Sie mal woher? Nigeria!

Deshalb ist größte Vorsicht geboten, wenn jemand eine Geldüberweisung von Ihnen fordert und noch mehr, wenn das Geld über Western Union gehen soll!

Auf der Blackhat- und DEFCON-Konferenz letzte Woche, führte der unabhängige Sicherheitsforscher Craig Heffner einen neuen Angriff vor gegen Heimanwender-Router. Die Attacke kombiniert DNS-Rebinding sowie Cross Site Request Forgery (CSRF) und nutzt JavaScript, um die Browser der Nutzer dazu zu bringen, einen Kommunikationskanal zwischen dem Angreifer und der Admin-Konsole des Heim-Routers aufzusetzen. Ist das Router-Kennwort einfach zu erraten (etwa router oder password) oder gar noch auf das Fabriks-Default gesetzt, kann der Angreifer schnell die vollständige Kontrolle über das Gerät erlangen und damit alle Geräte einem Netzwerkangriff aussetzen. Der Kriminelle könnte beispielsweise die DNS-Einstellungen des Routers ändern, sodass jeder, der an diesen Router angeschlossen ist, Phishing-Attacken riskiert.

Als erster muss der Angreifer eine Position einnehmen,  in der er in der Lage ist, die DNS-Records der Domäne zu ändern, die er für seinen Angriff nutzen will. Dann muss er verschiedene Seiten in der infizierten Domäne erzeugen, die die Website für den Angriff hosten soll und diese mit DNS verlinken. Schließlich wird der Angreifer eine ausreichende Kontrolle über den Webserver haben, sodass er ihn dazu bewegen kann, bei Bedarf einen TCP reset (RST) Befehl zu versenden.

Der Angriff beginnt, wenn der Nutzer die bösartige Site besucht. Heffner nutzte DNS, um die öffentliche IP-Adresse des Opfers zu kassieren, doch gibt es auch andere Möglichkeiten dafür. Sobald der Kriminelle die IP-Adresse hat, muss er schnell eine neue Unterdomäne in der Angriffsdomäne erzeugen mit zwei A-Records, die einen Host-Namen einer IP-Adresse zuordnen. Der erste Record zeigt auf den Server, während er zweite auf die öffentliche IP-Adresse des Routers des Opfers weist. Der Webserver leitet nun den Browser des Opfers auf eine Seite um mit JavaScript-Code, der den CSRF-Teil des Angriffs ausführt.

Jetzt wird es interessant! Der Browser beginnt den JavaScript-Code auszuführen und der versucht, sich mit der temporären Unterdomäne zu verbinden. Der angreifende Server antwortet mit einem RST-Befehl und beendet die Session. Das System des Users versucht dann eine weitere ihm bekannte IP-Adresse für denselben Host-Namen – und das ist die externe Adresse des Routers. Alle Ergebnisse werden an den angreifenden Server über ein Portal weitergegeben, sodass der Angreifer verschiedene Nutzernamen und Kennwortkombinationen ausprobieren kann, bis er sich erfolgreich verbindet oder der Browser Window/Tab geschlossen wird.

Normalerweise ist die Admin-Konsole für das Internet nicht sichtbar, denn viele Anwender-Router beinhalten eine Default-Einstellung, die verhindert, dass eine IP-Adresse außerhalb des lokalen Netzwerks sich damit verbindet. Doch viele Services auf diesen Geräten lauschen auf Verbindungen auf allen Schnittstellen. Paketfilterfunktionen hindern externe Nutzer daran, auf die Admin-Konsole zuzugreifen, doch interne Nutzer haben häufig Zugang zur Konsole über eine externe IP-Adresse.

Folgende Liste mit Empfehlungen soll dazu beitragen, das Risiko, angegriffen zu werden, zu reduzieren:

• Aktivieren Sie die HTTPS-Admin-Konsole auf dem Gerät und vergessen Sie dabei nicht, die http-Konsole, wenn möglich, zu deaktivieren.
• Verwenden Sie ein starkes Kennwort für den Router, ändern Sie den Benutzernamen von Zeit zu Zeit.
• Deaktivieren Sie den Zugang von einem externen Netzwerk zur Admin-Konsole des Routers. Dies lässt sich meistens von der Konsole aus tun.
• Falls Sie nicht die von dem ISP automatisch mitgelieferten DNS-Server verwenden, so nutzen Sie ein anderen rekursiven Resolver oder einen, der für die öffentliche Nutzung angeboten wird, etwa OpenDNS http://www.opendns.com/. Damit sind Sie gegen die veröffentlichte Version dieses Angriffs geschützt.
• Wenn möglich, fügen Sie eine Firewall-Regel hinzu, die die Geräte im lokalen Netz daran hindert, Pakete an den Block zu versenden, in dem Ihre öffentliche IP-Adresse Mitglied ist. Dies hindert alle IPs im lokalen LAN daran, die externe IP des Routers zu kontaktieren. Ändert der ISP den Block, der in Ihrer Nachbarschaft genutzt wird, so muss die Regel entsprechend geändert werden. Als zusätzlicher Vorteil verhindert diese Regel, dass Ihr System unbeabsichtigt an Ihre Nachbarn sendet.
• Halten Sie die Firmware des Router und anderer Netzwerkgeräte immer auf aktuellem Stand.

Die Sicherheitsforscher von Trend Micro haben den ersten SMS-Trojaner auf Googles Smartphone mit Android-Betriebssystem entdeckt. Sie stellten fest, dass es sich dabei um TROJ_DROIDSMS.A handelt und dass sich die Malware mithilfe des Windows Media Player Icons tarnt. Der Schädling versucht, Textnachrichten an Nummern wie 3353 oder 3354 mit dem Nachrichten-String 798657 über das default Short Message Service Center (SMSC) zu verschicken. Zusätzlich nutzt der Trojaner die Permissions-Funktion (android.permission.SEND_SMS), um besagter App das Recht zu geben, Nachrichten zu verschicken. Diese Routine ähnelt der Symbian-Malware, die sich ebenfalls App tarnt und Textnachrichten an bestimmte Nummern verschickt.

Ivan Macalintal, Advanced Threats Researcher bei Trend Micro, zufolge ist die Payload dieses Angriffs nicht neu. Es gab bereits in der Vergangenheit mobile Angriffe mit derselben kriminellen Routine. „Dieses Profit generierende Schema ist sehr verführerisch für Cyberkriminelle. Das Einzigartige an diesem Angriff ist die Tatsache, dass Android-Plattformen das Ziel sind, und mit der steigenden Beliebtheit der Google-Plattform werden auch die Angriffe zunehmen“, erklärt der Experte.

Die meisten cyberkriminellen Banden sind nicht daran interessiert, nur schnell Profit zu machen oder früh in Rente zu gehen. Vielmehr betreiben sie Cyberkriminalität als ein seriöses und lukratives Geschäft und freuen sich darüber, ihr kriminelles Netz geduldig zu erweitern und gleichzeitig ihre bösartigen Machenschaften vor dem Rest der Welt zu verbergen. In diesem Blogeintrag diskutieren wir ein Beispiel, in dem ein kriminelles Netz unter Umständen nur ein paar Dollar an jedem einzelnen Opfer verdient. Aber indem eine Vielzahl an Anwendern zu Opfern gemacht werden, lassen sich jedes Jahr Millionen Dollar an Gewinnen erzielen. Diese Machenschaften basieren auf einem Geschäftsmodell, das von daran beteiligten bösartigen Traffic-Brokern und dem Missbrauch bekannter Markennamen lebt.

Die Netze, die diese Cyberkriminellen nutzen, bestehen unter Umständen aus mehr als 100 Servern, die rund um den Globus in verschiedenen Rechenzentren gehostet sind. Einige Internetgangs verfügen über Millionen Dollar an liquiden Mitteln. Dadurch sind sie in der Lage, substanzielle Investitionen in neue kriminelle Aktivitäten zu investieren, die eine hohe Verzinsung versprechen. Entsprechend groß sind die Folgeschäden, die ihre Aktivitäten verursachen.

Abbildung 1 zeigt die Größe eines bestimmten Botnetzes zwischen März 2010 und Ende Juli 2010. Wie aus der Abbildung ersichtlich, unterlag die Botnetzgröße im Zeitverlauf Schwankungen; aktuell umfasst es ungefähr 150.000 Bots. Dabei handelt es sich nicht um ein großes Botnetz, dennoch generiert es mehrere Millionen Dollar an Gewinnen pro Jahr.

Trojaner, die die Kontrolle über Webbrowser übernehmen, gehören einer Malware-Familie an, die ihre Opfer von den Sites, die diese besuchen wollen, umleiten. Insbesondere werden die Ergebnisse von Suchmaschinen oftmals von dieser Art Malware manipuliert. Eine Suche auf beliebten Suchmaschinen wie Google, Yahoo! oder Bing funktioniert zwar wie immer. Sobald jedoch Opfer auf ein Suchergebnis oder einen beworbenen Link klicken, werden sie zu einer fremden Site weitergeleitet, so dass der „Entführer“ ihre Klicks zu Geld machen kann.

Browser Hijacker sind beliebt, weil sich Klicks auf Suchergebnisse schnell auszahlen. Es ist eine lukrative und einfache Methode, von dem Erfolg legitimer Suchmaschinen zu profitieren. Aus einem Netz von 150.000 Bots können Banden jedes Jahr mehrere Millionen Dollar Profit schlagen, und das allein mit manipulierten Suchergebnissen. Der Preis eines gestohlenen Klicks hängt stark von dem benutzten Schlüsselwort ab. Wir sehen einen durchschnittlichen Preis von 0,01 bis 0,02 US-Dollar pro Klick, obwohl dieser auf über 2 US-Dollar bei Wörtern oder Wortgruppen wie „home-based business opportunities“ oder „loans“ steigen kann. Für den Verdienst eines Klick-Botnetzes, das mehr als eine Million Klicks an einem einzigen Tag – den 20. Juli 2010 – gekapert hat, siehe die Tabelle unten:

Um die gestohlenen Klicks zu Geld zu machen, verkauft der Hijacker in der Regel die eingesammelten manipulierten Klicks an einen Traffic Broker. Dieser Broker verkauft dann wiederum den Datenverkehr an legitime Parteien wie Yahoo!, Google oder Ask.com. Zum Beispiel haben wir gesehen, dass Klicks auf Suchergebnisse von Yahoo! wieder an Yahoo! über einen dazwischen geschalteten Traffic Broker zurückverkauft wurden. In einem anderen Fall wurden gestohlene Google-Klicks an LookSmart weiterverkauft.

Gestohlenen Webverkehr an legitime Parteien wie Google, Overture (Yahoo!) oder LookSmart zu verkaufen ist jedoch keine triviale Angelegenheit, denn diese Unternehmen verfügen über ausgefeilte Werkzeuge zur Betrugserkennung. Deshalb nutzen die meisten Traffic Hijacker die Dienste eines Brokers, der mit ihnen bei der Optimierung der Umleitung des Datenverkehrs zusammenarbeitet und ihnen hilft, die besten Käufer zu finden. Einigen Traffic Brokern kann nicht getraut werden und sie sind selbst Teil betrügerischer Strukturen. Zum Beispiel muss ein Traffic Broker mit Namen „Onwa Ltd.“ mit Sitz bei St. Petersburg in Russland volle Kenntnis von der betrügerischen Natur des Datenverkehrs haben, den er weiterverkauft. Der Grund für diese Annahme liegt darin, dass der Broker Backend-Software für obskure und gefälschte Suchmaschinen, die als Fassade für Klickbetrug dienen, schreibt und verkauft. (Onwa Ltd. unterhält zudem Briefkastenfirmen in Großbritannien und auf den Seychellen). Vgl. exemplarisch Abbildung 2.

Darüber hinaus hat Onwa Ltd. eine eigene Infrastruktur für gefälschte Google-Websites errichtet. Dieser spezielle Broker ist mindestens seit 2005 am Markt, eventuell schon seit 2003. Die Gruppe tritt auch unter anderen Namen auf wie „Uttersearch“, „RBTechgroup“ und „Crossnets“. Eine ihrer Firmenseiten ist in Abbildung 3 dargestellt.

Legitime Traffic Broker müssen so getäuscht werden, dass sie den Eindruck haben, sie hätten es mit einem legitimen Geschäftspartner zu tun. Um das zu erreichen, erstellen betrügerische Traffic Broker oftmals eine Website, die den Anschein erweckt, der Broker betreibe schon seit langem ein ehrbares Geschäft. Zudem werden gefälschte Such-Websites aufgesetzt. Diese gefälschten Such-Websites dienen scheinbar dem Ziel, echten Anwender-Traffic zu fördern, während sie in Wahrheit nur einen Zwischenschritt für den Klickbetrug aus Botnetzen darstellen.

Da diese gefälschten Suchmaschinen nicht von normalen Besuchern genutzt werden und da Werbetreibende dies unter Umständen bemerken, werden ihre Alexa-Rankings manchmal künstlich nach oben manipuliert. Dies geschieht durch Bots, die automatisch auf Alexa-URLs zugreifen, welche die Zahl der Site-Besuche bestimmen. Darüber hinaus teilen betrügerische Traffic Broker gekaperten Traffic in kleinere Teile auf, so dass es den Anschein hat, als ob der Verkehr aus verschiedenen Quellen stammte, während in Wahrheit der Löwenanteil der Klicks nur von einer Handvoll Botnets herrührt. Falls ein Käufer von Upstream Traffic einen Betrug feststellt, kann der betrügerische Traffic Broker einen Komplizen dafür verantwortlich machen und einen einzelnen Datenstrom herausfiltern. Die cyberkriminelle Bande verliert folglich nur einen kleinen Teil ihres Umsatzes und nicht alles.

Browser Hijacker stellen eine Art Malware dar, die sozusagen viel Lärm macht. Die Opfer stellen bald fest, dass etwas schief läuft, sobald sie unerwartete Weiterleitungen sehen. Aus diesem Grund ist die durchschnittliche Lebensdauer der Bots relativ gering. Abbildung 4 zeigt die erwartete Lebensdauer eines einzelnen Bots auf der Basis historischer Daten, die wir sammeln konnten. In diesem Fall bewegt sich die Lebenserwartung eines beliebigen Einzelbots zwischen 6 und 12 Tagen.

Um die Größe des Bonetzes aufrecht zu erhalten, müssen die Gangs dahinter kontinuierlich neue Systeme infizieren. Abbildung 5 zeigt die Zahl neuer Systeme, die täglich dem hier betrachteten Botnetz hinzugefügt werden. Zehntausende neue Systeme werden jeden Tag infiziert. Mehr als 2 Millionen Computer wurden von dem Browser Hijacker von Anfang des Jahres bis heute befallen und wir erwarten, dass diese Zahl bis Ende des Jahres 4 Millionen erreichen wird.

Die Browser Hijacker, die wir beobachtet haben, enthalten eine zusätzliche DNS-Changer-Komponente, die die DNS-Einstellungen eines Systems ändert, um sie auf fremde Server umzuleiten. Die dabei genutzten DNS-Server sind in der Malware fest kodiert. Wir haben festgestellt, dass die Bande jeden Tag eine neue Malware-Variante verbreitet, die die DNS-Einstellungen der Systeme um zwei spezifische fremde Servereinträge verändert.

Diese Server beginnen erst dann damit, Domänennamen in bösartige IP-Adressen aufzulösen, wenn eine Maschine ungefähr seit einer Woche infiziert ist. Wir sind der Ansicht, dass dies einen Versuch darstellt, die Lebensdauer der Bots zu verlängern. Wenn die Browser Hijacker-Komponente von einem infizierten Computer entfernt wird, kann der DNS Changer trotzdem weiter vorhanden bleiben, so dass der Bot weiterhin dazu missbraucht werden kann, Datenverkehr mit DNS-Tricks zu kapern. Die Lebensdauer der Bots steigt in der Folge deutlich an.

Wir rechnen damit, dass Browser Hijacker in Zukunft ausgefeilter und widerstandsfähiger sein werden. Tricks wie das Ersetzen legitimer Anzeigen durch fremde kommen bereits heute vor. Das in diesem Blog betrachtete Botnetz ersetzt Double Click- durch Clicksor-Anzeigen, sobald die betrügerische DNS-Komponente aktiviert ist. Dabei handelt es sich um eine Art getarnten Klickbetrugs, der nur schwer von Seiten von Double Click entdeckt werden kann. In diesem Fall jedoch gehen wir davon aus, dass keine dritte Partei zwischen Clicksor und der Cyberbande dazwischen geschaltet ist. Wir sind deshalb überzeugt davon, dass Clicksor in der Lage sein sollte, diesen Betrug zu erkennen. Falls jedoch betrügerische Mittelsmänner existieren, wird die Erkennung viel schwieriger.

Botnetz-Betreiber verdienen Millionen Dollar durch den Geldraub von den PCs unschuldiger Nutzer. Sie kaufen und verkaufen Services, gehen Partnerschaften ein und nehmen Dienstleistung in Anspruch, genauso wie es legale Unternehmen auch tun. Der Hauptunterschied besteht jedoch in der Legitimität und Legalität ihrer Produkte, Lösungen und Dienste, die sie produzieren. Die Menge der Spam-Nachrichten, die über Botnetze verbreitet werden, ist gigantisch, und Spam bleibt dank der Verbreitungsgeschwindigkeit, der riesigen Ziellisten und relativ geringen Kosten auch weiterhin das das bevorzugte Mittel der Verbreitung. Trend Micro schätzt, 97 Prozent aller E-Mails sind Spamnachrichten.

Doch was lässt sich gegen die Cyberkriminellen unternehmen? Dem kürzlich von der Messaging Anti-Abuse Working Group (MAAWG) veröffentlichten 2010 Consumer Survey zufolge sind 65 Prozent der Befragten der Ansicht, ISPs und ESPs sollten mehr Verantwortung für das Stoppen von Spam, von Computerviren, gefälschten E-Mails und Spyware übernehmen. Die MAAWG-Umfrage hat auch ein niedriges Sicherheitsbewusstsein bezüglich Botnetze beim Privatanwender ausgemacht. Deshalb müssen Service Provider proaktiv ihre Kunden unterstützen und schützen.

Trend Micros Chief Technologist Dave Rand erläuterte, dass ISPs die Möglichkeit besitzen, Botnetze und Spam mit einigen einfachen Schritten zu bekämpfen. Beispielsweise können sie E-Mail auf Port 25 blockieren – der Port ist für SMTP-Sendungen verantwortlich. Botnet-Kommunikation nutzt diesen Port, wenn Spam oder andere Junk-Mail verschickt wird. Wird Port 25 blockiert, so ist die Spam-Kommunikation ineffektiv. Nutzer werden im Allgemeinen keine direkte Änderung bemerken, denn die meisten nutzen die Server ihres ISPs oder kostenlose E-Mail-Dienste wie Gmail, Windows Live Hotmail oder Yahoo Mail.

ISPs können ihre eigenen Netzwerkaktivitäten überwachen und aus technischen oder Abrechnungsgründen jederzeit bestimmte IP-Host-Adressen identifizieren. Mithilfe dieser Information stellen sie fest, wie der Verkehr in ihren Netzwerken aussieht und können auch bösartigen Verkehr beobachten. Damit sind sie in der Lage, Port 25 zu blockieren und, noch wichtiger, die infizierten Kunden zu diagnostizieren und zu informieren. Praktisch alle werden Hilfe benötigen, um die kompromittierten Maschinen in ihrem Netzwerk zu säubern. Diese Zusammenarbeit führt zu der Verringerung der Zahl von Bot-infizierten Computern und sichert zudem die Vertraulichkeit der Nutzerdaten.

Trend Micro ist der Ansicht, dass das kürzlich in Australien getroffene Abkommen – die ISPs haben sich dazu verpflichtet, ihre Kunden von Infektionen zu unterrichten – und ein ähnliches in den Niederlanden (hier sind die ISPs überein gekommen, die Sicherheitsinformationen auszutauschen und ihre Kunden über Infektionen zu unterrichten) werden einen dramatischen Effekt auf die Anzahl der Bot-Infektionen in diesen Ländern haben.

Die Sicherheitsforscher von Trend Micro haben mehr als vier Millionen kompromittierte Systeme allein in der Türkei entdeckt. Sie arbeiteten direkt mit einem bestimmten ISP, der daraufhin aktiv wurde, die betroffenen Computer aus dem Netz nahm. Obwohl diese Computer immer noch infiziert sind und dazu genutzt werden können, um Informationen zu stehlen, der sofortige Abfall im Spamaufkommen aus diesem Netzwerk war erheblich.

Die Benachrichtigung der Kunden durch ihren Provider ist von entscheidender Bedeutung. Die Erfahrung aus vielen Projekten hat gezeigt, dass die Nutzer proaktiv ihre Netzwerke säubern, sobald sie von einer Infektion informiert wurden. Auch sollte in Betracht gezogen werden, dass nicht alle der kompromittierten Hosts Endanwendern gehören, sondern einige sind im Besitz von Behörden oder Krankenhäusern. Das heißt, es geht nicht allein um Spam sondern auch um Gesundheit oder öffentliche Sicherheit.

In Anbetracht der Größe des Problems stellt sich die Frage, ob es um den Schutz der Integrität von Systemen auf Landesebene geht – vielleicht!

Wir wissen, dass Indien immer mehr zum Problem wird. Dave Rand arbeitet derzeit direkt mit ISPs in ganz Indien, um die richtige Lösung zu finden. Brasilien ist ein weiteres Land, dass immer weiter an die Spitze rückt, wenn es um die Zahl von kompromittierten Computern geht. Hier handelt es sich vor allem um auf Banken bezogenen Spam.

Trend Micro möchte mit ISPs zusammen arbeiten und sie dazu bringen, eine aktive Rolle bei der Benachrichtigung ihrer Kunden zu übernehmen. Es handelt sich um eine soziale und moralische Pflicht der Service Provider rund um die Welt.