Nachgefragt: Was ist eigentlich Typosquatting?

Beispiel für Typosquatting

Beim Typosquatting verändern die Betrüger die URL einer Seite minimal und versuchen dann unter dieser Adresse etwa Account-Daten zu klauen. Bild: Malwarebytes

Vor kurzem habe ich über Phishing-Seiten geschrieben, die Steam-Nutzern ihre Zugangsdaten klauen wollen. Einer der dabei verwendeten Tricks nennt sich Typosquatting. Was versteht man darunter?

Zunächst einmal ist Typosquatting ein Begriff aus dem Englischen, der sich aus „typo“ und „squatting“ zusammensetzt. „typo“ heißt übersetzt Tippfehler und der Begriff „squatting“ wird im Englischen verwendet, wenn  jemand auf einem Stück Land oder in einem Haus lebt ohne dazu die Erlaubnis des Besitzers zu haben (Meriam-Webster: „to live in a building or on land without the owner’s permission and without paying“). Read More …

Phishing-Kits mit Hintertüren

Die Welt ist schlecht, wird sich so mancher Internetbetrüger gedacht haben, als er erfahren musste, dass sein aus dubiosen Quellen erworbenes Phishing-Kit selbst eine Hintertür enthält. Etwa 34 Prozent aller Phishing-Kits, also Software mit der man gefälschte Finanz-Webseiten etc. erstellen kann, spioniert die Betrüger selbst aus und versendet die ergaunerten Ergebnisse einfach weiter.

Die Forscher haben laut einem Artikel im SC Magazine 379 Phishing-Kits untersucht und in 129 eine Hintertür entdeckt. Die Ergebnisse haben sie unter dem Namen There Is No Free Phish: An Analysis of „Free“ and Live Phishing Kits veröffentlicht und vor kurzem erstmals auf einer Usenix-Konferenz vorgestellt.

Marco Cova, einer der Autoren der Untersuchung:

It’s an ironic twist of events to observe that phishers phish phishers.

Der fiese Trick mit „Barbara Moratek“

Barbara Moratek von der Ivete Foundation hat in kurzer Zeit eine hohe Berühmtheit im Internet erlangt. Dabei gibt es sie und die Organisation gar nicht. Die Daten wurden in einer gezielten Spam-Aktion verwendet, mit der Non-Profit-Organisationen mit einem fiesen Trick hereingelegt werden sollten.

Laut Sunbelt-Blog sieht die an ausgewählte Empfänger versandte Mail so aus:

From: B. Moratek- Ivete Foundation [mailto:bmoratek@ivetefoundation.org]
Sent: Thursday, January 10, 2008 5:42 PM
To:
Subject: Information for prospective donors
Would you have additional information for prospective donors or volunteers other than what is on your website? Thank you in advance.

Warm regards,
Barb
Barbara Moratek
Vice President, Director of Grant Programs
Ivete Foundation
Phone-
Fax- 800.397.7205
Web- www.ivetefoundation.org

Wenn man die genannte Webseite besucht, gibt es dort aber nicht viel zu sehen:

Und so funktioniert der Trick: Die Spammer versenden gezielt ihre Mails (Targeted Spam). Die an der Thematik interessierten Empfänger suchen die Website der Ivete Foundation auf und sehen dort nur eine Seite im Aufbau. Die Kriminellen hoffen nun, das möglichst viele bei Google weiter recherchieren.

Der Index der Suchmaschine wurde nämlich vorher mit Adressen von Webseiten gefüttert, die einen FakeCodec-Trojaner verbreiten. Bei neuen Begriffen zu denen es bisher keine Treffer gibt, ist diese Manipulation von Google kein Problem. Sobald der PC des Besuchers dann infiziert ist, ist das Ziel der Spam-Mails erreicht.

Mittlerweile hat sich das Blatt gewendet und Google verweist vor allem auf Seiten, die über den fiesen Trick berichten und nur noch spärlich auf die verseuchten Adressen. Der Trick an sich funktioniert aber natürlich weiter. Die Cyber-Kriminellen benötigen nur einen neuen begrenzten Empfängerkreis sowie einen willkürlich ausgedachten, bisher unbekannten Namen und schon kann die nächste Spam-Welle beginnen.

Phishfighting-Dienst ausprobiert

Endlich eine passende Gelegenheit, den Phishfighting-Dienst auszuprobieren. Dabei werden die Formulare auf noch aktiven Phishing-Seiten alle 20 Sekunden mit sinnlosen Werten ausgefüllt.

Heute per Mail erhalten:

Gleich ausprobiert und — tata — die Seite ist noch online:

Nun der Test bei www.phishfighting.com:

Das Skript läuft und füllt die Datenbank des Phishers mit Müll. Fein.

Zur Ergänzung ein Auszug aus der FAQ von Phishfighting.com:

Q: Is sending false data to Phishers considered a DOS attack?

A: According to wikipedia: „A denial-of-service attack (also, DoS attack) is an attack on a computer system or network that causes … the loss of network connectivity and services by consuming the bandwidth of the victim network or overloading the computational resources of the victim system.“ PhishFighting.com only submits data entries once every 20 seconds, which only works out to 180 calls an hour. Far short of the many 1000’s of calls needed to create a DOS attack. It’s not our goal to consume the Phisher’s bandwidth, rather it is to provide so much data that the Phisher can not benefit for stolen valid data. Basically adding his needles to a haystack.

Phishing: Fiese Tricks zur Geldwäsche

Phisher setzen auf Privatanwender als mehr oder weniger unwissende Mittelsmänner, um die von ihnen ergaunerten Gelder in Sicherheit zu bringen, berichtet c’t in der aktuellen Ausgabe 18/05 auf Seite 55.

Das System funktioniert laut c’t so: Die Phisher bieten Internet-Nutzern an, eine Art Geldkurier zu spielen. Geht die betreffende Person auf das Angebot ein, erhält sie eine größere Geldsumme überwiesen, die sie dann wiederum auf ein Konto im Ausland transferieren soll. Als Entlohnung darf der Mittelsmann eine Provision von sechs bis zehn Prozent behalten.

Der Haken an der Geschichte: Das Geld stammt von Personen, die auf einen Phishing-Trick hereingefallen sind und denen ihre PIN sowie eine TAN geklaut wurden. Die Mittelsmänner machen sich damit der Geldwäsche schuldig und müssen mit einer Strafanzeige rechnen, warnt die Zeitschrift.

Nachtrag: Eine kurze Recherche im Spam-Folder hat das hervorgebracht …

Nach Phishing nun Pharming

Nein, damit ist für dieses Mal nicht die Profitgier der Pharma-Konzerne gemeint, sondern eine besonders hinterlistige Methode, um Online-Surfer auf gefälschte Webseiten zu lenken. Der Angriff beginnt damit, dass ein DNS-Server manipuliert wird, der für ein bestimmtes Adressgebiet die Zuweisung der Domain-Namen zu IP-Adressen übernimmt.

Jedesmal, wenn ein Surfer eine URL eintippt, fragt sein Browser den DNS-Server, an welche IP-Adresse er sich wenden soll. Ein manipulierter DNS-Server gibt nun beispielsweise statt der richtigen IP der Online-Bank eine andere Adresse aus, unter der sich eine gefälschte Website findet. Wenn die Seite gut gemacht ist, hat der Anwender keine Möglichkeit mehr, sich dagegen zu schützen. Tipps, wie die URL selbst einzutippen oder nur eigene Bookmarks zu verwenden, wie sie gegen Phishing gerne genannt werden, helfen nicht gegen Pharming.

Einen DNS-Server zu hacken, ist nun allerdings nicht ganz trivial und dürfte nicht besonders häufig passieren. Nicht so unwahrscheinlich ist dagegen eine zweite Pharming-Variante, auf die Panda Software hinweist: Ein Trojaner manipuliert einfach die lokale Hosts-Datei, in der ein Web-Browser zuerst nachsieht, wenn er eine URL auflöst. Wenn dort nun eine falsche IP für die Online-Bank steht, landet selbst ein umsichtiger Surfer auf der falschen Web-Seite. Trojaner wie Bancos, Banker und die Banbra-Familie sollen diesen Trick bereits verwenden.

Angesichts dieser Gefahren muss man sich nicht wundern, wenn dem E-Commerce die Nutzer in Scharen davon laufen.

Phishing IQ Test

Mailfrontier hat zum zweiten Mal einen „IQ-Test“ zusammengestellt, bei dem man herausfinden muss, ob zehn E-Mails fiese Phishing-Versuche oder doch ernstgemeinte Nachrichten ehrwürdiger Firmen sind. Manche der vorgestellten Mails sind eine harte Nuss, mein Ergebnis liegt bei 70 Prozent (*schäm*).

Es empfiehlt sich auf jeden Fall, nach Vollenden des Tests die Begründungen anzusehen, warum eine bestimmte Nachricht legitim ist oder eben nicht. Die Anmerkungen sind lehrreich. Der Knackpunkt ist oft die URL: Selbst wenn dort nur kleine Unstimmigkeiten sind, ist die Nachricht fast immer ein Phishing-Versuch. Deswegen niemals direkt auf einen Link in einer HTML-Mail klicken, sondern lieber den eigenen Bookmark verwenden oder die URL selbst im Browser eintippen.

Man muss sich auf jeden Fall nicht wundern, dass immer mehr Internet-Nutzer verunsichert sind und auf Mails von Firmen gar nicht mehr reagieren und — noch weitreichender — ihre Online-Einkäufe zurückschrauben. Der Forrester-Analyst Jonathan Penn hat diesen Effekt vor kurzem als „multitrillion dollar problem“ bezeichnet.

Mailfrontiert hat übrigens auch zehn Tipps (PDF, 68 KByte) verfasst, um Phishing-Nachrichten leichter zu erkennen.

Phishing: Das „multitrillion dollar problem“

Phishing — gefälschte E-Mails, die zum Beispiel Bankdaten ausspionieren sollen — führt dazu, dass Kunden das Vertrauen in Geschäfte über das Internet verlieren. Gegenüber Cnet sagte der Forrester-Analyst Jonathan Penn, das mittlerweile 92 Prozent der amerikanischen Haushalte der Meinung sind, dass die Online-Risiken größer als die Vorteile sind.

Bei 61 Prozent sei die Bereitschaft zurückgegangen, ihre Kreditkarten im Internet zu verwenden. Jeder zweite rechne außerdem damit, dass seine persönlichen Informationen missbraucht würden. Immerhin 36 Prozent haben auf Grund dieser Befürchtungen ihre Online-Einkäufe eingeschränkt. Darüber hinaus öffnen immer weniger Anwender E-Mails, die von Banken zu kommen scheinen. Das hat laut Penn direkte Auswirkungen auf die Geschäfte der Banken mit ihren größeren Kunden.

Die Konsequenzen für die gesamte E-Commerce-Branche sind jedoch noch weit schlimmer:

This makes this a multitrillion dollar problem.

Und weiter:

Companies across all sectors, he said, need to regain customer confidence through such means as assuring customers that firms are attempting to verify their identities–or those of anyone claiming to be them–and demonstrating that efforts are made to verify that transactions have been appropriately authorized.

Tipps aus der Wikipedia gegen Phishing:

Gegen Phishing helfen folgende einfache Regeln:

  • Die meisten Banken versenden wichtige Informationen nicht per E-Mail, sondern mit der Post.
  • URLs und E-Mail-Absenderadressen können gefälscht werden und sind nicht vertrauenswürdig.
  • Geben Sie die URL zum Onlinebanking immer mit der Hand in die Adresszeile ein oder benutzen Sie einen Favoriten (Lesezeichen) Ihres Browsers.
  • Zweifelsfälle immer mit der Bank klären!