Universelles Phishing-Kit erleichtert Betrügern die Arbeit
Der Bausatz soll ausgefeiltere Angriffe als bisher ermöglichen, etwa Man-in-the-Middle-Attacken. Der Angreifer kann mit dem Kit über ein benutzerfreundliches Online-Interface eine betrügerische Seite generieren.
- Daniel Bachfeld
Ein Phishing-Kit hilft Betrügern bei der Entwicklung von automatisierten Angriffen auf Anwender zum Klau von Log-in-Daten sowie PIN und TANs. Das berichtet RSA, Hersteller von Sicherheitsprodukten unter anderem zur Authentifizierung in Netzwerken. Das von RSA betriebene Anti-Fraud Command Center (AFCC) will ein universelles Man-in-the-Middle Phishing-Kit entdeckt haben, das bereits von Betrügern im Internet genutzt und gehandelt wird. Das AFCC nutzt unter anderem das firmenübergreifende Anti-Betrugsnetzwerk eFraudNetwork, um Angriffe zu erkennen.
Bei dem Bausatz soll es sich um ein Phishing-Kit handeln, mit dem ausgefeiltere Angriffe als bisher möglich sein sollen. Die Opfer kommunizieren zwar mit einer legitimen Website, allerdings über eine gefälschte, die vom Betrüger betrieben wird und die Pakete quasi wie ein Proxy an die echte Seite weiterleitet. Die erste Demonstration eines derartigen Angriffs lieferte schon im August 2005 die RWTH Aachen.
Die Sicherheitsexperten von RSA haben eine Demo des Kits analysiert, die als kostenlose Testversion in einem Online-Forum angeboten wurde. Laut RSA kann der Angreifer mit dem Kit über ein einfaches und benutzerfreundliches Online-Interface eine betrügerische Seite generieren. Diese schaltet sich quasi zwischen die Kommunikation des Anwenders mit der echten Website des angegriffenen Unternehmens in Echtzeit. Das Opfer erhält eine Phishing-E-Mail, die auf die betrügerische URL umleitet. Alle vom Opfer eingegebenen Daten landen dann sowohl beim Phisher als auch bei der Bank.
Mit diesem Angriff ließe sich auch das mittlerweile von einigen Banken eingeführte iTAN-Verfahren aushebeln: Meldet sich das Opfer mit seiner PIN auf der vermeintlich echten Seite an, so verwendet die Phishing-Seite diese in Echtzeit zum Log-in – allerdings bei der echten Bank. Versucht das Opfer nun eine Überweisung anzustoßen, so tut es die betrügerischen Seite ihm gleich – wiederum bei der echten Bank. Das Opfer erhält in diesem Fall von der Bank aber keine Nachfrage nach einer iTAN. Stattdessen fragt die Bank die Phishing-Seite nach der iTAN xyz für ihren Überweisung. Da sie die nicht kennt, gaukelt sie nun ihrem Opfer eine Nachfrage der Bank vor. In der Annahme, die Nachfrage sei für seine Überweisung, tippt das Opfer die gewünschte iTAN ein, die anschließend auf der Phishing-Seite landet, die damit die eigene Überweisung durchführen kann.
Auch die zum Schutz vor Phishing angepriesene Zweifaktorauthentifizierung mittels Security-Token, wie sie RSA etwa mit seinem SecurID anbietet, ist bereits mit ein ähnlichen Man-in-the-Middle-Attacke ausgetrickst worden.
Siehe dazu auch:
- iTAN-Verfahren unsicherer als von Banken behauptet, Meldung auf heise Security
(dab)
