Gezielter Angriff auf Kunden von K&M-Elektronik
Kriminelle nutzen gestohlene Kundendaten und eine Lücke im Onlineshop derzeit für einen ausgefeilten Angriff auf K&M-Kunden. Wer sich einen versprochenen Gutschein auf der Webseite von K&M abholen wollte, fing sich Schadcode ein.
- Ronald Eikenberg
(Bild: heise Security)
Kriminelle versuchen derzeit mit Phishing-Mails gezielt Kunden des Elektronikhändlers K&M Computer anzugreifen. In den Mails mit dem gefälschten Absendern noreply@kmelektonik.de und service@kmelektronik.de wurde den Kunden ein Gutschein anlässlich des 15-jährigen Bestehens des Onlineshops versprochen. Die Kunden werden in der Mail aufgefordert, einem Link zu folgen, der tatsächlich auf die K&M-Website verweist. Besucht man die Seite, soll man einem Java-Applet den Zugriff auf den Computer gewähren. Dadurch wird eine Datei namens jpg.exe heruntergeladen und ausgeführt. Das System ist kompromittiert.
Allem Anschein nach wird hierbei keine Sicherheitslücke in Java ausgenutzt, das Opfer wird in der Mail mittels Social Engineering vielmehr darauf vorbereitet, dem Rechtedialog zuzustimmen: "Um Ihren persönlichen Gutscheincode zu sichern, besuchen Sie bitte folgende Seite und bestätigen Sie die Java-Anwendung, um diesen erstellen zu lassen." heißt es in der fingierten K&M-Mail. Die Kriminellen nutzen offenbar eine SQL-Injection-Lücke im Webshop von K&M, um einen Verweis auf das extern gehostete Java-Applet in den Quelltext der Shop-Seite beim Aufruf einzubetten.
Die Kundendatenbank von K&M befindet sich bereits seit geraumer Zeit in den Händen von Kriminellen, wie K&M-Elektronik gegenüber heise Security bestätigte. Bereits im November 2009 haben Unbekannte den Server angegriffen und Anschriften sowie Mailadressen sämtlicher Kunden kopiert. Obwohl das Unternehmen seinen Shop nach dem Vorfall einer Sicherheitsprüfung unterzogen haben will, gelang es Kriminellen im Mai dieses Jahres erneut, die Kundendaten zu entwenden. Wie viele Kunden bei K&M registriert und somit von den Vorfällen betroffen sind, wollte K&M auf Rückfrage von heise Security nicht bekannt geben: "Wir bitten wir um Verständnis dafür, dass der Vorstand solche Daten als Betriebsgeheimnis betrachtet."
(Bild: heise Security)
K&M hat seine Kunden erst auf Rückfrage über diese Vorfälle informiert. Zwar gab es einen Hinweis im Shop, dieser dürfte einem Gros der betroffenen Kunden jedoch entgangen sein, sofern sie nicht regelmäßig die K&M-Webseite besuchen. Bislang wurden diese Daten nach Informationen von heise Security jedoch nur für allgemeinen Spam genutzt.
Nach dem jüngsten Vorfall hat K&M seinen Webserver komplett vom Netz genommen. Der Shop wird erst wieder erreichbar sein, wenn die Sicherheit des Servers durch ein externes Unternehmen untersucht wurde, bestätigte ein Sprecher. Da K&M den lahmgelegten Server auch für den Mailversand nutzt, hat das Unternehmen derzeit keine Möglichkeit, ein Warnmail an seine Kunden zu senden. Stattdessen hat der Elektronikhändler eine Stellungnahme auf seiner Facebook-Seite veröffentlicht.
[Update] K&M hat die Sicherheitslücke inzwischen nach eigenen Angaben geschlossen. Der Onlineshop ist wieder erreichbar, eine deutlich sichtbarer Hinweis warnt die Besucher vor der Phishingmail. Über den Diebstahl der Kundendaten schweigt sich K&M an dieser Stelle allerdings aus. Per Mail will das Unternehmen seine Kunden nicht über den Angriff informieren. [/Update] (rei)
