Smartphones erfreuen sich wachsender Beliebtheit. Eine von Google in fünf Ländern durchgeführte Umfrage beweist dies: In Deutschland etwa stieg die Zahl der Smartphone-Besitzer von Januar 2011 bis Oktober um fünf Prozent auf insgesamt 23 Prozent der Bevölkerung.
Entsprechend diesem Trend nehmen auch die Gefahren für die mobilen Geräte zu. Mittlerweile gelten für die Mobilgeräte und Tablets dieselben Gefährdungsszenarien wie man sie aus der PC-Welt kennt. Die folgenden fünf Angriffsmuster zeigen die Ähnlichkeiten auf:

• Vor mehr als fĂĽnf Jahren nutzten Cyberkriminelle umkonfigurierte Modems, um Bezahldienste und Ferngespräche fĂĽr ihre Zwecke zu nutzen. Heute versucht mobile Schadsoftware häufig, Nutzer dazu zu verleiten, solche Bezahldienste zu abonnieren.
• Etwa zwanzig Jahre lang verbreiteten vor allem Viren Angst und Schrecken, danach waren es WĂĽrmer, und heute sind es in erster Linie Trojaner-Downloader fĂĽr den einmaligen Gebrauch. All diese Mittel hatten nur ein Ziel, die Opfersysteme möglichst dauerhaft zu infizieren und zu kompromittieren. Auf den mobilen Plattformen gibt es bereits Trojaner fĂĽr den Datendiebstahl, die sich als nĂĽtzliche App tarnen und im Stillen Daten sammeln und weiterleiten.
• Mehrstufige und zwischen PC und mobilen Geräten wechselnde Bedrohungen gibt es bereits. Einige Varianten des Bank-Schädlings ZeuS ĂĽberwacht den PC und die Online-Transaktionen. Entdeckt er eine Anfrage fĂĽr eine zweite ĂśberprĂĽfung schickt er einen Facebook-Link an das Smartphone des Opfers, um so Daten abzuziehen und einen vollständigen Zugriff auf die Online-Finanzdaten zu erhalten.
• Fast jeder Nutzer empfängt in der einen oder anderen Form E-Mails auf seinem Mobilgerät, die im Prinzip die Aktivitäten auf dem Desktop widerspiegeln. Daher sind auch diese Mails denselben Phishing- und Spam-Attacken ausgesetzt wie auf dem PC.
• Von Exploits und Angriffen wie Man-in-the-Middle und solche auf SSL-Verbindungen ist in Verbindung mit PCs immer wieder die Rede. Da heutige Smartphones viel schneller sind als die „alten“ PCs, kleinere Bildschirme haben, und es keine „ausgewachsenen“ Werkzeuge gibt, die erforschen können, was im Hintergrund läuft, merken die Nutzer von Tablets oder Smartphones meist nicht, wenn sie angegriffen werden.

Im Zuge der BYOD (Bring-Your-Own-Device)-Strategien kommen die mobilen Geräte in die Unternehmen. Doch werden sie nicht mit derselben Sorgfalt gesichert wie PCs, Laptops oder Desktops, deren Nutzung von Policies und Richtlinien geregelt wird.

Um nicht zum Opfer zu werden, ist Nutzern dringend zu empfehlen, auch ihre mobilen Geräte mit Anti-Malware- und Content-Filtering-Lösungen zu schützen. Ebenso wichtig ist es , die Firmware und die mobilen Apps auf aktuellem Stand zu halten. Weitere Gedanken und Tipps zum Thema bieten die Einträge: „Die Gefahr durch Android-Malware wächst auch 2012“ sowie „2011 in Review: Mobile Malware“.

FĂĽr die Vorbereitung auf den Valentinstag ist es nie zu frĂĽh. Das glauben offensichtlich auch die Cyberkriminellen und starteten bereits erste Angriffe ĂĽber Facebook.
Die Sicherheitsexperten von Trend Micro haben einen Angriff entdeckt, der mit einer Aufforderung auf der Pinnwand von Facebook-Nutzern startet, Valentinstag-Bilder in ihren Profilen zu installieren.

Klickt ein Nutzer diesen Eintrag an, so wird er auf eine weitere Seite umgeleitet, woher er besagte Bilder bekommen kann. Dieser Angriff funktioniert nur mit Google Chrome oder Firefox Browsern.

Ein Klick auf Install initiiert das Herunterladen der bösartigen Datei FacebookChrome.crx, die Trend Micro als TROJ_FOOKBACE.A identifiziert hat. Der Trojaner führt ein Skript aus, das Werbung von bestimmten Websites darstellen kann.

Zudem installiert sich der Schädling selbst im Browser des Opfers als Erweiterung namens Facebook Improvement |Facebook.com.

Diese Erweiterung überwacht dann die Aktivitäten des Nutzers und leitet ihn um auf eine Umfrageseite, wo er seine Mobilnummer angeben soll. Übrigens werden Nutzer, die im Internet Explorer den Facebook-Eintrag angeklickt haben, zu derselben Umfrage umgeleitet, doch ohne Aufforderung etwas herunterzuladen.

Im Laufe des Jahres 2011 wurde über viele Angriffe berichtet, so etwa über den auf RSA, wobei Daten zu RSA’s Secure ID gestohlen und für weitere Attacken genutzt wurden. Des Weiteren gab es Berichte zur Operation ShadyRAT, welche die Langlebigkeit von Command & Control-Infrastrukturen demonstrierte, oder zu Nitro und Night Dragon, die zeigten, dass Angreifer sich auf bestimmte Industriezweige konzentrieren.
Auch über Trend Micros Erforschung der Lurid-Angriffe wurde viel geschrieben. Diese Attacken führten vor, dass Angreifer an Zielen außerhalb der USA interessiert sind und vor allem, dass es keine Einzelangriffe mehr sind, sondern „Kampagnen“.
Daneben jedoch sind noch viele APT-Gefahren erforscht worden, über die nicht öffentlich geschrieben wurde. Hier sind die Top-Themen:

• Die “Contagio Dump”- und “Targeted Email Attacks”-Blogs – Mila Parkour und Lotta Danielsson-Murphy haben viele Informationen zu der Forschung in diesem Bereich veröffentlicht. Während bösartige Binaries häufig fĂĽr eine Analyse zur VerfĂĽgung stehen, ist der Inhalt der mit Social Engineering-Techniken infizierten E-Mails meist schwer nachvollziehbar. Diese Blogs liefern einzigartige Einsichten in diese Art von gezielten Angriffen.
• Der CyberESI-Blog – Hier gibt es detaillierte Analysen einiger der erfolgreichsten Malware-Familien.
• “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kiill Chains” – Hutchins, Cloppert, und Amin erklären hier – allerdings sehr akademisch – wie die Phasen eines Angriffs nachvollzogen werden können und wie mehrfache Vorfälle in eine Kampagne einzuordnen sind. FĂĽr jeden, der APT-Angriffe erforschen will, eine PflichtlektĂĽre.
• „1.php“ – ist ein Bericht von Zscaler ĂĽber eine bestimmte Kampagne. Die Autoren analysieren die C & C-Infrastruktur und präsentieren die Ergebnisse als Grundlage fĂĽr VerteidigungsmaĂźnahmen.
• Sykipot – AlienLabs dokumentiert die Trends, die sich aus der Kampagne ableiten lassen, beschreibt aber auch die Exploits, die Schädlinge und die von den Angreifern genutzte C & C-Infrastruktur. Interessant an diesem Bericht sind auch die Spekulationen ĂĽber einen Cyberkrieg Chinas gegen die USA – oder anders rum?
• “What is an APT without a sensationalist name?” – Seth Hardys Präsentation auf der SecTor 2011 lieferte einen längst ĂĽberfälligen kritischen Blick auf den Hype rund um APT, aber auch eine detaillierte technische Analyse des Schädlings “SharkyRAT”.
• “Moli Hua” – Greg Walton dokumentierte einen Angriff auf Journalisten, be idem Facebook und ein MHTML-Exploit fĂĽr Gmail genutzt wurden, ĂĽber den die Angreifer ihre eigenen E-Mail-Adressen als “delegierte Konten“ hinzufĂĽgen konnten

ICS (Industrial Control Systems)-Netzwerke haben seit dem letzten Jahr durch Sicherheitsprobleme und Angriffe darauf Schlagzeilen gemacht. Unter ICS-Netzwerken versteht man eine Sammlung von Netzwerken mit Elementen für die Bereitstellung und Kontrolle von Telemetriedaten zu elektromechanischen Komponenten wie Ventilen, Regler oder Switches. Sie werden vor allem in Industriezweigen wie der Öl- und Gasproduktion, in der Wasserwirtschaft, Umgebungskontrollsystemen, Elektrizitätswerken, in der Fertigung oder im Transportwesen verwendet.
All den ICS-Umgebungen ist gemeinsam, dass sie nicht „traditionelle“ IT-Netzwerke darstellen und auch nicht als solche behandelt werden sollten. Durch ihre Einzigartigkeit haben sie die gleichen Sicherheitsherausforderungen, die durch die Interaktion der ICS-Elemente mit physischen Industriekomponenten noch größer werden.
Ist der Zugang zu diesen Elementen nicht entsprechend abgesichert und eingeschränkt, kann es zu Unfällen mit katastrophalen Auswirkungen kommen. Deshalb werden viele dieser Industriesysteme auch als „kritische Infrastruktur“ eingestuft, die einer speziellen Sicherheitsarchitektur bedarf.
Supervisory Control and Data Acquisition (SCADA)-Netzwerke stellen die Netzwerkschicht dar, als direkte Schnittstelle zu den ICS-Netzwerken und den Host-Systemen, die die ICS-Elemente überwachen und kontrollieren. Bislang lebten die SCADA/ICS-Netzwerke in einer eigenen Welt von proprietären Protokollen auf speziellen Plattformen und einer darauf zugeschnittenen Kommunikationsinfrastruktur. Sie waren von anderen Netzwerken, einschließlich Internet, vollkommen abgeschnitten. Doch nun wird immer häufiger Standard-Hard- und Software (beispielsweise Microsoft Windows) eingesetzt, und sie sind mit externen Netzwerken verbunden. Damit aber sind sie auch den aus der IT bekannten Gefahren ausgesetzt.
Das technische Whitepaper “Towards a More Secure Posture for Industrial Control Systems” beschreibt die Grundelemente einer für diese Systeme erforderlichen Sicherheitsarchitektur. Dabei unterscheiden die Autoren des Papiers zwischen ICS-Netzwerken und SCADA-Funktionalität. Das ICS-Netzwerk besteht vor allem aus programmierbaren, logischen Controllern und anderen DCS-Elementen. Das SCADA-Netzwerk wiederum bildet eine „Brücke“ zwischen den ICS- oder DCS-Sensoren und den Managementsystemen, die deren Betrieb überwachen und kontrollieren.
Zu den kritischen Sicherheitsmaßnahmen gehört in erster Linie die strenge sowie zeitnahe Handhabung der Software-Patches für Sicherheitslücken, denn die Zahl der Exploits für bestimmte ICS- und SCADA-Plattformen steigt stetig. Nicht nur das Betriebssystem, sondern jedes Softwarepaket, das auf einem Gerät installiert wird (einschließlich Netzwerkmanagement-Plattformen, Router, Switches, Firewalls, Intrusion Detection Systems usw.), muss beim Patch-Management berücksichtigt werden.
Von grundlegender Bedeutung für die ICS-Sicherheit ist auch die geeignete Segmentierung und Verteilung der Netzwerke, Betriebsfunktionen und Einzelelemente. Unter anderem empfiehlt sich ein DMZ-Managementnetzwerk als zusätzliche Segmentierungsschicht. In enger Verbindung damit stehen auch Maßnahmen wie Authentifizierung, Log-Management und -Analyse, Anwendungskontrolle, Netzwerkzugangskontrolle und andere.
FĂĽr die Zugriffskontrolle empfiehlt der Autor eine spezielle Firewall, die zwischen die SCADA- und DMZ-Managementnetzwerke gesetzt wird. Sie erlaubt den Verkehrsfluss nur in eine Richtung.
Anwendungs-White-Listing stellt einen weiteren wichtigen Kontrollmechanismus dar, sodass lediglich vorher autorisierte Programme laufen dürfen. Damit soll verhindert werden, dass durch böswilliges oder unaufmerksames Verhalten von Anwendern Malware oder infizierte Programme eingeschleust werden.
SchlieĂźlich sollte ein Intrusion Detection System sowie das Log-Management und die Analyse von Sicherheits- und Ereignisinformationen nicht fehlen. Weitere Einzelheiten sowie Best Practices zur Absicherung der kritischen Infrastruktur liefert das Whitepaper.

Gestern hat die für Cyberkriminalität zuständige Abteilung der Polizei in Kyoto laut eigenen Angaben sechs Personen festgenommen, die der Erstellung und Verwendung von One-Click-Betrugsprogammen verdächtigt werden. Den ersten Berichten zufolge sollen sie damit etwa 12 Millionen japanische Yen (148.000 Dollar) erbeutet haben.

Mit dem One-Click Billing-Betrugsschema werden Opfer dazu verleitet, sich bei bestimmten Diensten zu registrieren und dafĂĽr zu zahlen, nachdem sie auf eine gewisse Website geleitet wurden.
Der polizeilichen Ankündigung nach setzten die Verdächtigen bösartige Programme ein, die sie unter Nutzern verbreiteten. Besuchten die Opfer bestimmte Websites, einschließlich solcher mit Pornoinhalten, und wollten über den „Play“-Button ein Video abspielen, so wurde stattdessen eine Datei ausgeführt. Es gibt 118 bestätigte Sites, die für One-Click Billing-Betrug genutzt werden. Weitere Einzelheiten hat die Polizei nicht genannt, doch Trend Micro arbeitet mit der Abteilung in Kyoto zusammen, um das bei diesem Angriff genutzte Programm zu analysieren.

Eine Suchanfrage bei Google ergab eine Trefferquote von einer Million Seiten, auf denen über diesen Schädling gesprochen wird. Ein Grund für die aktuelle Beliebtheit dieses Betrugsschemas liegt darin begründet, dass Dateien in One-Click-Ware einfach zu modifizieren sind, um so von Sicherheitsprogrammen nicht entdeckt zu werden. Herkömmliche Sicherheitssoftware, die sich auf Pattern-Technologie verlässt, hat es schwer, in diesem Spiel zu punkten. Cyberkriminelle müssen lediglich ein paar Zeilen im Code ändern und schon können diese AV-Lösungen die Programme nicht mehr erkennen.

Neue Techniken wie Reputationsdienste aus der Cloud beispielsweise in Trend Micros Smart Protection Network sind hier sehr hilfreich.

Das Jahr 2011 brachte sowohl Herausforderungen als auch Erfolge nicht nur für Trend Micro, sondern auch für die anderen Sicherheitsanbieter und die behördlichen Mitstreiter im Kampf gegen Cyberkriminalität. 2011 wurde, wie von unseren Sicherheitsforschern vorhergesehen, zum „Jahr der Dateneinbrüche“. Weltweit wurden Unternehmen Opfer von gezielten Einbruchsangriffen und erlitten hohe Datenverluste, der neuen digitalen Währung.
Als Vorbereitung auf das kommende Jahr lohnt es sich, einen Blick auf die von Trend Micro getätigten Vorhersagen zu werfen und auf das, was tatsächlich eingetreten ist.

• Es wird mehr zielgerichtete Angriffe und Cyberspionage geben. Wie prognostiziert, wurden weltweit einige Unternehmen Opfer von zielgerichteten Angriffen, die sie teuer zu stehen kamen. RSA und Sony PlayStation – zwei der größten Angriffsziele 2011 – verloren Millionen Kundendaten und mussten Riesensummen aufbringen, um den Schaden zu beheben.
• Es wird mehr Angriffe auf mobile Geräte geben. Der enorme Anstieg der Android-Malware hat die Reife der mobilen Bedrohungslandschaft begĂĽnstigt. Mit Trojanern infizierte und andere Arten von bösartigen Android-Apps haben nicht nur die App Stores von Drittanbietern verseucht, sondern auch den Android Market selbst. Die prominentesten Schädlingsfamilien 2011 waren RuFraud- und DroidDreamLight-Varianten.
• AusgeklĂĽgelte Malware-Kampagnen werden zunehmen. Cyberkriminelle haben weltweit Nutzer von sozialen Netzwerken mit noch mehr Aufsehen erregenden Spam- und Betrugsangriffen sowie innovativen Tools ĂĽber Social Engineering ĂĽberrollt. Diese Attacken haben Tausende von Nutzern ihre vertraulichen Daten und sogar die persönlichen Informationen gekostet.
• Die Ausnutzung von SicherheitslĂĽcken und Exploits wird weitergehen. Obwohl die Zahl der ausgenĂĽtzten SicherheitslĂĽcken, ĂĽber die berichtet wurde, rĂĽckläufig war, haben die Kriminellen weiter eine ganze Reihe von Exploit-Angriffen gestartet. Die drei am häufigsten ausgenĂĽtzten SicherheitslĂĽcken — VE-2011-3402, CVE-2011-3544 und CVE-2011-3414 – betrafen Produkte von drei der Top fĂĽnf Anbieter, nämlich Microsoft, Oracle und Adobe.
• Es wird neue Infektionen mit alter Malware geben und der kriminelle Untergrund wird sich konsolidieren. Traditionelle Bedrohungen haben auch 2011 Nutzer groĂźen Schaden zugefĂĽgt. Als Mittel, um an Daten, Geld oder Identitäten heranzukommen, nutzen sie neue und bessere Werkzeuge und infizieren damit die Systeme und Geräte unwissender Nutzer.

Die Sicherheitsforscher haben zwar Hacktivismus fĂĽr 2011 nicht prognostiziert, doch es gab eine ganze Reihe an Masseninfektionen durch AntiSec- und LulzSec-Angriffe. Hacktivistengruppen waren bei ihren Angriffen unter anderem auch politisch motiviert.
Doch insgesamt war 2011 kein so schlechtes Jahr, denn es gab auch Erfolge im Kampf gegen Cyberkriminalität. In enger Zusammenarbeit mit Partnern und den Behörden stand Trend Micro an vorderster Front in der Aktion „Operation Ghost Click“, bei der der bislang größte cyberkriminelle Ring ausgeschaltet wurde.
Weitere Einzelheiten zu den Sicherheitsvorfällen im vergangenen Jahr finden sich im Report “A Look Back at 2011: Information Is Currency”.

Betrüger zielten bislang mit ihrem Schema des so genannten One-Click Billing auf Smartphone-Nutzer. Jetzt gibt es ein ähnliches Betrugsmuster, dass speziell auf Android-Nutzer ausgerichtet ist.

Bei einem One-Click Billing-Betrug versuchen die Kriminellen, ihre Opfer dazu zu verleiten, sich fĂĽr einen bestimmten Dienst anzumelden und dafĂĽr zu zahlen, indem sie sie auf manipulierte Webseiten locken. Beim letzten von Trend Micro aufgedeckten Angriff wurden die Opfer aufgefordert, eine bestimmte Summe zu zahlen, um zu verhindern, dass ihre Informationen an eine Pornoseite weitergeleitet werden.
Die Sicherheitsexperten haben nun einen ähnlichen Angriff über eine bösartige App auf Android-Nutzer entdeckt. Der Angriff wird von einer Blog-Site ausgelöst, auf der Spiele-Videos enthalten sind. Der Blog namens „Game Dunga“ hat bereits dreimal die Domain gewechselt. In früheren Versionen gab es eine Menge Links, die auf Spiele-Videos (nicht nur Pornoinhalte) führten. Die aktuelle, dritte Generation jedoch enthält nur Links, die auf Pornoinhalte zeigen.

Beim Versuch, ein Video anzuschauen, wird ein Pop-up-Fenster geöffnet mit der Aufforderung, eine App herunterzuladen, die Trend Micro als bösartig (ANDROIDOS_FAKETIMER.A) erkannt hat. Der Schädling sammelt die Kontoinformationen des Android-Nutzers und leitet sie an eine bestimmte URL weiter, als Parameter für die folgenden Methoden:
•    getAccounts() method – sammelt Gmail-Kontoinformationen, die von dem Gerät des betroffenen Nutzers verwaltet warden.
•    getDeviceID() method – sammelt die SIM-Daten des betroffenen Geräts.
•    getLine1Number() method – sammelt die Mobilnummer des Geräts.

Die auf diese Weise erhaltenen Daten werden an die Cyberkriminellen weitergeleitet. Auch zeigt ANDROIDOS_FAKETIMER.A ein Pop-up-Fenster an mit der Nachricht: „Wir haben ihre Zahlung nicht erhalten. Aus diesem Grund müssen wir gemäß unserer Richtlinien eine Strafgebühr erheben für den Fall, dass Sie nicht gezahlt haben.“

Darüber hinaus zeigt der Schädling die gestohlenen Informationen an, um Vertrauen beim Nutzer aufzubauen und ihn zur Zahlung zu bewegen.

Die Einbindung einer App in diesen Betrug verleiht dem Schema eine bis dahin nicht vorhandene Persistenz. In der Vergangenheit wurden die Routinen hauptsächlich über eine infizierte Website ausgeführt und somit endete der Angriff, wenn ein Opfer den Browser schloss. Nun aber, da eine auf einem Gerät installierte App dafür verantwortlich ist, wird der Nutzer wiederholte Male zur Zahlung aufgefordert. Eine Codeanalyse zeigte, dass das Pop-up auf ein Zeitintervall von fünf Minuten gesetzt war.

Nutzer, die auf ähnliche Sites stoßen, sind gut beraten, die Seite sofort zu verlassen, ohne einen Link anzuklicken. Trend Micros Smart Protection Network schützt die Anwender vor dieser Art von Angriffen, den der Web Reputation-Dienst erkennt die bösartigen Seiten und blockiert die entsprechenden URLs. Weitere Informationen zu anderen mobilen Gefahren und auch Tipps für die Sicherheit der Geräte gibt es im Mobile Threat Information Hub.

Bereits im August 2011 hatte Trend Micro in einer Infografik „Snapshot of Android Threats“ die erhebliche Steigerung in der Zahl der mit Trojanern infizierten Android Apps wie auch sonstige Malware für Android-Plattformen aufgezeigt. Auch in den „12 Security Predictions For 2012“ stellte der Sicherheitsspezialist fest, dass vor allem Android Smartphone- und Tablet-Plattformen zum Ziel vermehrter krimineller Angriffe werden.

Die ständige Beobachtung dieser Gefahr zeigte schnell, dass das Problem mit alarmierender Schnelligkeit zunimmt: Von einer Handvoll bösartiger Apps zu Beginn des Jahres schoss die Zahl bis zum Dezember auf mehr als tausend bösartiger Android-Apps hoch. Die durchschnittliche Wachstumsrate in der zweiten Jahreshälfte 2011 betrug mehr als 60 Prozent.

Nehmen die Angriffe in diesem Jahr mit der gleichen Geschwindigkeit zu, so wird es sicherlich ein „aufregendes“ Jahr für Android. Dann wird es im Dezember mehr als 120.000 bösartige Android-Apps geben.

Es gibt mehrere Faktoren, die dieses explosive Wachstum verursachen:

• Die steigende Beliebtheit von Android, dokumentiert durch die Gesamtzahl der heruntergeladenen Apps (mehr als zehn Milliarden ĂĽber den offiziellen Android Market) und enorm hohe Nutzerzahl, die Gartner und auch Andy Rubin, Senior Vice President of Mobile von Google feststellen.
• Die Offenheit des Vertriebsmodells der Android-Apps. Anders als bei weiteren mobilen Betriebssystemen können Nutzer Anwendungen installieren, ohne dabei einen Filterungsprozess zu durchlaufen. Die Gefahr, eine bösartige App zu installieren, erhöht sich damit deutlich.
• Die kriminelle Denkweise: Bad Guys greifen dort an, wo das Geld ist.

Android Malware ist definitiv hier um auch 2012 zu bleiben.

Hier finden Sie Tipps & Lösungen, um Android Geräte zu schützen:

• 5 einfache Schritte zum Schutz Ihrer Android-basierten Smartphones
• Mobile Security Personal Edition – intelligenter Schutz fĂĽr Android geräte inklusive App-Scanner

Hektik und müde Augen bei den letzten Online-Weihnachtseinkäufen können Shoppern zum Verhängnis werden. Kriminelle warten nämlich nur darauf, dass Käufer Tippfehler bei den Adressen machen, und haben bereits Tausende falsch geschriebene Versionen von beliebten Online-Shop-Adressen, wie John Lewis, Debenhams und andere, registrieren lassen.

Quelle: Joe Shlabotnik’s Flickr stream

Diese kriminellen Websites sind häufig gut gemachte Kopien der legitimen Sites, die gefälschte Ware anbieten, den Besucher auf Werbe-Links umleiten (für die die Kriminellen bezahlt werden) oder persönliche Informationen abgreifen, falls es zu einem „Einkauf“ kommt. Andere falsch geschriebene Domänennamen führen zu anstößigen Inhalten oder auf Websites, die Schadcode enthalten, der das System des Opfers infiziert und es sogar in ein Botnet eingliedern kann.

Das so genannte Typosquatting gibt es schon lang, und die US-Behörden versuchen bereits seit 1999, mithilfe des Anticybersquatting Consumer Protection Act (Paragraf 3) gegen diese kriminellen Aktivitäten vorzugehen. Auch haben einige Unternehmen, so zum Beispiel Lego, schon viel Geld ausgegeben, um Cybersquatter vor Gericht zu bringen.

Doch bei der derzeitigen Typosquatting-Welle geht es nicht allein um Domänennamen, die Bezeichnungen beliebter Marken einschließen. Diesmal setzen die Kriminellen eher darauf, dass Nutzer nicht auf Details achten. In der Hitze des Gefechts beim Suchen nach den letzten Weihnachtsgeschenken merken nämlich viele nicht, ob sie etwa auf der legitimen Website debenhams.com einkaufen oder sich auf der gefälschten debanhams.com befinden.

Zwar versuchen die Behörden immer wieder, diese gefälschten Online-Shops zu ahnden und zu schließen, doch geht es dabei eher wie beim Blindekuh-Spielen zu. Die bösen Buben haben enorme Reserven an registrierten Domänennamen, und wenn eine Website geschlossen wird, so aktivieren sie einfach eine nächste.

Das Problem liegt unter anderem darin, dass viel zu viele DNS-Domänen, einschließlich .co.uk und die vieler anderer Länder, als „offene“ Domänen gehandhabt werden. Die britische Registrierungsstelle Nominet etwa erklärt: „Wir haben keinerlei Einschränkungen im Status eines Bewerbers für die Registrierung eines Domain Names in den folgenden Second Level Domains („Open SLD“): 1. 4.4.1 .co.uk; oder 2. 4.4.2 .org.uk.“ Und an anderer Stelle: „Wir verbieten keine Bewerbungen und unternehmen nichts gegen Registrierungen, die nicht der SLD Charter entsprechen.“

Nicht anders handhaben die Registrierungsstellen anderer EU-Staaten die Bewerbungen. Nun, solange die Gesetzgebung nicht verschärft und die internationale Zusammenarbeit verbessert wird, können auch die Aktionen von Behörden lediglich Symptome behandeln und nicht die Ursache.

Deshalb kann der Autor den Nutzer nur eindringlich empfehlen, vor jedem Klick genau hinzuschauen und für die eigenen beliebtesten Online-Shops Lesezeichen zu erstellen, statt jedes Mal die URL per Hand neu einzugeben. Fünf weitere Empfehlungen für den Online-Einkauf finden Interessierte in „Sicheres Online-Shopping leicht gemacht“.

Vor ein paar Tagen hatte der britische Online-Nachrichtendienst The Register darĂĽber berichtet, dass die Google-Sicherheitsfachleute eine Reihe von manipulierten Smartphone-Spielen aus dem Android Market entfernt hatten. Sie enthielten eine Schadsoftware (die Trend Micro als ANDROIDOS_RUFRAUD.A identifiziert hat), welche unbemerkt Textnachrichten an Bezahldienste schickte.

Diese akute Gefahr ist zwar beseitigt, doch sollten die Android-Nutzer auch weiterhin besondere Vorsicht walten lassen, vor allem in Anbetracht des von Google ausgeschriebenen „10-Cent“-Angebots zur Feier der erreichten zehn Milliarden Downloads.

Ein paar Hinweise zur sicheren Installation und Nutzung von Apps können hier von großer Hilfe sein:

Nutzer sollten sich die Autoren beliebter Spiele merken

Cyberkriminelle nutzen die Popularität bestimmter Apps und versuchen diese nachzumachen. Doch da sie nicht als Originalentwickler auftreten können, dient dessen Namen als Hinweis auf die Echtheit einer App. Beispielsweise weist die Android Market-Seite für Angry Birds Rovio Mobile als Autor des Spiels aus, während die gefälschte als Autor Logastroid angibt.

Anwender können auch das Profil des Entwickler prüfen. Zudem bietet Google Entwickler-Ratings und den Status “Editor’s Choice” als weitere Hinweise auf die Legitimität eines Entwicklers an.

Das Gleiche gilt auch fĂĽr andere Informationen auf der Webseite einer App, etwa der Icon und Name. Fehlt ein Element, so sollte die App lieber nicht heruntergeladen werden.

Beurteilungen und Anzahl der Besprechungen sind ein guter Hinweis

Beurteilungen von Apps und das Feedback der Nutzer liefert eine genauere Einsicht in die Erfahrung anderer mit einer bestimmten App. Diese Informationen finden sich unter dem App Icon.

Neben den qualitativen Aussagen über eine App ist auch die Anzahl der Beurteilungen ein gutes Indiz, denn weit verbreitete Apps erhalten naturgemäß auch mehr Feedback. Ist die Zahl der Beurteilungen auffallend niedrig, so handelt es sich wahrscheinlich um eine Fälschung – dies führte auch jüngst zur Enttarnung der bösartigen Apps im Android Market.

 Recherche auf anderen Websites bringt Gewissheit

 Neben den eigenen Webseiten von Android Market liefern auch andere Besprechungen zu Android-Apps und damit mehr Möglichkeiten der Echtheitsprüfung.

Diese weiter gehende Recherche ist auch deshalb wichtig, weil die Kriminellen alles tun, um Nutzer auch beim Feedback zu täuschen. Sie können selbst irreführende Besprechungen veröffentlichen und Ratings, um den Nutzer bezüglich der Echtheit einer App zu täuschen.
Die rot eingekreiste Besprechung ist eine Fälschung für eine bösartige App, die blau umrandete stammt von einem echten Anwender.

Zusätzlich zu obigen Empfehlungen gibt es weitere Möglichkeiten, um Android-Geräte zu sichern. Weitere Informationen und Empfehlungen liefert der Kommentar „Spielend einfach: In vier Schritten zu mehr Sicherheit bei Android“ und die Re unter „Mobile Threat Information Hub“.