Der Man-in-the-Middle bestimmt den Chat

Originalartikel von Rik Ferguson (Senior Security Advisor bei Trend Micro)

Forscher an der technischen Universität in Wien haben ein Papier veröffentlicht, in dem sie eine wichtige Entwicklung im Automated Social Engineering darlegen und das Konzept anhand von IRC und Facebook-Chat vorführen.

Vielen sind die Spam-Botnetze im Bereich des Echtzeit-Chats bekannt. Diese Technik habe ich vor einiger Zeit im Zusammenhang mit einem Facebook-Angriff beschrieben.

Klassische Chat Spam-Botnetze arbeiten in vier unterschiedlichen Modi: Das Papier der Wiener benennt diese als „Periodic Bots“, die einfach in regelmäßigen Abständen Spam-Nachrichten aufsetzen, „Random Bots“, die Nachrichten in zufälligen Abständen aufsetzen, „Responder Bots“, die Antworten auf die Nachrichten von Usern automatisieren, sowie „Replay Bots“, die vorher aufgezeichnete Gespräche wiedergeben.

Das Problem, das Kriminelle und Betrüger mit dieser Technik zu lösen haben, ist die Effizienz unseres natürlichen Misstrauens und der Intuition. Es zeigt sich, dass Menschen im Allgemeinen sehr gut erkennen, wenn ein Computer zu ihnen spricht. Die Forscher entwickelten eine Möglichkeit, diese natürliche Verteidigungslinie zu überwinden.

Das Forschungspapier stellt eine Anwendung vor, die sie Honeybot nennen, und die als Man-in-the-Middle zwischen zwei miteinander korrespondierenden Menschen fungiert. Honeybot hört die Nachrichten zwischen den beiden ab, leitet sie um, und vor allem modifiziert es sie, um die Konversation zu bestimmen sowie die Opfer dazu zu bringen, auf Links zu klicken. Die Links sind natürlich von den Angreifern eingefügt worden. Die Forscher schreiben:

“Das allgemeine Angriffsprinzip funktioniert mit jedem Chat-System, das den Austausch privater Nachrichten zulässt. Es beruht auf dem traditionellen Man-in-the-Middle-Konzept. In jeden Angriff sind zwei menschliche User und ein Bot in der Mitte involviert. Beide Nutzer glauben, mit dem Bot zu sprechen, doch tatsächlich werden ihre Nachrichten zwischen ihnen hin und her gereicht, wie das folgende Beispiel zeigt:

  • Bot -> Alice: Hi!
  • Alice -> Bot: Hello
  • Bot -> Carl: Hello
  • Carl -> Bot: Hi, wie geht es dir?
  • Bot -> Alice: Hi, wie geht es dir?
  • Alice -> Bot: …

Das Bot scheint für beide Nutzer menschlich, denn das ganz Gespräch wird im Bot in der Mitte gespiegelt.“ (Übersetzung durch die Redaktion)

Abgesehen davon, dass die ganze Kommunikation über ein Proxy läuft, hat das Bot die erforderliche Intelligenz, um das Geschlecht der Opfer zu erraten, Fragen zu stellen, um die Kontrolle über die Konversation zu übernehmen (normalerweise mit dem Ziel, ein Szenario aufzusetzen, um einen Link einzubetten) oder einfach Links, die eines der Opfer gesetzt hat, mit vorkonfigurierten bösartigen zu ersetzen.

Die Forscher fügten in ihren Tests drei unterschiedliche Arten von Links in die Konversationen von drei unterschiedlichen IRC-Kanälen ein: eine einfache IP-Adresse, einen TinyURL verkürzten Link und einen MySpace Link. Das Ergebnis waren beeindruckende 76 Prozent Klickraten! In einem ähnlichen auf den Facebook-Chat begrenzten Test betrug die Klickrate immerhin noch 40 Prozent.

Bei diesen Ergebnissen kann man sicherlich davon ausgehen, dass diese Art der Technologie bald Eingang finden wird in die Kampagnen der Cyberkriminellen. Für die User bedeutet dies, der Sicherheit noch mehr Aufmerksamkeit zu schenken und vor allem darauf zu achten, dass die Security-Lösung ihrer Wahl in Echtzeit nach bösartigen URLs scannt.

Ein Gedanke zu „Der Man-in-the-Middle bestimmt den Chat

  1. Pingback: [BLOCKED BY STBV] Shad your Web

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*