Student verschreibt sich absichtlich und US-Regierung führt potentiellen Schadcode aus
In seiner Bachelorarbeit beleuchtet ein Student einen rund zehn Jahre alten Ansatz, um Opfern Schadcode unterzujubeln. Sein Experiment war ein voller Erfolg.
Eigentlich ist Typosquatting ein alter Hut, doch der deutsche Informatik-Student Nikolai Philipp Tschacher zeigt in seiner Bachelorarbeit, dass immer noch viele darauf reinfallen. Typosquatting nutzen Kriminelle, um Opfer mittels Schreibfehlern auf Fake-Webseiten zu locken; etwa ein Klick auf www.goggle.com könnte fatale Folgen haben.
Wolf im Schafspelz
Tschacher wendete dieses Konzept auf seinen potentiellen Schad-Code an und betitelte diesen mit ähnlichen Namen von weit verbreiteten legitimen Paketen. Anschließend stellte er seinen betrügerischen Code in verschiedenen Entwickler-Gemeinschaften wie NPM, PyPI und RubyGems zur Verfügung. Sein Code infizierte natürlich keine Computer, sondern zeigte nach der Ausführung lediglich einen Hinweis an, dass man unter Umständen versehentlich ein falsches Paket installiert hat.
Nach mehreren Monaten wurde der Code Tschacher zufolge 45.000 Mal auf mehr als 17.000 verschiedenen Domains ausgeführt. Dabei lief der Code in der Hälfte der Fälle mit Admin-Rechten. Um diese Zahlen zu ermitteln, funkte sein Skript die Zugriffe an einen Universitäts-Computer. Unter den Domains sollen sich auch welche von der US-Regierung und dem -Militär befunden haben. Echter Schadcode hätte die Computer kompromittieren und zum Beispiel für ein Bot-Netz missbrauchen können.
Tschacher zufolge setzen Angreifer bereits derartige Taktiken ein. Um dieser Art von Typosquatting-Angriffen entgegenzuwirken, hat er ein Skript entwickelt, das Typo-Fehler bei beliebten Paketen aus Entwickler-Repositorien erkennen kann. (des)
