Web Cyberfahnder
über Suchmaschinen und -strategien
  Cybercrime    Ermittlungen    TK & Internet    Literatur    intern    Impressum 
Phishing 8
Phishing 6 zur nächsten Überschrift andere Methoden zur Ausspähung

 
Phishing (Startseite)
Phishing-Aktion, Vorbereitungen
Werbung von Finanzagenten
Ausforschung von Kontozugangsdaten
Penetration mit ausgespähten Daten
Sicherung des kriminellen Gewinns
organisierte Strukturen

andere Methoden zur Ausspähung
 

 
Hardware-Methoden
Keylogger
Schnittstellen zur Datenübertragung
Superwürmer
IP-Würmer
IP-Würmer im Einsatz
The Man in the Middle

Fachworte
Anmerkungen


 


Die Darstellung Phishing beschränkte sich bislang auf die häufige Form, bei der die Anwerbung von Finanzagenten und die Täuschung von Bankkunden über Spam-Aktionen bewerkstelligt wird. Dieses "klassische", nahezu handwerkliche Phishing ist mehr und mehr von dem Einsatz von Botnetzen verdrängt worden, mit denen Gruppen von PCs aber auch einzelne Geräte für kriminelle Zwecke missbraucht und natürlich auch ausgeforscht werden können.

Daneben gibt es noch viele andere Methoden und ihre Spielarten, mit denen versucht wird, Konto- oder andere sensible Daten auszuspähen. Eine traditionelle Methode ist das Ausspähen und Kopieren von Kreditkartendaten mit Methoden, die mit der elektronischen Datenverarbeitung nichts zu tun haben.
 

Phishing 6 zur nächsten Überschrift nach oben Hardware-Methoden Keylogger

 

manipulierter Bankautomat, Quelle: LKA Bayern
Meldung: Geldautomat mit illegalem Zusatzgerät ausgestattet


Keylogger von der Firma keylogger-hrd.com
 

 
Auch als klassischer Angriff ist die Täuschung durch (handwerklich gut gemachte) Fassaden. In ihrer ursprünglichen Form handelte es sich um Aufsätze auf Nachtbriefkästen und Einwurfschächte für Geldbomben. Diese wurden von den Tätern nach Feierabend vor die Original-Einwurfschächte einer Bank montiert und verhinderten, dass die Geldbomben oder Verrechnungsschecks in den Tresor (usw.) der Bank fielen, sondern in den Zwischenraum hinter der Fassade.

In ihren neueren Spielarten werden - häufig von international tätigen Tätergruppen - die Geldautomaten oder andere Lesegeräte so manipuliert, dass die Karteninformationen ausspioniert, weitere Dateneingaben beobachtet und der Dump schließlich entweder auf eine andere Karte (Rohling) kopiert oder mit der gestohlenen Originalkarte missbraucht wird. Auch das hat einen Namen: Skimming.
 

 
Keylogger sind Adapter, die zwischen den Stecker der PC-Tastatur und der Tastatur-Buchse am PC eingestöpselt werden. Sie protokollieren alle Tastatureingaben mit und speichern sie. Während die älteren Varianten vom Täter wieder deinstalliert werden müssen ist auch von neueren Arten berichtet worden, die nach einem vorgegebenen Zeitpunkt oder nach einer bestimmten Datenmenge ihren Speicherinhalt per Funk dem Täter übermitteln. Dann können sie weitere Daten ausspähen.

Solche Hardware-Keylogger eignen sich weniger für die Spionage nach Kontodaten, sondern eher für lange Texte. Aber das ändert nichts an ihrer prinzipiellen Gefährlichkeit.

Die moderne Malware realisiert Keylogger als Programme, die ebenfalls Tastatureingaben und andere Vorgänge im Computer protokollieren.
 

Phishing 6 zur nächsten Überschrift nach oben Schnittstellen zur Datenübertragung
   
Als Angriffspunkte für die Spionage sind viele Schnittstellen denkbar. Besonders moderne Laptops und andere mobile Geräte sind mit verschiedenen von ihnen ausgestattet, die verschiedene Frequenzbereiche des Funks betreffen.

Sie beschränken sich aber nicht auf die üblichen Funknetze (Wireless LAN - WLAN), deren Gefahren beim unbedarften Umgang hinreichend bekannt sind, sondern können auch den "Nahfunk" betreffen. Die dazu etablierte Technik ist "Bluetooth" . Kaum einem Anwender ist geläufig, dass sein Laptop permanent nach Gegenstellen suchen könnte, mit denen es einen Kontakt aufbauen und Daten austauschen könnte . Diese Gegenstelle könnte in dem Werbegeschenk eines Geschäftsfreundes eingebaut sein und z.B. die Anmeldedaten des Laptops zum Firmennetz protokollieren.
 
 
Die am meisten unkalkulierbare Gefahr ist der Mensch, der aus Bosheit, Selbstüberschätzung, Bequemlichkeit oder Unbedarftheit Sicherheitsvorrichtungen oder -regeln umgeht, sie penetriert oder fatale Anwendungsfehler macht.

Die dazu entwickelten Angriffsmethoden werden als "social engineering" dokumentiert und diskutiert. Sie reichen vom Durchstöbern von Abfällen nach interessanten Aufzeichnungen bis hin zu psychologisch geschickten Ausfragungen. Auch die Gestaltungen und Formulierungen von Spam-Mails und den Webseiten der Phisher sind geprägt von den "Überredungsstrategien" des social engineering. Dabei handelt es sich um klassische Methoden der Detektiv- und Spionagearbeit, die an die heutigen Bedürfnisse angepasst werden.
 
Phishing 6 zur nächsten Überschrift nach oben Superwürmer
   
Datenspionage ist nicht nur mit Spam-Methoden oder einem aufwändigen Hardwareeinsatz möglich, sondern auch Software-basierend mit Malware, also mit schädlichen Programmen in verschiedenen Spielarten.

Viren als die älteste bekannte Form der Malware sind zumeist kleine Programmsequenzen, die sich in andere Programme einnisten, ihre ungewollte Wirkung ausführen und sich schließlich vermehren und verbreiten. Sie brauchen ein Trägermedium, in das sie sich einfügen. Dazu können sie Teile des Trägers überschreiben, damit ihre Existenz weniger auffällt, oder sich schlicht an eine Programmsequenz anschließen. Sie "leben" davon, dass ihr Wirt als unschädliches Programm vom Anwender oder seinem Computer aktiviert wird.

Die gefährdetste Phase, die Viren bevorzugt ausnutzen, ist der Boot-Vorgang, also das Starten eines Computers. Zuvor ist das Betriebssystem noch nicht aktiv, sondern muss erst geladen und ausgeführt werden. Dazu müssen definierte physikalische Bereiche von Datenträgern gelesen werden, wobei es sich um Disketten, Festplatten und beliebige andere Datenträger handeln kann, die vom BIOS dazu angesprochen werden.
 
 
Im Gegensatz dazu treten Würmer bevorzugt als Anhänge an anderen Dateien auf. Sie nutzen nicht die Aktivität des Trägers aus, sondern die Einstellungen des Systems, wie mit bestimmten Dateien zu verfahren ist (Umgebungen). Ihre Wirte sind deshalb Dateien mit Formaten, die anwenderfreundlich und bequem von verbreiteten Programmen verwendet werden und dabei bevorzugt im Zusammenhang mit elektronischen Nachrichten und Büroanwendungen.

Deshalb können Würmer viel Programmcode enthalten, weil sie sich durch ihr Erscheinungsbild tarnen und nicht durch die Eigenschaften des Wirts.

Ihre Funktionalitäten sind beliebig und vielfältig. Sie können weitere Funktionen aus dem Netz installieren, ihr Erscheinungsbild ändern und alle denkbaren Ereignisse steuern.

Trojaner schließlich bieten sich mit ihren Diensten und Funktionen an und verdecken dabei ihre schädlichen Eigenschaften, die sie unbemerkt ausführen. Sie müssen also eine begehrte Funktionalität haben, die den Anwender zu ihrem Einsatz reizt.
Phishing 6 zur nächsten Überschrift nach oben IP-Würmer
 

 
Die Ur-Würmer verbreiteten sich ausschließlich als Anhänge zu anderen Dateien und dabei bevorzugt im Zusammenhang mit E-Mails. Sie nutzten in aller Regel die bequemen Runtime-Umgebungen der Browser (Java for Applications, activeX) oder von Office-Anwendungen aus (Visual Basic for Acclications für Word und Excel aus dem Office-Paket von Microsoft), wobei sie entweder selbständig starten konnten oder vom Anwender unbedarft aktiviert werden mussten.
 

 
Sie nisten sich ein, ändern die Systemeinstellungen, verbreiten sich, laden weitere Programmteile aus dem Netz und entfalten die ihnen eingegebenen Aktivitäten.

Dabei verwenden sie verschiedene Techniken zur Tarnung. Sie sind vereinzelt in der Lage, ihren Programmcode zu aktualisieren, ihr Erscheinungsbild zu ändern und sich immer wieder an aktualisierte Virenscanner und Firewalls anzupassen. Von einigen wurde bekannt, dass sie diese Schutzware gezielt angreifen und deaktivieren.
 
Phishing 6 zur nächsten Überschrift nach oben IP-Würmer im Einsatz
   
Spionageaufgaben lassen sich nicht nur mit Hardwarekomponenten ausführen (siehe oben), sondern grundsätzlich auch mit Programmen und deshalb auch mit Malware.

Wegen der Kontodaten eines Opfers ist folgendes Szenario vorstellbar (es wird diskutiert, sein Vorhandensein behauptet, aber nicht belegt).

Das Opfer wird mit einem Wurm penetriert; dafür gibt es haufenweise Beweise. Der Wurm nistet sich ein und das heißt in aller Regel, dass er seine Aktivierungsparameter in der Registry oder anderen Systemdateien hinterlegt, Kommunikationskomponenten aus dem Internet lädt (besonders Komponenten für FTP-Server) und weitere Änderungen an den Systemeinstellungen und -programmen unternimmt.

Dann entfaltet er aber keine auffälligen Aktivitäten, sondern lauert und wartet. Bis der Anwender z.B. seine Homebanking-Software oder die dazu genutzte Internetseite aufruft.
 


 Den Homebankingvorgang protokolliert der Wurm vollständig. Wenn der Anwender nach der Eingabe einer Transaktionsnummer einen Bezahlvorgang abschließen will, wird der Wurm aber besonders aktiv. Er blockiert den Return-Befehl (Absatzvorsprung), blockiert die Standard-Zugangsdaten zum Internet und zum Homebanking, öffnet eine besondere Spezifikation für den Internetzugang und übermittelt die von ihm protokollierten Kontodaten.

Der Angreifer muss jetzt handeln und die ausgeschnüffelten Daten missbrauchen. Der Anwender jedoch bekommt keine Vollzugsmeldung für seine Homebanking-Aktion und kann sich auch nicht mehr in das Internet einloggen, weil die Zugangsdaten vom Wurm gesperrt wurden.

Dieses Szenario lässt sich auf andere Situationen und Angriffsziele beliebig übertragen.

Siehe Computersabotage

Phishing 6 zur nächsten Überschrift nach oben The Man in the Middle
   
Im Anschluss an die Sicherheitsmaßnahmen der Banken, zum E-TAN-Verfahren zu wechseln und nur gesicherte https-Verbindungen zwischen der Bank und dem Kunden aufzubauen, gibt es nur zwei Methoden für ein erfolgreiches Phishing: Entweder man erlangt von den Bankkunden haufenweise TANs und erhöht damit Wahrscheinlichkeit, dass eine darunter ist, die von der Bank auch angefordert wird, oder man agiert als "Man in the Middle".

Hierzu benötigt der Angreifer zunächst einmal die Kontozugangsdaten, die ihm sein Wurm beschafft hat. Darüber hinaus hat der Wurm z.B. die DNS-Tabelle im PC des Bankkunden abgeändert, so dass er beim Homebanking nicht mit der IP der Bank, sondern mit dem Angreifer verbunden wird.

Auf seinem Computer simuliert nun der Angreifer die Homebanking-Umgebung der Bank und nimmt einerseits Kontakt zur Bank auf, um die von ihm gewollte Transaktion vorzubereiten.

Während der Session vollzieht der Angreifer alle Bewegungen des Bankkunden nach und simuliert auf seinem Computer die Meldungen der Bank über Kontostände, Daueraufträge und andere Bestandsdaten.
  
 
In dem Moment, in dem der Bankkunde eine Transaktion ausführt, für die er eine TAN benötigt, ändert sich das Verhalten des Angreifers. Während er bislang alle Bewegungen des Bankkunden nachvollzogen und die Meldungen der Bank weitergegeben hat, führt er jetzt unbemerkt eine Überweisung auf ein von ihm bestimmtes Konto aus.

Die Bank meldet dem Angreifer die Position der TAN, die sie zur Legitimation benötigt und genau diese Anfrage reicht der Angreifer zum Bankkunden weiter. Der Bankkunde meint, die Legitimation beträfe seine, nur in der simulierten Umgebung stattfindende Überweisung, und übermittelt die angeforderte TAN. Diese gibt der Angreifer an die Bank weiter und löst damit seine Überweisung aus.

Das lässt sich beliebig fortsetzen je nach dem, wie gut und anpassungsfähig die Simulationsumgebung ist.
 
Phishing 6 zur nächsten Überschrift nach oben Fachworte
 

 
In der Phisher-Szene haben sich Fachbegriffe entwickelt (aus: Compact 1/2007, S. 173).

CCV2: Eine komplette Kreditkarteninformation. Der Begriff bezieht sich auf die Prüfziffer der Karte, die meist auf der Rückseite abgedruckt ist.

Dump: Kompletter Satz gefälschter Kreditkarten.

Drop: ein sicherer Ort, etwa ein Lieferplatz für mit gestohlenem Geld bestellte Güter oder ein sicheres Bankkonto.
 


Mule oder Mule-Account: Sicheres Bankkonto, auf dem sich Geld zwischenlagern lässt. Die Accounts müssen vertrauenswürdig wirken, indem sie etwa bereits längere Zeit existieren und aktiv genutzt werden.

Ripper: Ein enttarnter Angestellter einer Sicherheitsfirma oder einer Behörde. Alternativ auch ein Schwindler, der die angebotene Ware nicht liefert oder geleiferte Ware nicht bezahlt.

Skimmer: Scanner, der die Informationen aus dem Magnetstreifen von EC- oder Kreditkarten ausliest, beispielsweise als Aufsatz für einen Geldautomaten.
Siehe Skimming.
 

Phishing 6 nach oben Anmerkungen
 

 
Bluetooth hat eine Reichweite von mindestens 10 Metern in großen Räumen. In seiner aktuellen Version, Bluetooth 2, ist die Reichweite auf rund 200 Meter erweitert worden. Unter Einsatz der Richtfunktechnik kann die Reichweite auf einen Kilometer erhöht werden ( Bluetooth-Modul für Langstreckenfunk, Heise online 18.07.2007)
Die Schlagseite in der 11/2007 zeigt hintersinnig, wie sich Bluetooth-Geräte gegenseitig stören können, ohne dass damit eine missbräuchliche Absicht verbunden sein muss.
 

 
Bluetooth ist ein Standard, der auf Funkfrequenzen aufbaut. Zur Übermittlung von Daten eignen sich aber auch andere Frequenzbänder, z.B. Infrarot.
Phishing 6 nach oben Cyberfahnder
 

 

 

 

 

 

 

 

 

 

 

© Dieter Kochheim, 02.08.2009