Phisher setzen auf Geo-Blocking

Damit Phishing-Seiten länger überleben, lassen sich manche von ihnen nur aus dem Land abrufen, auf das es die Cyber-Ganoven abgesehen haben. Phishing-Filterdienste bleiben deshalb außen vor und schöpfen keinen Verdacht.

In Pocket speichern vorlesen Druckansicht 15 Kommentare lesen
Phisher setzen auf Geo-Blocking
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg

Cyber-Ganoven nutzen vermehrt einen Trick, um ihre Phishing-Seiten vor Filterlisten zu verstecken: Geo-Blocking. Das ist bisher vor allem von Film-Industrie und Fernsehsendern bekannt, die im Internet um ihr länderzentriertes Geschäftsmodell bangen: Wer mit einer ausländischen IP-Adresse ankommt, darf die Inhalte nicht nutzen.

Ruft man die Phishing-Seite über einen deutschen Internetanschluss auf, wird sie regulär angezeigt.

Zunehmend kommen auch Kriminelle auf den Trichter, welche Chancen Geo-Blocking eröffnet: Um die vornehmlich US-zentrierten Phishing-Filter auszutricksen, setzt eine vornehmlich in Deutschland aktive Betrügerbande Geo-Location ein. Wer nicht zur Zielgruppe gehört, wird ausgesperrt; den "Phish" bekommen nur potentielle Opfer zu sehen.

Ein Leser hat heise Security eine Reihe von .de-Domains genannt, unter denen eine nahezu perfekte deutschsprachige Kopie der PayPal-Seite zu erreichen ist – allerdings nur, solange der Nutzer sie von einem deutschen Anschluss aus abruft. Versucht er die Seite aus dem Ausland anzusteuern, liefert der Server lediglich den Hinweis "suspended account". Kommt der Besucher nicht aus Deutschland, so wird ihm der trügerische Eindruck vermittelt, dass der Webhosting-Account bereits stillgelegt sei.

Das führt schlimmstenfalls dazu, dass ein automatischer Crawler oder auch der Administrator einer Filterliste keinen Handlungsbedarf sieht. Und das Konzept scheint aufzugehen: So befand sich eine der uns bekannten Domains am Freitagnachmittag nur auf der Filterliste von ESET – und das auch nur, weil sich unser Leser persönlich mit dem Unternehmen in Verbindung gesetzt hat.

Ruft man sie hingegen aus dem Ausland auf, erscheint lediglich ein Hinweis, laut dem der Hosting-Account bereits gesperrt wurde.

Das Geo-Blocking-Konzept geht noch eine Stufe weiter als das bereits bekannte Black-Listing und sperrt großflächig ganze IP-Adressbereiche aus. Bisher verweigerten die Malware-Server einzelnen IP-Adressen den Zugang, die etwa Antiviren-Herstellern oder anderen Sicherheitsfirmen zugeordnet wurden. Auch heise Security beobachtete bereits Schadseiten, die nicht funktionierten, wenn aus dem Heise-Netz darauf zugegriffen wurde. (ju) / (rei)