Gestern hat die für Cyberkriminalität zuständige Abteilung der Polizei in Kyoto laut eigenen Angaben sechs Personen festgenommen, die der Erstellung und Verwendung von One-Click-Betrugsprogammen verdächtigt werden. Den ersten Berichten zufolge sollen sie damit etwa 12 Millionen japanische Yen (148.000 Dollar) erbeutet haben.

Mit dem One-Click Billing-Betrugsschema werden Opfer dazu verleitet, sich bei bestimmten Diensten zu registrieren und dafür zu zahlen, nachdem sie auf eine gewisse Website geleitet wurden.
Der polizeilichen Ankündigung nach setzten die Verdächtigen bösartige Programme ein, die sie unter Nutzern verbreiteten. Besuchten die Opfer bestimmte Websites, einschließlich solcher mit Pornoinhalten, und wollten über den „Play“-Button ein Video abspielen, so wurde stattdessen eine Datei ausgeführt. Es gibt 118 bestätigte Sites, die für One-Click Billing-Betrug genutzt werden. Weitere Einzelheiten hat die Polizei nicht genannt, doch Trend Micro arbeitet mit der Abteilung in Kyoto zusammen, um das bei diesem Angriff genutzte Programm zu analysieren.

Eine Suchanfrage bei Google ergab eine Trefferquote von einer Million Seiten, auf denen über diesen Schädling gesprochen wird. Ein Grund für die aktuelle Beliebtheit dieses Betrugsschemas liegt darin begründet, dass Dateien in One-Click-Ware einfach zu modifizieren sind, um so von Sicherheitsprogrammen nicht entdeckt zu werden. Herkömmliche Sicherheitssoftware, die sich auf Pattern-Technologie verlässt, hat es schwer, in diesem Spiel zu punkten. Cyberkriminelle müssen lediglich ein paar Zeilen im Code ändern und schon können diese AV-Lösungen die Programme nicht mehr erkennen.

Neue Techniken wie Reputationsdienste aus der Cloud beispielsweise in Trend Micros Smart Protection Network sind hier sehr hilfreich.

Das Jahr 2011 brachte sowohl Herausforderungen als auch Erfolge nicht nur für Trend Micro, sondern auch für die anderen Sicherheitsanbieter und die behördlichen Mitstreiter im Kampf gegen Cyberkriminalität. 2011 wurde, wie von unseren Sicherheitsforschern vorhergesehen, zum „Jahr der Dateneinbrüche“. Weltweit wurden Unternehmen Opfer von gezielten Einbruchsangriffen und erlitten hohe Datenverluste, der neuen digitalen Währung.
Als Vorbereitung auf das kommende Jahr lohnt es sich, einen Blick auf die von Trend Micro getätigten Vorhersagen zu werfen und auf das, was tatsächlich eingetreten ist.

• Es wird mehr zielgerichtete Angriffe und Cyberspionage geben. Wie prognostiziert, wurden weltweit einige Unternehmen Opfer von zielgerichteten Angriffen, die sie teuer zu stehen kamen. RSA und Sony PlayStation – zwei der größten Angriffsziele 2011 – verloren Millionen Kundendaten und mussten Riesensummen aufbringen, um den Schaden zu beheben.
• Es wird mehr Angriffe auf mobile Geräte geben. Der enorme Anstieg der Android-Malware hat die Reife der mobilen Bedrohungslandschaft begünstigt. Mit Trojanern infizierte und andere Arten von bösartigen Android-Apps haben nicht nur die App Stores von Drittanbietern verseucht, sondern auch den Android Market selbst. Die prominentesten Schädlingsfamilien 2011 waren RuFraud- und DroidDreamLight-Varianten.
• Ausgeklügelte Malware-Kampagnen werden zunehmen. Cyberkriminelle haben weltweit Nutzer von sozialen Netzwerken mit noch mehr Aufsehen erregenden Spam- und Betrugsangriffen sowie innovativen Tools über Social Engineering überrollt. Diese Attacken haben Tausende von Nutzern ihre vertraulichen Daten und sogar die persönlichen Informationen gekostet.
• Die Ausnutzung von Sicherheitslücken und Exploits wird weitergehen. Obwohl die Zahl der ausgenützten Sicherheitslücken, über die berichtet wurde, rückläufig war, haben die Kriminellen weiter eine ganze Reihe von Exploit-Angriffen gestartet. Die drei am häufigsten ausgenützten Sicherheitslücken — VE-2011-3402, CVE-2011-3544 und CVE-2011-3414 – betrafen Produkte von drei der Top fünf Anbieter, nämlich Microsoft, Oracle und Adobe.
• Es wird neue Infektionen mit alter Malware geben und der kriminelle Untergrund wird sich konsolidieren. Traditionelle Bedrohungen haben auch 2011 Nutzer großen Schaden zugefügt. Als Mittel, um an Daten, Geld oder Identitäten heranzukommen, nutzen sie neue und bessere Werkzeuge und infizieren damit die Systeme und Geräte unwissender Nutzer.

Die Sicherheitsforscher haben zwar Hacktivismus für 2011 nicht prognostiziert, doch es gab eine ganze Reihe an Masseninfektionen durch AntiSec- und LulzSec-Angriffe. Hacktivistengruppen waren bei ihren Angriffen unter anderem auch politisch motiviert.
Doch insgesamt war 2011 kein so schlechtes Jahr, denn es gab auch Erfolge im Kampf gegen Cyberkriminalität. In enger Zusammenarbeit mit Partnern und den Behörden stand Trend Micro an vorderster Front in der Aktion „Operation Ghost Click“, bei der der bislang größte cyberkriminelle Ring ausgeschaltet wurde.
Weitere Einzelheiten zu den Sicherheitsvorfällen im vergangenen Jahr finden sich im Report “A Look Back at 2011: Information Is Currency”.

Betrüger zielten bislang mit ihrem Schema des so genannten One-Click Billing auf Smartphone-Nutzer. Jetzt gibt es ein ähnliches Betrugsmuster, dass speziell auf Android-Nutzer ausgerichtet ist.

Bei einem One-Click Billing-Betrug versuchen die Kriminellen, ihre Opfer dazu zu verleiten, sich für einen bestimmten Dienst anzumelden und dafür zu zahlen, indem sie sie auf manipulierte Webseiten locken. Beim letzten von Trend Micro aufgedeckten Angriff wurden die Opfer aufgefordert, eine bestimmte Summe zu zahlen, um zu verhindern, dass ihre Informationen an eine Pornoseite weitergeleitet werden.
Die Sicherheitsexperten haben nun einen ähnlichen Angriff über eine bösartige App auf Android-Nutzer entdeckt. Der Angriff wird von einer Blog-Site ausgelöst, auf der Spiele-Videos enthalten sind. Der Blog namens „Game Dunga“ hat bereits dreimal die Domain gewechselt. In früheren Versionen gab es eine Menge Links, die auf Spiele-Videos (nicht nur Pornoinhalte) führten. Die aktuelle, dritte Generation jedoch enthält nur Links, die auf Pornoinhalte zeigen.

Beim Versuch, ein Video anzuschauen, wird ein Pop-up-Fenster geöffnet mit der Aufforderung, eine App herunterzuladen, die Trend Micro als bösartig (ANDROIDOS_FAKETIMER.A) erkannt hat. Der Schädling sammelt die Kontoinformationen des Android-Nutzers und leitet sie an eine bestimmte URL weiter, als Parameter für die folgenden Methoden:
•    getAccounts() method – sammelt Gmail-Kontoinformationen, die von dem Gerät des betroffenen Nutzers verwaltet warden.
•    getDeviceID() method – sammelt die SIM-Daten des betroffenen Geräts.
•    getLine1Number() method – sammelt die Mobilnummer des Geräts.

Die auf diese Weise erhaltenen Daten werden an die Cyberkriminellen weitergeleitet. Auch zeigt ANDROIDOS_FAKETIMER.A ein Pop-up-Fenster an mit der Nachricht: „Wir haben ihre Zahlung nicht erhalten. Aus diesem Grund müssen wir gemäß unserer Richtlinien eine Strafgebühr erheben für den Fall, dass Sie nicht gezahlt haben.“

Darüber hinaus zeigt der Schädling die gestohlenen Informationen an, um Vertrauen beim Nutzer aufzubauen und ihn zur Zahlung zu bewegen.

Die Einbindung einer App in diesen Betrug verleiht dem Schema eine bis dahin nicht vorhandene Persistenz. In der Vergangenheit wurden die Routinen hauptsächlich über eine infizierte Website ausgeführt und somit endete der Angriff, wenn ein Opfer den Browser schloss. Nun aber, da eine auf einem Gerät installierte App dafür verantwortlich ist, wird der Nutzer wiederholte Male zur Zahlung aufgefordert. Eine Codeanalyse zeigte, dass das Pop-up auf ein Zeitintervall von fünf Minuten gesetzt war.

Nutzer, die auf ähnliche Sites stoßen, sind gut beraten, die Seite sofort zu verlassen, ohne einen Link anzuklicken. Trend Micros Smart Protection Network schützt die Anwender vor dieser Art von Angriffen, den der Web Reputation-Dienst erkennt die bösartigen Seiten und blockiert die entsprechenden URLs. Weitere Informationen zu anderen mobilen Gefahren und auch Tipps für die Sicherheit der Geräte gibt es im Mobile Threat Information Hub.

Hektik und müde Augen bei den letzten Online-Weihnachtseinkäufen können Shoppern zum Verhängnis werden. Kriminelle warten nämlich nur darauf, dass Käufer Tippfehler bei den Adressen machen, und haben bereits Tausende falsch geschriebene Versionen von beliebten Online-Shop-Adressen, wie John Lewis, Debenhams und andere, registrieren lassen.

Quelle: Joe Shlabotnik’s Flickr stream

Diese kriminellen Websites sind häufig gut gemachte Kopien der legitimen Sites, die gefälschte Ware anbieten, den Besucher auf Werbe-Links umleiten (für die die Kriminellen bezahlt werden) oder persönliche Informationen abgreifen, falls es zu einem „Einkauf“ kommt. Andere falsch geschriebene Domänennamen führen zu anstößigen Inhalten oder auf Websites, die Schadcode enthalten, der das System des Opfers infiziert und es sogar in ein Botnet eingliedern kann.

Das so genannte Typosquatting gibt es schon lang, und die US-Behörden versuchen bereits seit 1999, mithilfe des Anticybersquatting Consumer Protection Act (Paragraf 3) gegen diese kriminellen Aktivitäten vorzugehen. Auch haben einige Unternehmen, so zum Beispiel Lego, schon viel Geld ausgegeben, um Cybersquatter vor Gericht zu bringen.

Doch bei der derzeitigen Typosquatting-Welle geht es nicht allein um Domänennamen, die Bezeichnungen beliebter Marken einschließen. Diesmal setzen die Kriminellen eher darauf, dass Nutzer nicht auf Details achten. In der Hitze des Gefechts beim Suchen nach den letzten Weihnachtsgeschenken merken nämlich viele nicht, ob sie etwa auf der legitimen Website debenhams.com einkaufen oder sich auf der gefälschten debanhams.com befinden.

Zwar versuchen die Behörden immer wieder, diese gefälschten Online-Shops zu ahnden und zu schließen, doch geht es dabei eher wie beim Blindekuh-Spielen zu. Die bösen Buben haben enorme Reserven an registrierten Domänennamen, und wenn eine Website geschlossen wird, so aktivieren sie einfach eine nächste.

Das Problem liegt unter anderem darin, dass viel zu viele DNS-Domänen, einschließlich .co.uk und die vieler anderer Länder, als „offene“ Domänen gehandhabt werden. Die britische Registrierungsstelle Nominet etwa erklärt: „Wir haben keinerlei Einschränkungen im Status eines Bewerbers für die Registrierung eines Domain Names in den folgenden Second Level Domains („Open SLD“): 1. 4.4.1 .co.uk; oder 2. 4.4.2 .org.uk.“ Und an anderer Stelle: „Wir verbieten keine Bewerbungen und unternehmen nichts gegen Registrierungen, die nicht der SLD Charter entsprechen.“

Nicht anders handhaben die Registrierungsstellen anderer EU-Staaten die Bewerbungen. Nun, solange die Gesetzgebung nicht verschärft und die internationale Zusammenarbeit verbessert wird, können auch die Aktionen von Behörden lediglich Symptome behandeln und nicht die Ursache.

Deshalb kann der Autor den Nutzer nur eindringlich empfehlen, vor jedem Klick genau hinzuschauen und für die eigenen beliebtesten Online-Shops Lesezeichen zu erstellen, statt jedes Mal die URL per Hand neu einzugeben. Fünf weitere Empfehlungen für den Online-Einkauf finden Interessierte in „Sicheres Online-Shopping leicht gemacht“.

Nachdem die schlimmsten Gefahren bereits beschrieben wurden, folgen nun weitere fünf Szenarien, die mithilfe der neuen Funktionalität von HTML5 denkbar sind.

• Clickjacking einfach gemacht: Clickjacking an sich ist keine neue Angriffsmethode. Ihr Ziel ist, effizient Mausclicks zu stehlen und sie an eine andere, vom Angreifer angegebene Seite umzuleiten. Damit klickt das Opfer, ohne es zu wissen, auf einen versteckten Link. Die derzeit beste Gegenmaßnahme auf Seiten des Servers besteht im so genannten Framekilling. Im Prinzip geht es dabei darum, dass eine betroffene Site mithilfe von JavaScript prüfen kann, ob sie in einem iframe läuft und wenn ja, sich nicht mehr anzeigen lassen. Facebook, Gmail und andere nutzen diese Technik bereits. HTML5 nun ist um ein neues Sandbox-Attribut für iframes erweitert worden, das JavaScript stoppt. In vielen Fällen ist dies sinnvoll für ein sicheres Setup, doch die Kehrseite bedeutet auch, dass der aktuelle Schutz gegen Clickjacking damit nicht mehr funktioniert.
• Port Scanning mit Cross Origin Requests oder WebSockets: Mit HTML5 kann ein Browser sich nun mit jeder IP-Adresse oder Site über nahezu jeden Port verbinden. Der Browser kann jedoch die Antwort auf diese Verbindung nicht lesen, ohne dass dies von der Ziel-Site ausdrücklich erlaubt wird. Forscher haben aber bereits gezeigt, dass die Zeit, die eine Anfragebearbeitung benötigt, dazu genutzt werden kann, um festzustellen, ob der Ziel-Port offen ist. Damit kann der Angreifer Ports des lokalen Netzwerks eines Opfers direkt aus dem Browser scannen.
• Social Engineering mit Webbenachrichtigungen: Webbenachrichtigungen gehören zu den neuen Fähigkeiten in HTML5. Diese Popup-Fenster, die außerhalb des Browser erscheinen, lassen sich mit HTML beliebig anpassen, um eine ausgefeilte Interaktion aufzusetzen. Andererseits sind die Popups auch eine Goldgrube für Social Engineering-Angriffe wie Phishing oder FAKEAV. Das Bild vermittelt eine Vorstellung davon, was Angreifer mit der Funktionalität anstellen können:
  
  
• Verfolgen von Opfern mit Geolocation: Geolokalisierung ist die meisten beachtete neue Funktionalität in HTML5. Aus Sicherheits- und Datenschutzgründen muss eine Site immer die Bewilligung des Nutzers einholen, bevor sie auf diese Informationen zugreift. Doch hat die Erfahrung mit Funktionalität wie Vistas User Access Control, Androids Anwendungsberechtigungen und ungültigen HTTPS-Zertifikaten gezeigt, dass Sicherheit auf Grundlage von Nutzerentscheidungen nur selten funktioniert. Sobald die Erlaubnis erteilt ist, kann die Site nicht nur den Standort des Opfers bestimmen, sondern auch die Bewegung des Opfers in Echtzeit nachvollziehen.
• Verfälschen von Formularen: Eine weitere neue Funktionalität erlaubt es Angreifern, die JavaScript-Code in eine Site eingefügt haben (etwa über einen XSS-Angriff), das Verhalten der Formulare auf der Seite zu ändern. Beispielsweise kann ein Angreifer ein Formular in einem Online Shop so ändern, dass dieses statt Inhalte oder Login-Daten an die Einkaufsseite zu übermitteln, diese Informationen an die Site der Kriminellen übermittelt.

In dem ausführlichen Whitepaper HTML5 Overview: A look at HTML5 Attack Scenarios finden Interessierte alle Informationen zu den Neuerungen in HTML5 und auch den damit einhergehenden Gefahren.

Letzte Woche kündigte Mozilla die neue Version 8 des Firefox-Browsers an mit einem der bislang bedeutendsten Sicherheits-Updates. Auf der anderen Seite jedoch könnte die neue Twitter-Einbindung in den Browser neue Gefahren für die Nutzer bringen.

In den vergangenen Monaten hatte Mozilla eine neue Update-Strategie für den Browser eingeführt: Statt Jahr für Jahr eine komplett überarbeitete Version der Software zu veröffentlichen, kommen die neuen Releases immer häufiger, und zwar alle sechs Wochen, und umfassen nur kleinere Verbesserungen. So kommt es, dass es seit März 2011 bereits fünf neue Versionen von Firefox gegeben hat. Ziel dieser Arbeitsweise – die übrigens auch Google mit dem Chrome-Browser anwendet — ist es, den Nutzern neue Funktionalität schneller zur Verfügung zu stellen.

Sicherheits-Fixes

In Firefox 8 hat Mozilla sieben Sicherheitslücken beseitigt und eine Funktion eingeführt, die Addons von Drittanbietern standardmäßig deaktiviert. Auch ist Twitter tiefer integriert worden – eine mögliche neue Gefahrenquelle. Vier von den sieben Sicherheits-Updates werden als kritisch eingestuft und drei haben eine hohe Priorität. Mittlerweile bedeutet eine Sicherheitslücke mit der Stufe hohe Priorität, dass ein Datendiebstahl von den aufgerufenen Sites oder Code Injection möglich ist. Eine dieser Lücken betrifft lediglich Mac-Nutzer, und Mozilla behauptet, es sei eher ein OS X-Hardware-Fehler als eine Browser-Lücke. „Schuld an dem Problem ist ein Fehler im Treiber für die Intel GPUs. Das Problem zeigt sich in WebGL-Implementierungen von anderen Anbietern“, erklärt Claus Wahlers von Mozilla.

 Addon Management

Die bemerkenswerteste Änderung in der Software betrifft das Addon Management. Es wurde bereits in der Beta-Version eingeführt und ist nun offiziell in Firefox 8 eingebunden. Die Funktion lässt Nutzern die Wahl, Addons von Drittanbietern mit einzubinden. „Beim Herunterladen von Fremdsoftware kommt es häufig vor, dass ein Addon sich unbemerkt im Browser installiert hat“, stellt Mozilla in einem Blog fest. „Wir sind jedoch der Ansicht, dass Nutzer die Kontrolle über Addons haben sollen. Deshalb lassen wir es nicht länger zu, dass sich Addons ohne Erlaubnis des Nutzers im Browser installieren.“

Die Funktionalität sollte nicht nur die Performance des Browsers verbessern, sondern auch zusätzliche Sicherheit gewähren. Auch wenn die große Mehrheit der Addons von Drittanbietern harmlos ist, so gestaltet sich die Überprüfung dieser Anwendungen immer weniger streng. Damit aber wächst auch die Bedrohung.

 Twitter-Integration

Ein weiteres Highlight der neuen Version stellt die Einbindung von Twitter in die Suchleiste des Browsers dar. Frühere Versionen beinhalteten Google, Yahoo und andere Suchoptionen. Dies ist jedoch das erste soziale Netzwerk, das zu dem Mix hinzukommt. Der Vorteil laut Mozilla: Nutzer können dank der Hashtags und Twitter-Nutzernamen einfacher neue Themen und Twitter-Einträge recherchieren.

Doch Achtung: Twitter ist häufig anonym, und die Tweets enthalten Links auf externe Quellen. Ein Nutzer könnte sorglos einen Link anklicken, der auf eine bösartige Website zeigt, oder auch einen Virus herunterladen. Dies sollten die Browser-Nutzer im Hinterkopf behalten, wenn sie Twitter-Suchläufe starten.

Trotz der bemerkenswerten Verbesserungen in puncto Browser-Sicherheit, bleibt noch viel zu tun – sowohl auf Seiten von Mozilla als auch von den Nutzern. Beispielsweise könnte sich der Hersteller eine Funktionalität von Googles Chrome abgucken: Der Browser kann nämlich bestimmte bösartige oder verdächtige Websites erkennen und den Nutzer davor warnen, bevor dieser weiter geht. Dieses Feature ließe sich etwa auf schädliche Twitter-Einträge anwenden. Nutzer wiederum sollten darauf achten immer die neuesten Versionen ihrer Sicherheitssoftware aufzuspielen.

Diese neue Funktion des Addon-Managements betrifft auch das Plugin von Trend Micro Titanium Maximum Security. In der nächsten Version 5 wird es ein Update für Firefox 8 geben. Die Web Reputation Services im Smart Protection Network funktionieren jedoch auch unabhängig vom Plugin und blocken schädliche URLs.

Trend Micro ist in den letzten Monaten schon des Öfteren auf Malware gestoßen, wie etwa Ice IX und ZeuS 2.3.2.0, die aus dem im Frühjahr öffentlich gewordenen ZeuS-Code hervorgegangen ist. Nun gibt es seit Ende September eine neue Variante, die anscheinend auch auf dem ZeuS-Code beruht. Obwohl es keine Referenz auf eine Versionsnummer gibt, gehen die Sicherheitsforscher davon aus, dass sie von denselben Kriminellen entwickelt wurde, die auch hinter LICAT stehen.

Die derzeitigen Angriffe zielen momentan auf australische Nutzer, doch lässt der Inhalt der entschlüsselten Konfigurationsdatei darauf schließen, dass der Schädling auch in einer weltweiten Kampagne in den USA, Europa und sogar Asien genutzt werden kann.

Die neue Version (TSPY_ZBOT.SMQH) verbreitet sich über Spam, der vorgibt, vom ATO (Australian Taxation Office) zu kommen. Die infizierte Nachricht enthält einen bösartigen Link, der auf eine infizierte Website zeigt. Diese wiederum bedient das BlackHole Exploit Kit, das dann diese neue ZeuS-Variante herunterlädt.

Anders als frühere ZeuS-Versionen, die ihre Konfigurationsdatei über http herunterladen, öffnet die neue einen beliebigen UDP-Port und nimmt Verbindung zu einer hart codierten Liste mit IP-Adressen auf, um die entsprechende Datei herunter zu laden. Weitere technische Details zur Vorgehensweise gibt es hier.

Trend Micros Smart Protection Network schützt die Anwender vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur mittels des Email Reputation Service die Spam-Nachrichten blockiert, noch bevor sie die Inbox des Nutzers erreichen. Der Web Reputation Service wiederum verhindert den Zugriff auf bösartige Sites und Domänen, die Malware-infizierte Dateien enthalten. Der File Reputation Service erkennt diese Dateien als Schädlinge

Eine steigende Zahl von Spam-Angriffen der letzten Zeit nutzen das Exploit Kit BlackHole, um ihre bösartige Fracht auszuliefern, so etwa im Fall der Spam-Attacken in Verbindung mit Steve Jobs Tod.

Umso wichtiger ist das Verständnis darüber, wie ein solcher Angriff funktioniert und wie Anwender selbst sich effizient vor dieser Bedrohung schützen können.

In einer typischen Spam-Kampagne mit eingebauter Malware versuchen Cyberkriminelle Anwender über Social Engineering-Techniken dazu zu verleiten, verschiedene Aktionen – Herunterladen, Öffnen, Ausführen einer wahrscheinlich infizierten Datei — vorzunehmen, bevor die böse Fracht ausgeführt werden kann. Spam-Kampagnen aber, die ein Exploit Kit einbeziehen, sind gefährlicher, denn hier muss der Nutzer nur dazu verleitet werden, auf einen bösartigen Link zu klicken, damit die Infektion ihren Lauf nimmt. Ein ausführliches Beispiel für einen Angriff mit dem BlackHole Exploit Kit finden Sie hier.

Das BlackHole Exploit Kit nutzt Sicherheitslücken sowohl in Anwendungen wie Adobe Acrobat und Flash Player oder Java aus als auch in Windows-Komponenten wie Microsoft Data Access Components (MDAC) und Help and Support Center (HCP).

Nach dem erfolgreichen Eindringen ein System wird ein Shellcode ausgeführt, der das Herunterladen und die Ausführung der Malware anstößt. Alle diese Angriffe mit BlackHole hatten das Ziel, ZeuS-Varianten zu verbreiten.

Mehrschichtiger Schutz

Es gibt mehrere Möglichkeiten für Anwender, ihre Systeme vor dieser Art von Bedrohung zu schützen.

• Behalten Sie immer die Möglichkeit eines Social Engineering-Angriffs im Hinterkopf: Die Mehrheit der Online-Angriffe nutzt soziale Engineering-Techniken, um Malware “an den Mann” zu bringen. Durch vorsichtiges, vernünftiges Agieren im Online-Bereich, können Infektionen vermieden werden.
• Links immer prüfen, bevor Sie klicken: Nutzer müssen überprüfen, wohin eine URL zeigt. Dafür empfiehlt es sich, mit Copy und Paste die URL in die Adresszeile des Browsers zu kopieren, statt direkt darauf zu klicken.
• JavaScript im Browser deaktivieren: Exploit Kits wie BlackHole und andere aktuelle Bedrohungen nutzen JavaScript, um die mitgeführten Schädlinge auszuführen. Daher sollten Anwender JavaScript nur für vertrauenswürdige Sites zulassen.
• Patchen nicht vergessen: BlackHole verwendet Exploits, die alte, nicht gepatchte Softwareversionen betreffen. Deshalb ist es ungeheuer wichtig, regelmäßig Patches aufzuspielen, trotz aller damit einhergehender Unbequemlichkeiten.

Anwender der Trend Micro-Lösungen sind durch das Smart Protection Network vor diesen Spam-Angriffen geschützt, denn die Web, Email und File Reputation Services erkennen die Schädlinge und blockieren den Zugriff auf die infizierten Webseiten.

Quelle: L2F1 Flickr

Bereits seit einiger Zeit werden Belohnungen für Informationen ausgesetzt, die zur Festnahme von wichtigen Schadsoftware-Autoren oder –Betreibern führen. Doch wie erfolgreich waren diese Initiativen bislang?

Seit 2003 gibt es schon das Microsoft Anti-Virus Reward-Programm. Es setzt Kopfprämien aus für Informationen, die zur Festnahme etwa der Autoren von Sasser, Sobig, Blaster, Conficker und jetzt Rustock führen. Das Kopfgeld stellt Microsoft zur Verfügung, doch entscheiden die Gesetzeshüter darüber, wer das Geld auch wirklich verdient, abhängig von der Festnahme und Verurteilung der Kriminellen.

Doch trotz der Prämienangebote übersteigt die Zahl der ungelösten Fälle die der Erfolge. 2005 teilten sich zwei Leute eine Prämie von 250.000 $ für Informationen, die zur Verurteilung des Vaters des Sasser-Wurms, Sven Jaschan, geführt hatten. Doch scheint dies die Ausnahme zu sein, denn im Zusammenhang mit Sobig und Conficker hat es immer noch keine wertvollen Hinweise gegeben. Microsoft ist nicht das einzige Unternehmen, dass solche Belohnungen anbietet. Bereits 2004 hatte SCO ebenfalls 250.000 $ für Hinweise auf die Autoren von MyDoom ausgesetzt – Geld, das ebenfalls noch nicht „abgeholt“ wurde.

Es gibt wohl einige Gründe für diesen sehr begrenzten Erfolg: Kriminelle arbeiten online unter Pseudonymen und geben sich üblicherweise sehr zugeknöpft bezüglich ihrer wahren Identität. Außerdem ist die Chance, in der realen Welt Zeuge eines Verbrechens zu werden, deutlich höher. In der Cyber-Welt muss wohl davon ausgegangen werden, dass die meisten Zeugen in irgendeiner Weise selbst in das Vergehen verwickelt sind. Und in den wirklich wichtigen Fällen fällt eine Belohnung von 250.000 $ oder gar 500.000 $ ziemlich mickrig aus im Vergleich zum Profit, den organisierte Banden mit ihrem alltäglichen Geschäft erzielen können. Ironischerweise spielt in der Unterwelt auch Vertrauen und Glaubwürdigkeit eine große Rolle – genauso wie auch im legalen Online-Geschäft. Wenn jemand aus diesem Netz ausbricht und eine Belohnung von 250.000 $ annimmt, so ist es aus mit einer weiteren Beteiligung an der Welt der Online-Kriminalität. Die Belohnung müsste bedeutend angesetzt werden, um ein Karriereende zu versüßen.