Technisch versierte Phisher manipulieren im Directory

EnterpriseSicherheit

Die Zeiten, in denen man Phishing-Mails daran erkennen konnte, dass die gefälschte Webadresse anders als die originale geschrieben wurde sind vorbei.

Die Zeiten, in denen man Phishing-Mails daran erkennen konnte, dass die gefälschte Webadresse anders als die originale geschrieben wurde (master_card.com statt mastercard.com) sind vorbei. Betrüger sind heute gerissener und erfahrener denn je, was so viel bedeutet wie: es kann nur schlimmer werden.
“Es kommt schon eher einem organisierten Verbrechen gleich”, sagte Paris Trudeau, Senior Product Manager für Internet Security bei Surfcontrol gegenüber der Nachrichtenagentur Reuters. Die Internetdiebe legten ihre Betrügereien tief in der Technik ab, wo sie schwer zu lokalisieren und zu eliminieren seien. So hat die dänische Sicherheitsfirma Secunia erst vergangenen Monat eine neue Art des Phishings entdeckt: die Hacker verändern ein nur Insidern bekanntes Directory in Windows, das ‘host file’ heißt. Tippt der Anwender eine bestimmte Webadresse ein wird er auf die geklonte und gefälschte Seite geleitet, ohne dass er es bemerkt. Kunden von verschiedenen südamerikanische Banken seien so schon Opfer geworden, heißt es. 

Halt machen die Diebe auch nicht mehr vor DNS-Servern (Domain Name Server). Die sind eigentlich schwer bewacht und nicht leicht zu knacken. Sie organisieren letztlich den Internetverkehr, indem sie eingetippte Adressnamen in Nummern übersetzen und so Ausgangs- und Zielort für IP lesbar machen. Hacker geben sich hier als technischer Support aus und spionieren die Passwörter vor allem von neuen Mitarbeitern aus. Das bringt sie in die Position, die Domainnamen zu ‘entführen’.

Und dann ist da noch der eingangs erwähnte klassische Phisher. Hauptsächlich Banken beziehungsweise deren Kunden trifft es bei dieser Variante. Citibank und Mastercard registrieren derzeit verstärkte Aktivitäten. Anti-Spyware-Software hilft hier nur noch bedingt. Experten raten Anwendern zu Token-basierten-Lösungen oder halten Admins an, Webadressen authentifizieren zu lassen, so wie es heute bei Mails oft getan wird.