KĂŒrzlich entdeckte Trend Micro Schadsoftware, die MS Word- und Excel-Dateien von infizierten Systemen holt und diese auf die File Hosting Site sendspace.com hoch lĂ€dt. Diese Site bietet Nutzern einen Datei-Hosting-Dienst fĂŒr das „Senden, Erhalten, Verfolgen und die gemeinsame Nutzung von großen Dateien“. Bereits Ende letzten Jahres hatten Hacker Sendspace dazu mißbraucht, um gestohlene Daten dort zusammen zu tragen und hoch zu laden.

Bei dem aktuellen Vorfall jedoch ist es das erste Mal, dass Malware fĂŒr das Hochladen der gestohlenen Daten eingesetzt wurde. Der Angriff startet mit einer ĂŒber den Trojaner TROJ_DOFOIL.GE infizierten Datei, Fedex_Invoice.exe. Der Dateiname lĂ€sst darauf schließen, dass es sich um eine Spam-Kampagne handelt, die als FedEx-Benachrichtigung getarnte Messages einsetzt. Die Sicherheitsforscher von Trend Micro suchen derzeit nach einem Muster einer solchen Spam-Nachricht. Der Trojaner lĂ€dt einen weiteren (TSPY_SPCESEND.A) so genannten “Grab and Go” Trojaner herunter, der das lokale Laufwerk des infizierten Computers nach Word- und Excel-Dateien absucht. Die auf diese Art gesammelten Dokumente werden archiviert und mit einem zufallsgenerierten Kennwort geschĂŒtzt. Nachfolgend ein Beispiel eines solchen Archivs:

Danach schickt der SchÀdling das Archiv an Sendspace.com.

Der SchÀdling schickt dann den Sendspace Download-Link mit dem generierten Kennwort an den C & C-Server.

Es handelt sich um einen schlauen Schachzug der Kriminellen, die auf diese Weise keinen Server aufsetzen mĂŒssen, um große Mengen gestohlener Daten zu speichern.

Trend Micros Solutions Evangelist Ivan Macalintal sieht in dieser Technik einen neuen Trend: “Bislang haben wir Dropsites fĂŒr gestohlene Daten vor allem in DomĂ€nen gefunden, die den Kriminellen selbst gehörten. Jetzt aber, nutzen sie legale ‚Clouds‘ dafĂŒr, wo sie die Daten ablegen und wieder holen können“, stellt er fest.

Trend Micros Smart Protection Network schĂŒtzt die Anwender vor dieser Gefahr, denn die Reputationsdienste erkennen und blockieren die bösartigen Dateien und die URL des C & C-Servers.

Smartphones erfreuen sich wachsender Beliebtheit. Eine von Google in fĂŒnf LĂ€ndern durchgefĂŒhrte Umfrage beweist dies: In Deutschland etwa stieg die Zahl der Smartphone-Besitzer von Januar 2011 bis Oktober um fĂŒnf Prozent auf insgesamt 23 Prozent der Bevölkerung.
Entsprechend diesem Trend nehmen auch die Gefahren fĂŒr die mobilen GerĂ€te zu. Mittlerweile gelten fĂŒr die MobilgerĂ€te und Tablets dieselben GefĂ€hrdungsszenarien wie man sie aus der PC-Welt kennt. Die folgenden fĂŒnf Angriffsmuster zeigen die Ähnlichkeiten auf:

• Vor mehr als fĂŒnf Jahren nutzten Cyberkriminelle umkonfigurierte Modems, um Bezahldienste und FerngesprĂ€che fĂŒr ihre Zwecke zu nutzen. Heute versucht mobile Schadsoftware hĂ€ufig, Nutzer dazu zu verleiten, solche Bezahldienste zu abonnieren.
• Etwa zwanzig Jahre lang verbreiteten vor allem Viren Angst und Schrecken, danach waren es WĂŒrmer, und heute sind es in erster Linie Trojaner-Downloader fĂŒr den einmaligen Gebrauch. All diese Mittel hatten nur ein Ziel, die Opfersysteme möglichst dauerhaft zu infizieren und zu kompromittieren. Auf den mobilen Plattformen gibt es bereits Trojaner fĂŒr den Datendiebstahl, die sich als nĂŒtzliche App tarnen und im Stillen Daten sammeln und weiterleiten.
• Mehrstufige und zwischen PC und mobilen GerĂ€ten wechselnde Bedrohungen gibt es bereits. Einige Varianten des Bank-SchĂ€dlings ZeuS ĂŒberwacht den PC und die Online-Transaktionen. Entdeckt er eine Anfrage fĂŒr eine zweite ÜberprĂŒfung schickt er einen Facebook-Link an das Smartphone des Opfers, um so Daten abzuziehen und einen vollstĂ€ndigen Zugriff auf die Online-Finanzdaten zu erhalten.
• Fast jeder Nutzer empfĂ€ngt in der einen oder anderen Form E-Mails auf seinem MobilgerĂ€t, die im Prinzip die AktivitĂ€ten auf dem Desktop widerspiegeln. Daher sind auch diese Mails denselben Phishing- und Spam-Attacken ausgesetzt wie auf dem PC.
• Von Exploits und Angriffen wie Man-in-the-Middle und solche auf SSL-Verbindungen ist in Verbindung mit PCs immer wieder die Rede. Da heutige Smartphones viel schneller sind als die „alten“ PCs, kleinere Bildschirme haben, und es keine „ausgewachsenen“ Werkzeuge gibt, die erforschen können, was im Hintergrund lĂ€uft, merken die Nutzer von Tablets oder Smartphones meist nicht, wenn sie angegriffen werden.

Im Zuge der BYOD (Bring-Your-Own-Device)-Strategien kommen die mobilen GerÀte in die Unternehmen. Doch werden sie nicht mit derselben Sorgfalt gesichert wie PCs, Laptops oder Desktops, deren Nutzung von Policies und Richtlinien geregelt wird.

Um nicht zum Opfer zu werden, ist Nutzern dringend zu empfehlen, auch ihre mobilen GerĂ€te mit Anti-Malware- und Content-Filtering-Lösungen zu schĂŒtzen. Ebenso wichtig ist es , die Firmware und die mobilen Apps auf aktuellem Stand zu halten. Weitere Gedanken und Tipps zum Thema bieten die EintrĂ€ge: „Die Gefahr durch Android-Malware wĂ€chst auch 2012“ sowie „2011 in Review: Mobile Malware“.

Im Laufe des Jahres 2011 wurde ĂŒber viele Angriffe berichtet, so etwa ĂŒber den auf RSA, wobei Daten zu RSA’s Secure ID gestohlen und fĂŒr weitere Attacken genutzt wurden. Des Weiteren gab es Berichte zur Operation ShadyRAT, welche die Langlebigkeit von Command & Control-Infrastrukturen demonstrierte, oder zu Nitro und Night Dragon, die zeigten, dass Angreifer sich auf bestimmte Industriezweige konzentrieren.
Auch ĂŒber Trend Micros Erforschung der Lurid-Angriffe wurde viel geschrieben. Diese Attacken fĂŒhrten vor, dass Angreifer an Zielen außerhalb der USA interessiert sind und vor allem, dass es keine Einzelangriffe mehr sind, sondern „Kampagnen“.
Daneben jedoch sind noch viele APT-Gefahren erforscht worden, ĂŒber die nicht öffentlich geschrieben wurde. Hier sind die Top-Themen:

• Die “Contagio Dump”- und “Targeted Email Attacks”-Blogs – Mila Parkour und Lotta Danielsson-Murphy haben viele Informationen zu der Forschung in diesem Bereich veröffentlicht. WĂ€hrend bösartige Binaries hĂ€ufig fĂŒr eine Analyse zur VerfĂŒgung stehen, ist der Inhalt der mit Social Engineering-Techniken infizierten E-Mails meist schwer nachvollziehbar. Diese Blogs liefern einzigartige Einsichten in diese Art von gezielten Angriffen.
• Der CyberESI-Blog – Hier gibt es detaillierte Analysen einiger der erfolgreichsten Malware-Familien.
• “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kiill Chains” – Hutchins, Cloppert, und Amin erklĂ€ren hier – allerdings sehr akademisch – wie die Phasen eines Angriffs nachvollzogen werden können und wie mehrfache VorfĂ€lle in eine Kampagne einzuordnen sind. FĂŒr jeden, der APT-Angriffe erforschen will, eine PflichtlektĂŒre.
• „1.php“ – ist ein Bericht von Zscaler ĂŒber eine bestimmte Kampagne. Die Autoren analysieren die C & C-Infrastruktur und prĂ€sentieren die Ergebnisse als Grundlage fĂŒr Verteidigungsmaßnahmen.
• Sykipot – AlienLabs dokumentiert die Trends, die sich aus der Kampagne ableiten lassen, beschreibt aber auch die Exploits, die SchĂ€dlinge und die von den Angreifern genutzte C & C-Infrastruktur. Interessant an diesem Bericht sind auch die Spekulationen ĂŒber einen Cyberkrieg Chinas gegen die USA – oder anders rum?
• “What is an APT without a sensationalist name?” – Seth Hardys PrĂ€sentation auf der SecTor 2011 lieferte einen lĂ€ngst ĂŒberfĂ€lligen kritischen Blick auf den Hype rund um APT, aber auch eine detaillierte technische Analyse des SchĂ€dlings “SharkyRAT”.
• “Moli Hua” – Greg Walton dokumentierte einen Angriff auf Journalisten, be idem Facebook und ein MHTML-Exploit fĂŒr Gmail genutzt wurden, ĂŒber den die Angreifer ihre eigenen E-Mail-Adressen als “delegierte Konten“ hinzufĂŒgen konnten

Das Jahr 2011 brachte sowohl Herausforderungen als auch Erfolge nicht nur fĂŒr Trend Micro, sondern auch fĂŒr die anderen Sicherheitsanbieter und die behördlichen Mitstreiter im Kampf gegen CyberkriminalitĂ€t. 2011 wurde, wie von unseren Sicherheitsforschern vorhergesehen, zum „Jahr der DateneinbrĂŒche“. Weltweit wurden Unternehmen Opfer von gezielten Einbruchsangriffen und erlitten hohe Datenverluste, der neuen digitalen WĂ€hrung.
Als Vorbereitung auf das kommende Jahr lohnt es sich, einen Blick auf die von Trend Micro getÀtigten Vorhersagen zu werfen und auf das, was tatsÀchlich eingetreten ist.

• Es wird mehr zielgerichtete Angriffe und Cyberspionage geben. Wie prognostiziert, wurden weltweit einige Unternehmen Opfer von zielgerichteten Angriffen, die sie teuer zu stehen kamen. RSA und Sony PlayStation – zwei der grĂ¶ĂŸten Angriffsziele 2011 – verloren Millionen Kundendaten und mussten Riesensummen aufbringen, um den Schaden zu beheben.
• Es wird mehr Angriffe auf mobile GerĂ€te geben. Der enorme Anstieg der Android-Malware hat die Reife der mobilen Bedrohungslandschaft begĂŒnstigt. Mit Trojanern infizierte und andere Arten von bösartigen Android-Apps haben nicht nur die App Stores von Drittanbietern verseucht, sondern auch den Android Market selbst. Die prominentesten SchĂ€dlingsfamilien 2011 waren RuFraud- und DroidDreamLight-Varianten.
• AusgeklĂŒgelte Malware-Kampagnen werden zunehmen. Cyberkriminelle haben weltweit Nutzer von sozialen Netzwerken mit noch mehr Aufsehen erregenden Spam- und Betrugsangriffen sowie innovativen Tools ĂŒber Social Engineering ĂŒberrollt. Diese Attacken haben Tausende von Nutzern ihre vertraulichen Daten und sogar die persönlichen Informationen gekostet.
• Die Ausnutzung von SicherheitslĂŒcken und Exploits wird weitergehen. Obwohl die Zahl der ausgenĂŒtzten SicherheitslĂŒcken, ĂŒber die berichtet wurde, rĂŒcklĂ€ufig war, haben die Kriminellen weiter eine ganze Reihe von Exploit-Angriffen gestartet. Die drei am hĂ€ufigsten ausgenĂŒtzten SicherheitslĂŒcken — VE-2011-3402, CVE-2011-3544 und CVE-2011-3414 – betrafen Produkte von drei der Top fĂŒnf Anbieter, nĂ€mlich Microsoft, Oracle und Adobe.
• Es wird neue Infektionen mit alter Malware geben und der kriminelle Untergrund wird sich konsolidieren. Traditionelle Bedrohungen haben auch 2011 Nutzer großen Schaden zugefĂŒgt. Als Mittel, um an Daten, Geld oder IdentitĂ€ten heranzukommen, nutzen sie neue und bessere Werkzeuge und infizieren damit die Systeme und GerĂ€te unwissender Nutzer.

Die Sicherheitsforscher haben zwar Hacktivismus fĂŒr 2011 nicht prognostiziert, doch es gab eine ganze Reihe an Masseninfektionen durch AntiSec- und LulzSec-Angriffe. Hacktivistengruppen waren bei ihren Angriffen unter anderem auch politisch motiviert.
Doch insgesamt war 2011 kein so schlechtes Jahr, denn es gab auch Erfolge im Kampf gegen CyberkriminalitĂ€t. In enger Zusammenarbeit mit Partnern und den Behörden stand Trend Micro an vorderster Front in der Aktion „Operation Ghost Click“, bei der der bislang grĂ¶ĂŸte cyberkriminelle Ring ausgeschaltet wurde.
Weitere Einzelheiten zu den SicherheitsvorfĂ€llen im vergangenen Jahr finden sich im Report “A Look Back at 2011: Information Is Currency”.

Bereits im August 2011 hatte Trend Micro in einer Infografik „Snapshot of Android Threats“ die erhebliche Steigerung in der Zahl der mit Trojanern infizierten Android Apps wie auch sonstige Malware fĂŒr Android-Plattformen aufgezeigt. Auch in den „12 Security Predictions For 2012“ stellte der Sicherheitsspezialist fest, dass vor allem Android Smartphone- und Tablet-Plattformen zum Ziel vermehrter krimineller Angriffe werden.

Die stÀndige Beobachtung dieser Gefahr zeigte schnell, dass das Problem mit alarmierender Schnelligkeit zunimmt: Von einer Handvoll bösartiger Apps zu Beginn des Jahres schoss die Zahl bis zum Dezember auf mehr als tausend bösartiger Android-Apps hoch. Die durchschnittliche Wachstumsrate in der zweiten JahreshÀlfte 2011 betrug mehr als 60 Prozent.

Nehmen die Angriffe in diesem Jahr mit der gleichen Geschwindigkeit zu, so wird es sicherlich ein „aufregendes“ Jahr fĂŒr Android. Dann wird es im Dezember mehr als 120.000 bösartige Android-Apps geben.

Es gibt mehrere Faktoren, die dieses explosive Wachstum verursachen:

• Die steigende Beliebtheit von Android, dokumentiert durch die Gesamtzahl der heruntergeladenen Apps (mehr als zehn Milliarden ĂŒber den offiziellen Android Market) und enorm hohe Nutzerzahl, die Gartner und auch Andy Rubin, Senior Vice President of Mobile von Google feststellen.
• Die Offenheit des Vertriebsmodells der Android-Apps. Anders als bei weiteren mobilen Betriebssystemen können Nutzer Anwendungen installieren, ohne dabei einen Filterungsprozess zu durchlaufen. Die Gefahr, eine bösartige App zu installieren, erhöht sich damit deutlich.
• Die kriminelle Denkweise: Bad Guys greifen dort an, wo das Geld ist.

Android Malware ist definitiv hier um auch 2012 zu bleiben.

Hier finden Sie Tipps & Lösungen, um Android GerĂ€te zu schĂŒtzen:

• 5 einfache Schritte zum Schutz Ihrer Android-basierten Smartphones
• Mobile Security Personal Edition – intelligenter Schutz fĂŒr Android gerĂ€te inklusive App-Scanner

Wer ein kostengĂŒnstiges iPhone 4S bei eBay kaufen will, sollte vorsichtig sein. Cyberkriminelle könnten Interessierte dazu verleiten, ihre Online-Finanzdaten preiszugeben. Trend Micro hat einen Phishing-Angriff auf potenzielle KĂ€ufer von iPhones 4S bei eBay entdeckt.

Der Angriff nutzt DomĂ€nen, die betrĂŒgerische Kopien von eBay-Angeboten fĂŒr solche GerĂ€te umfassen. Folgender Screenshot zeigt ein Beispiel einer gefĂ€lschten Seite und dazu das originale eBay-Angebot, dessen Inhalt kopiert wurde.

Es gibt Unterschiede zwischen den beiden Seiten. Beispielsweise ist der Preis im echten Angebot in Dollar angegeben, wĂ€hrend die FĂ€lschung Euro anzeigt. Auch ist der Preis in der FĂ€lschung bedeutend niedriger. Die Kriminellen nutzen fĂŒr ihre Zwecke das Angebot eines VerkĂ€ufers mit einer guten Reputation, um das Vertrauen von potenziellen Opfern zu gewinnen.

Die gefĂ€lschten Seiten werden auf DomĂ€nen gehostet, die /www.ebay.ie/ enthalten, um den Anschein einer echten eBay-DomĂ€ne zu erwecken. Alle Links fĂŒhren auf die echte Seite, ausgenommen natĂŒrlich “Buy It Now“. Dieser Button fĂŒhrt zu einer gefĂ€lschten Login-Seite, wo der Nutzer seine persönlichen Daten angeben muss.

Danach wird der Nutzer auf eine andere Seite weitergeleitet, auf der er aufgefordert wird, den VerkĂ€ufer ĂŒber E-Mail zu kontaktieren, damit die Transaktion abgeschlossen werden kann.

Dies ist sicherlich nicht die Art und Weise, wie Verkaufstransaktionen bei eBay ablaufen, sondern ein Betrugsversuch, um an das Geld und die persönlichen Informationen der Opfer zu kommen. Und es ist nicht der einzige Angriff wÀhrend der Weihnachtszeit. Kriminelle setzen auch gefÀlschte elektronische Weihnachtskarten oder soziale Netzwerke ein, um Malware zu verbreiten.

Weitere Informationen liefert das E-Book “Season’s Warnings” und „Sicheres Online-Shopping leicht gemacht“.

Das KOOBFACE-Botnetz ist dafĂŒr berĂŒchtigt, mit dem Pay-per-Install (PPI) und Pay-per-Click (PPC)-GeschĂ€ftsmodell Geld zu machen. Allein 2009 verdiente die Bande mehr als zwei Millionen US-Dollar. Doch das scheint nicht genug gewesen zu sein, denn die Kriminellen rĂŒsteten ihr Botnetz-Framework mit einem ausgeklĂŒgelten Traffic Direction System (TDS) auf, das den Internet-Verkehr auf von ihnen angegebene Sites lenkt. DarĂŒber hinaus fĂŒgten sie neue Komponenten hinzu, um die Menge des Internetverkehrs in Richtung ihres TDS zu steigern. TDS lenkt den Verkehr hauptsĂ€chlich auf Werbeseiten um, wofĂŒr die Kriminellen nach Anzahl der Clicks bezahlt werden. Folgende Schautafel zeigt die Schritte, ĂŒber die TDS den Kriminellen Geld in die Kasse spĂŒlt:

1. Erzeugen und Registrieren von E-Mail-Adressen: Nachdem KOOBFACE nicht lĂ€nger automatisch Google-Konten fĂŒr die bösartigen AktivitĂ€ten erzeugen kann, sind die Kriminellen nun auf Yahoo! Mail-Konten umgestiegen, um so die benötigten Google-Konten zu kreieren.
2. Erzeugen von Konten in sozialen Netzwerken: Die von KOOBFACE generierten E-Mail-Adressen werden dafĂŒr genutzt, um sich bei sozialen Netzwerken wie Twitter, Tumblr, FriendFeed3, FC24, livedoor5, So-net6 und Blogger anzumelden. Einige Konten wurden auch in altervista.org7 generiert. Die vom Botnetz erzeugten DomĂ€nen der Blog-Konten enthielten Wörter wie „news“ oder „2011 news“.
3. Bilder sammeln: Das Botnetz wurde auch um eine neue binĂ€re Komponente angereichert, die vor allem pornografische Bilder, Fotos von BerĂŒhmtheiten, Hochzeiten, Tattoes und Autos sowie Hintergrundbilder von Googles Image-Suche sammelt. Diese nutzen die Kriminellen dann in ihren Blog-Veröffentlichungen.
4. Erstellen von Blog-Veröffentlichungen: Die Bande missbraucht beliebte japanische Blogging-Plattformen wie FC2, Livedoor, So-net, Jugem und Cocolog. Daneben nutzen sie aber auch die bewĂ€hrte Google Blogger-Site mithilfe einer darauf zugeschnittenen Schadsoftware-Komponente, die Blog-Konten generiert, wĂ€hrend andere Inhalte oder Veröffentlichungen von dem Proxy C&C-Server abzieht. Diese Posts werden automatisch auf die Zielplattformen hochgeladen. Sie enthalten Bilder, Links und SchlĂŒsselwörter, die dem SEO-Ranking der entsprechenden Sites zutrĂ€glich sind. ZusĂ€tzlich verbergen sie auch JavaScript-Code, der auf die TDS-DomĂ€ne des Botnetzes weist. So kann das TDS die Zahl der Besuche der einzelnen Blog-Veröffentlichungen nachverfolgen und die Besucher auf die gewĂŒnschten Sites umlenken. Das Botnetz verdient Geld mit den Umlenkungen und der Anzahl der Clicks der Opfer wĂ€hrend des Lesens der Veröffentlichungen.
5. Links auf Posts mit möglichst vielen teilen: Die Bande erhöht den Verkehr zu den bösartigen Blog-Veröffentlichungen auch, indem sie aktiv SchlĂŒsselwörter dazu im Web verteilt und besagte Posts ĂŒber soziale Netzwerke bewirbt.

Mit TDS hat KOOBFACE ein exzellentes Mittel gefunden, um Star-Fans, Online-Daters, gelegentliche Porno-Surfer oder Autofans effizient anzusprechen und sie fĂŒr ihre Zwecke einzuspannen.

Die KOOBFACE-Bande ist immer noch aktiv und wird auch weiterhin ihre Opfer suchen. Deren Zielplattformen sollten deshalb ihre Sicherheitsmaßnahmen verstĂ€rken, um durch Bots automatisierte Interaktion zu unterbinden.

Die Nutzer ihrerseits sind gut beraten, Sicherheitslösungen zu implementieren, die vor solchen Gefahren schĂŒtzen können. Trend Micros Smart Protection Network schĂŒtzt die Anwender auch vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur mittels des Email Reputation Service die Spam-Nachrichten blockiert, noch bevor sie die Inbox des Nutzers erreichen. Der Web Reputation Service wiederum verhindert den Zugriff auf bösartige Sites und DomĂ€nen, die Malware-infizierte Dateien enthalten.

Eine Alternative wĂ€re, einen Webbrowser einzusetzen, der die mögliche AusfĂŒhrung von JavaScript-Code verhindert. Das Problem dabei ist, dass damit auch „gutartiger“ Code von legitimen Websites blockiert wird.

Weitere Informationen zu den KOOBFACE-Strategien enthĂ€lt das Whitepaper “More Traffic, More Money: KOOBFACE Draws More Blood”.

Hektik und mĂŒde Augen bei den letzten Online-WeihnachtseinkĂ€ufen können Shoppern zum VerhĂ€ngnis werden. Kriminelle warten nĂ€mlich nur darauf, dass KĂ€ufer Tippfehler bei den Adressen machen, und haben bereits Tausende falsch geschriebene Versionen von beliebten Online-Shop-Adressen, wie John Lewis, Debenhams und andere, registrieren lassen.

Quelle: Joe Shlabotnik’s Flickr stream

Diese kriminellen Websites sind hĂ€ufig gut gemachte Kopien der legitimen Sites, die gefĂ€lschte Ware anbieten, den Besucher auf Werbe-Links umleiten (fĂŒr die die Kriminellen bezahlt werden) oder persönliche Informationen abgreifen, falls es zu einem „Einkauf“ kommt. Andere falsch geschriebene DomĂ€nennamen fĂŒhren zu anstĂ¶ĂŸigen Inhalten oder auf Websites, die Schadcode enthalten, der das System des Opfers infiziert und es sogar in ein Botnet eingliedern kann.

Das so genannte Typosquatting gibt es schon lang, und die US-Behörden versuchen bereits seit 1999, mithilfe des Anticybersquatting Consumer Protection Act (Paragraf 3) gegen diese kriminellen AktivitÀten vorzugehen. Auch haben einige Unternehmen, so zum Beispiel Lego, schon viel Geld ausgegeben, um Cybersquatter vor Gericht zu bringen.

Doch bei der derzeitigen Typosquatting-Welle geht es nicht allein um DomĂ€nennamen, die Bezeichnungen beliebter Marken einschließen. Diesmal setzen die Kriminellen eher darauf, dass Nutzer nicht auf Details achten. In der Hitze des Gefechts beim Suchen nach den letzten Weihnachtsgeschenken merken nĂ€mlich viele nicht, ob sie etwa auf der legitimen Website debenhams.com einkaufen oder sich auf der gefĂ€lschten debanhams.com befinden.

Zwar versuchen die Behörden immer wieder, diese gefĂ€lschten Online-Shops zu ahnden und zu schließen, doch geht es dabei eher wie beim Blindekuh-Spielen zu. Die bösen Buben haben enorme Reserven an registrierten DomĂ€nennamen, und wenn eine Website geschlossen wird, so aktivieren sie einfach eine nĂ€chste.

Das Problem liegt unter anderem darin, dass viel zu viele DNS-DomĂ€nen, einschließlich .co.uk und die vieler anderer LĂ€nder, als „offene“ DomĂ€nen gehandhabt werden. Die britische Registrierungsstelle Nominet etwa erklĂ€rt: „Wir haben keinerlei EinschrĂ€nkungen im Status eines Bewerbers fĂŒr die Registrierung eines Domain Names in den folgenden Second Level Domains („Open SLD“): 1. 4.4.1 .co.uk; oder 2. 4.4.2 .org.uk.“ Und an anderer Stelle: „Wir verbieten keine Bewerbungen und unternehmen nichts gegen Registrierungen, die nicht der SLD Charter entsprechen.“

Nicht anders handhaben die Registrierungsstellen anderer EU-Staaten die Bewerbungen. Nun, solange die Gesetzgebung nicht verschÀrft und die internationale Zusammenarbeit verbessert wird, können auch die Aktionen von Behörden lediglich Symptome behandeln und nicht die Ursache.

Deshalb kann der Autor den Nutzer nur eindringlich empfehlen, vor jedem Klick genau hinzuschauen und fĂŒr die eigenen beliebtesten Online-Shops Lesezeichen zu erstellen, statt jedes Mal die URL per Hand neu einzugeben. FĂŒnf weitere Empfehlungen fĂŒr den Online-Einkauf finden Interessierte in „Sicheres Online-Shopping leicht gemacht“.

Vor ein paar Tagen hatte der britische Online-Nachrichtendienst The Register darĂŒber berichtet, dass die Google-Sicherheitsfachleute eine Reihe von manipulierten Smartphone-Spielen aus dem Android Market entfernt hatten. Sie enthielten eine Schadsoftware (die Trend Micro als ANDROIDOS_RUFRAUD.A identifiziert hat), welche unbemerkt Textnachrichten an Bezahldienste schickte.

Diese akute Gefahr ist zwar beseitigt, doch sollten die Android-Nutzer auch weiterhin besondere Vorsicht walten lassen, vor allem in Anbetracht des von Google ausgeschriebenen „10-Cent“-Angebots zur Feier der erreichten zehn Milliarden Downloads.

Ein paar Hinweise zur sicheren Installation und Nutzung von Apps können hier von großer Hilfe sein:

Nutzer sollten sich die Autoren beliebter Spiele merken

Cyberkriminelle nutzen die PopularitĂ€t bestimmter Apps und versuchen diese nachzumachen. Doch da sie nicht als Originalentwickler auftreten können, dient dessen Namen als Hinweis auf die Echtheit einer App. Beispielsweise weist die Android Market-Seite fĂŒr Angry Birds Rovio Mobile als Autor des Spiels aus, wĂ€hrend die gefĂ€lschte als Autor Logastroid angibt.

Anwender können auch das Profil des Entwickler prĂŒfen. Zudem bietet Google Entwickler-Ratings und den Status “Editor’s Choice” als weitere Hinweise auf die LegitimitĂ€t eines Entwicklers an.

Das Gleiche gilt auch fĂŒr andere Informationen auf der Webseite einer App, etwa der Icon und Name. Fehlt ein Element, so sollte die App lieber nicht heruntergeladen werden.

Beurteilungen und Anzahl der Besprechungen sind ein guter Hinweis

Beurteilungen von Apps und das Feedback der Nutzer liefert eine genauere Einsicht in die Erfahrung anderer mit einer bestimmten App. Diese Informationen finden sich unter dem App Icon.

Neben den qualitativen Aussagen ĂŒber eine App ist auch die Anzahl der Beurteilungen ein gutes Indiz, denn weit verbreitete Apps erhalten naturgemĂ€ĂŸ auch mehr Feedback. Ist die Zahl der Beurteilungen auffallend niedrig, so handelt es sich wahrscheinlich um eine FĂ€lschung – dies fĂŒhrte auch jĂŒngst zur Enttarnung der bösartigen Apps im Android Market.

 Recherche auf anderen Websites bringt Gewissheit

 Neben den eigenen Webseiten von Android Market liefern auch andere Besprechungen zu Android-Apps und damit mehr Möglichkeiten der EchtheitsprĂŒfung.

Diese weiter gehende Recherche ist auch deshalb wichtig, weil die Kriminellen alles tun, um Nutzer auch beim Feedback zu tĂ€uschen. Sie können selbst irrefĂŒhrende Besprechungen veröffentlichen und Ratings, um den Nutzer bezĂŒglich der Echtheit einer App zu tĂ€uschen.
Die rot eingekreiste Besprechung ist eine FĂ€lschung fĂŒr eine bösartige App, die blau umrandete stammt von einem echten Anwender.

ZusĂ€tzlich zu obigen Empfehlungen gibt es weitere Möglichkeiten, um Android-GerĂ€te zu sichern. Weitere Informationen und Empfehlungen liefert der Kommentar „Spielend einfach: In vier Schritten zu mehr Sicherheit bei Android“ und die Re unter „Mobile Threat Information Hub“.

OpenDNS hat ein Vorschau-Release auf das neue Tool DNSCrypt veröffentlicht und es als großen Schritt hin zu Vertraulichkeit und Sicherheit im Internet bezeichnet. Dahinter steckt das einfache Konzept, den gesamten DNS-Verkehr zwischen dem Nutzer und dem rekursiven Resolver zu verschlĂŒsseln. So gut die Idee auch sein mag, sie trifft den Kern des Problems nicht.

Dem Dienst zufolge stellt der Code die erste tatsĂ€chliche Implementierung des DNSCurve-Schemas dar. Ziel des Ganzen sei es, den Datenschutz und die AuthentizitĂ€t einer gesamten DNS-Transaktion zu gewĂ€hrleisten. Doch so einfach ist dies nicht, denn eine verschlĂŒsselte HĂŒlle um ein vorhandenes Protokoll zu legen, reicht nicht aus, um mehr Sicherheit zu erreichen. Man muss das gesamte Ökosystem im Blick haben. Die DNS-Abfrage eines Nutzers ist zwar privat und fĂŒr andere in demselben Netzwerk unsichtbar – doch eben nur dort. Das Problem beginnt ein paar Millisekunden, nachdem der User das Ergebnis erhĂ€lt: Die Vertraulichkeit durch den verschlĂŒsselten DNS-Verkehr verflĂŒchtigt sich nĂ€mlich, sobald der Browser seine Anfrage an den Server stellt. Ein Angreifer, der den DNS-Verkehr des Nutzers sehen kann, wird höchstwahrscheinlich auch Einsicht in weitere Formen des Datenverkehrs haben.

Wer sich mehr um die AuthentizitĂ€t der Daten als um die Vertraulichkeit sorgt, hat bessere Möglichkeiten diese sicherzustellen. DNSSEC (DNS Security Extensions) steht dafĂŒr bereit. Ein großer Vorteil dieser IETF-Spezifikation besteht darin, dass DNSSEC fĂŒr manche Top Level Domains die Ergebnisse bis zur Root authentifizieren kann. Laut den DNSCrypt Frequently Asked Questions bei OpenDNS arbeiten die beiden Techniken perfekt zusammen.

Als interessanter Nebeneffekt leitet DNSCrypt mehr Verkehr an die OpenDNS-Infrastruktur. Zwar haben sie den Client-Code unter Open Source gestellt, doch derzeit besitzen sie die einzige funktionierende Server-Implementierung. Ist die Sorge darĂŒber, dass ein ISP im DNS-Verkehr seiner Nutzer schnĂŒffelt, bei OpenDNS weniger berechtigt?

Falls ein Nutzer den Verdacht hegt, jemand schnĂŒffelt in seinen Datenpaketen und verfolgt somit seine Internet-AktivitĂ€ten, gibt es das quelloffene Programm Tor zur Anonymisierung von Verbindungsdaten oder andere VPN/Proxy-Dienste.