Datenschutzbehörde  Datenschutz Europa privacy service
 
2007/02/20 Warnung vor neuem Phishing- und eBilling-Betrug
Phishing- und Trojaner-Attacken haben in den letzten Tagen massiv zugenommen - eBilling dient als Vorwand für Attacke - Besonders IKEA und die deutsche Volksbanken Raiffeisenbankengruppe betroffen - Virenscannersoftware hinkt teilweise hinterher

Massive Zunahme von Attacken

In den letzten Tagen haben Phishing- und Trojaner-Attacken wieder massiv zugenommen, professionellere Gestaltung, neue Ideen und der Einsatz von Phishing-Generatoren kennzeichnen das Bild.

Im Fall der "Volksbanken Raiffeisenbankengruppe" - Phishing-Mails wird ein sinnloser, offensichtlich generierter Text, in derselben Farbe wie der Hintergrund gehalten und damit praktisch unlesbar gemeinsam mit einem GIF-Bild verschickt, das wie ein normals Mail gestaltet ist. Das GIF-Bild enthält einen scheinbar korrekten Link wie "http://www.volksbank.de/.........", hinterlegt ist dem Bild jedoch ein Link auf eine Phishing-Seite (z.B "http://www.volksbank.de.networld.onlineid1889240809.njkerww.i..."). Wer versucht den Link im Bild anzuklicken, landet auf der Phishing-Seite.

Im Fall von IKEA werden Mails mit einem Betreff "Ihre IKEA Bestellung" oder ähnlichem verschickt. Man wird aufgefordert die Rechnung (Attachment) zu prüfen, ruft man jedoch die Detailrechnung auf, wird ein Trojaner installiert. Problematisch ist, dass manche Anti-Viren-Programme bei diesem neuen, derzeit "Fakebill" genannten Trojaner überfordert sind und ihn (noch) nicht erkennen. Das OpenSource-Antiviren-Programm ClamAV hatte jedoch relativ bald ein entsprechendes Update.


Bekannte und neue Muster

Bekannt ist die Einbettung von Schrift in derselben Hintergrundfarbe und auch das Hinterlegen von Links in Gifs. Wirksam ist diese Vorgangsweise bei den meisten Outlook-Benutzern noch allemal. Durch den generierten Text werden Spam-Filter unterlaufen, das Bild erscheint als "normales Mail", wählt man den Link an, landet man auf einer Phishingsite.

Neu jedoch ist das verbesserte Sozial Hacking, also die psychologische Beeinflussung der Mailempfänger. Die Mails kommen als "Softwareupdate", als "obligatorisch zu lesende Mitteilung" und auch als "PHISHING"-Warnung. Weiters enthalten die Mailtexte keine Schreibfehler mehr (und sind damit grammatikalisch besser als manche echte Bankenmails).

Bekannt ist das Versenden von Trojanern mit mehrfachen Dateiendungen, die sich als pdf-Datei oder Bilder ausgeben, jedoch ein Schadprogramm enthalten.

Im konkreten Fall verbindet sich der Trojaner mit verschiedensten US-Seiten und lädt verschlüsselte Dateien herunter. Unter anderem mit der Website der "Grace in the Desert Episcopal Church" (http://www.graceinthedesert.org). Diese Dateien dürften einerseits weitere Websites-Links enthalten, andererseits die eigentlichen Schadfunktionen. Die Vorgangsweise ist hochprofessionell und sichert die laufende Aktualisierung des Trojaners, auch wenn die ursprünglichen Websites gesperrt wurden.

Neu ist im Fall der IKEA-Rechnungen, dass neben einem hartnäckigen Trojaner massiv mit der Verunsicherung zu digitaler Signatur und eBilling gearbeitet wird.

Aus dem IKEA-Mail: "Ihre Rechnung ist im PDF-Format erstellt und mit einer 'Digitalen Signatur' unterzeichnet worden. Den entsprechenden Verifikationsbericht finden Sie im Anhang dieser E-Mail. Durch die 'Digitale Signatur' wird Ihre Rechnung nach dem Signatur-Gesetz (SigG) anerkannt."

Damit soll der gefälschten Rechnung Seriösität und Rechtswirksamkeit zuerkannt werden. Ein gleichsam gefälschter Verifikationsbericht soll weitere Bedenken zerstreuen.

Dieser Trend zu immer raffinierterem Social Hacking wurde schon im Zusammenhang mit der Online-Phishingstudie vorhergesagt. Details finden sich in der kürzlich präsentierten Onlinebanking-Studie (http://www.e-rating.at/php/cms_monitor.php?q=PUB-TEXT-E-RATIN...). Die Studie wurde durch eine Förderung des Bundesministeriums für soziale Sicherheit, Generationen und Konsumentenschutz ermöglicht.


Richtiges Verhalten der Benutzer

Antiviren-Programme sind eine gute Hilfe, doch durch die zwangsläufige Zeitverzögerung zwischen Auftauchen eines neuen Trojaners und dem Anti-Virenupdate keine zuverlässige Hilfe.

Wesentlich wichtiger ist jedoch sicheres Verhalten:
- Mahnungen und sonstige Informationen von Firmen, mit denen man in keiner Geschäftsbeziehung steht, sollte man ungelesen löschen.
- Mails sollten immer nur im Text-Modus angesehen werden, Graphiken und sonstige ausführbare Programme sollten niemals automatisch gestartet werden.
- Die Adressen aufgerufener Webseiten sollten immer kontrolliert werden. Wichtig ist nicht der Beginn einer URL, sondern deren Endung. Viele Angreifer nutzen bekannte Namen, wie eben www.volksbank.de um einen URL-Namen zu beginnen, die eigentliche Endung, die auch für die Domainregistrierung wesentlich ist, lautet jedoch auf njkerww.info oder ähnliches.
- Elektronisch zugestellte Rechnungen müssen eine fortgeschrittene Signatur enthalten. Neben A-CERT ADVANCED (https://www.globaltrust.eu), bestimmend im Markt der eBilling-Signatur, bieten nur wenige Unternehmen eine derartige Signatur an (Liste siehe unter http://www.rtr.at). Eine eBilling-Signatur muss vom Aussteller bestätigt werden können, ein eigener Verifikationsbericht ist nicht erforderlich und sollte daher misstrauisch machen. Bestehen Zweifel, ob eine fortgeschrittene Signatur vorliegt, ist jedenfalls die Aufsichtsstelle, die RTR GmbH zu kontaktieren.

mehr --> GLOBALTRUST ADVANCED - eBilling

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungsservice angeboten. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2024 Information gemäß DSGVO webmaster