Einzelne Bande war für zwei Drittel aller Phishing-Angriffe verantwortlich

Die während des zweiten Halbjahres 2009 registrierten Phishing-Angriffe (126.000) gingen nach Angaben der Anti Phishing Working Group (APWG) zu rund zwei Drittel auf das Konto einer einzelnen Phishing-Bande. Nach Meinung der APWG könnte es sich bei der "Avalanche" (engl. Lawine) genannten Gruppe um einen direkten Nachfolger der Gruppe "Rock Phish" handeln.

Rock Phish hatte besonderes in den Jahren 2006 und 2007 von sich reden gemacht, weil deren Mitglieder unter anderem ein spezielles, leicht bedienbares Phishing-Toolkit einsetzten. Das Toolkit unterstützte als Erstes auch Fast-Flux-Netze, bei denen die Domain-Namen zu Phishing-Seiten konstant bleiben, während die IP-Adressen ständig wechseln und auf infizierte (Heim-)PCs mit Phishing-Seiten zeigen. Damit versuchen die Phisher, ihre Spuren zu verwischen und ihre Infrastruktur zuverlässiger zu machen, weil kein Hosting-Provider darin eingreifen kann. Einzig der Registrar kann die benutzte Domain sperren.

Laut APWG benutzten die Phisher deshalb mehrere hundert Domains – und registrierten Domain Namen am liebsten bei Registraren, die auf Hinweise etwa von Ermitlungsbehörden gar nicht oder nur langsam reagieren. Schöpft ein Registrar Verdacht, beispielsweise aufgund seltsamer Domainnamen, so ziehen die Phisher zum nächsten, weniger achtsamen Registrar weiter – offenbar gab und gibt es jedoch davon genug.

Dennoch gelang es durch die Zusammenarbeit betroffener Banken, Registrare und anderer Dienstleister, die Avalanche-Angriffe relativ schnell einzudämmen. Ohnehin ist in den vergangenen Jahren die durchschnittliche "Uptime" eines Phishing-Angriff laut APWG von 50 Stunden Anfang 2008 auf 32 Stunden Ende 2009 gesunken.

Aufgrund der immer schneller greifenden Gegenmaßnahmen sind die Avalanche-Angriffe möglicherweise nun auch versandet: Während sie im Oktober des vergangen Jahres mit 26.000 (und 924 unterschiedlichen Domainnamen) ihren Höhepunkt erreichten, waren im April 2010 so gut wie keine Aktivitäten mehr zu beobachten.

Die beliebtesten Top-Level-Domains bei der Registrierung durch die Avalanche-Gruppe waren .eu (33 Prozent), .com (23 Prozent), .uk und .net. Im Vergleich dazu waren bei anderen Phishing-Banden .com (47 Prozent) und .net (7 Prozent) am häufigsten vorzufinden.

Bemerkenswert ist, dass die APWG bislang nur sehr wenige sogenannte Homograph Spoofing Attacks im Zusammenhang mit der Unterstützung des International Domain Name (IDN) beobachtet hat. Dabei sehen Zeichen in einer URL zwar richtig aus, sind es aber nicht. Beispielsweise werden ein kyrillisches a und ein lateinisches a von den meisten Zeichensätzen grafisch gleich dargestellt, obwohl es sich um unterschiedliche Zeichen handelt (look alike character). Diesen Umstand könnten Phisher bei Adressen wie www.paypal.com prinzipiell zur Täuschung benutzen. Die APWG vermutet, dass Phisher nicht darauf zurückgreifen, weil der Domainname ohnehin keine Rolle spiele – offenbar prüfen Anwender URLs immer noch nicht sorgfältig genug.

Der vollständige Bericht steht zum Download zur Verfügung: Global Phishing Survey: Trends and Domain Name Use in 2H2009 (PDF-Datei)

Siehe dazu auch:

• Phishing-Seiten aus dem Baukasten

(dab)