Phishing-Sites starten Kampagne zur Fußballweltmeisterschaft

Originalartikel von Maxim Goncharov (Senior Threat Researcher)

Es sind nur noch ein paar Tage bis zum Anpfiff der Fußballweltmeisterschaft – kein Wunder also, dass Phishing-Sites ihre Spam-Kampagnen gestartet haben, die es auch auf die brasilianischen Fußballfans abgesehen haben.

Einige dieser Spamwellen sind ziemlich einfach gestrickt. Das folgende Beispiel zeigt den Versuch, Anwender mittels einer Lotterie, bei der sie angeblich einen Hauptgewinn von fünf Millionen Brasilianischen Real (entspricht ungefähr 1,6 Millionen Euro) gezogen haben, in die Falle zu locken.

Abbildung 1: Lotterie als Köder für Phishing-Nachricht

Eine typische Phishing-Attacke wie diese weist drei Stufen auf. In einem ersten Schritt besucht ein Anwender die Phishing-Site, wo seine Daten abgegriffen werden. In diesem Fall werden die folgenden Informationen entwendet:

  • Kreditkartennummer
  • Kreditkartenprüfnummer
  • Monat und Jahr, in denen die Kreditkarte ihre Gültigkeit verliert
  • Name der kartenausgebenden Bank
  • Passwort zum Online-Bankkonto
  • E-Mail-Adresse des Kontoinhabers

In einem zweiten Schritt speichert eine PHP-Datei alle erfassten Informationen in einer Textdatei, die auf der bösartigen Site abgelegt wird.

Abbildung 2: PHP-Code

Im vorliegenden Fall lautet der Name der Textdatei CCS.TXT. Im dritten Schritt wird diese Datei an eine E-Mail-Adresse unter der Kontrolle des Angreifers geschickt.

Abbildung 3: Gespeicherte Informationen

Wir haben auch andere Angriffe gefunden, die ähnliche Lockmittel verwenden, auch wenn sie einen eindeutigeren Bezug zur Fußballweltmeisterschaft aufweisen. Hier ein Beispiel:

Abbildung 4: Phishing-Site mit direktem Bezug zur Fußballweltmeisterschaft

Zusätzlich zu den normalerweise in Phishing-Attacken gestohlenen Daten haben es die Hintermänner des letztgenannten Angriffs auf zwei eher unübliche Informationen abgesehen:

  • das Kreditkartenlimit
  • und die persönliche Identitätsnummer des Opfers (Cadastro de Pessoas Fisicas, CPF)

Bei CPF handelt es sich um eine elfstellige Identitätsnummer, um Steuerzahler in Brasilien – Brasilianer wie steuerpflichtige Ausländer – zu identifizieren. Wie Kreditkarten hat die CPF ein klar definiertes Format und ein Algorithmus prüft die Gültigkeit der Nummer.

Welchen Umfang haben diese Betrugsmaschen nun genau? Im Rahmen unserer Untersuchungen im Untergrund konnten wir die Größe eines gestohlenen „Datenvorrats“ eines Cyberkriminellen bestimmen, der diese Angriffsarten verwendete. Dieser spezielle Cyberkriminelle verfügt über Daten von etwa 5.000 Kreditkarten, die er jederzeit verkaufen kann. Einige dieser Karten sind nach ihrem zugehörigen Netzwerk (z.B. Visa oder Mastercard), andere hingegen nach ihrer herausgebenden Bank gekennzeichnet (die „Bank of America“ wurde explizit erwähnt).

Unser Cyberkrimineller besitzt zudem eine Menge gestohlener E-Mail-Accounts. Wir entdeckten über 80.000 Konten, deren Zugangsdaten entwendet worden waren. Besonders bezeichnet hierbei ist, dass fast 83 Prozent dieser Anmeldedaten von Providern mit Domain-Namen aus der .br-Top-Level-Domain stammen. Die häufigsten Domains dieser gestohlenen Zugangsdaten sind in folgender Tabelle aufgelistet:

Tabelle 1: Verteilung der gestohlenen E-Mail-Account-Zugangsdaten

Viele dieser Phishing-Versuche sind speziell auf Anwender in Brasilien zugeschnitten. Das erste der oben genannten Beispiele nutzte den Namen der größten Abwicklungsfirma für Kreditkartenzahlungen in Brasilien, Cielo. Die CPF wird nur an Brasilianer oder Ausländer mit Aufenthaltsgenehmigung vergeben. Die Angriffe erfolgen bevorzugt über Spam-Wellen.

In einem der folgenden Blogeinträge werden wir ein paar interessante Fakten zu dem Angreifer präsentieren, der hinter den Phishing-Attacken steckt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*