Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Hydra der Moderne - Die neuen Tricks der Spammer und Phisher

Seite 3: Rock Phishing

Inhaltsverzeichnis

Auch Phishing-Banden setzen immer mehr auf Proxies und Fast-Flux-Dienste. So zeichnet der äußerst erfolgreiche Phishing-Baukasten Rock Phish nach Schätzungen von Experten mittlerweile für etwa die Hälfte aller Phishing-Sites verantwortlich. Sein wichtigstes Unterscheidungsmerkmal zu herkömmlichen Phishing-Tools ist die Trennung zwischen dem Backend mit den eigentlichen Phishing-Seiten, aber ohne direkten "Kundenkontakt" und einem Frontend, dessen Adresse in E-Mails verbreitet wird. Dieses Frontend bilden meist kompromittierte Systeme mit Proxies, die sich einfach ersetzen lassen.

Der zentrale Rock-Phish-Server hält die eigentlichen Phishing-Seiten für verschiedene Ziele vor. "Kundenkontakt" haben nur die leicht ersetzbaren Proxies.

So kann ein Phisher auf einem Server gleichzeitig mehrere gefälschte Bankseiten aufsetzen, dessen Adresse er nicht nach außen geben muss und deren Namen deshalb auch keinen Bezug zu Banken aufweisen. Auf den Systemen, deren Adressen die Opfer zu sehen bekommen, finden sich andererseits weder verräterische Webseiten noch Log-Dateien. Lediglich ein unscheinbarer Dienst im Hintergrund leitet auf Kommando Anfragen an das Backend weiter und liefert dessen Antwort zurück.

Darüber hinaus tauchen auch schon erste Rock-Phish-Versionen auf, die nach Fast-Flux-Manier mit sehr kurzlebigen DNS-Einträgen arbeiten und Hunderte von IP-Adressen benutzen. Und diese Vorgehensweise zeigt beängstigende Erfolge. So ergeben Analysen des Computer Laboratory der University of Cambridge, dass Fast-Flux-Phishing-Domains mit einer im Vergleich zu herkömmlichen Phishing-Sites fast achtmal höheren mittleren Lebensdauer aufwarten können – nämlich rund 19 statt nur zweieinhalb Tage (454 statt 58 Stunden [1]).

Doch nicht immer geht es direkt ums Geld. Auf die Zugangsdaten von Myspace-Nutzern hatte es kürzlich eine Phishing-Attacke abgesehen, die ein Double-Flux-Netz einsetzte: Den Namen login.mylspace.com lösten immer wieder andere Nameserver auf und leiteten sie auf wechselnde Systeme mit Proxies um, die täuschend echt aussehende Login-Seiten präsentierten.

Amerikanische Medien berichten sogar, dass über eine ähnliche Attacke im Juni über Fast-Flux-Server fast 100.000 MySpace-Accounts kompromittiert wurden. Dabei diente Myspace einmal mehr als Versuchslabor für eine neuartige Wurm-Gattung, die sich über ein spezielles Medium ausbreitet. Die kompromittierten Accounts wurden nämlich sofort genutzt, um weitere Phishing-Fallen aufzustellen. Sie öffneten dann ebenfalls beim Klick auf einen Link eine Login-Seite, deren eigentliche Herkunft ein Fast-Flux-Netz verschleierte.

Der Einsatz von Proxies und Fast-Flux-Netzen erhöht aus Sicht der kriminellen Banden die mögliche Nutzungsdauer und damit auch die Rentabilität ihrer wichtigsten Infrastruktur. Die Umstellung ist daher für sie eine äußerst lukrative Investition und bereits in vollem Gange.

Die "good guys" hingegen, die ein Bot-Netz oder Phishing-Sites aus dem Verkehr ziehen wollen, haben es nicht mehr nur mit einem Server zu tun, sondern mit einer Hydra, der ständig neue Köpfe nachwachsen. Hunderte oder gar Tausende von Proxies aus dem Verkehr zu ziehen ist von vornherein ein aussichtsloses Unterfangen.

Um stattdessen den zentralen Server im Hintergrund abzuschalten, sind zusätzliche Ermittlungen notwendig. Dazu muss man zunächst mal über die IP-Adresse an einen der Proxy-Bots herankommen – was sich ziemlich aufwendig gestalten kann. Provider geben die Namen und Adressen ihrer Kunden meist nur im Rahmen konkreter Ermittlungsverfahren an Strafverfolgungsbehörden heraus. Die müssen dann den Rechner vor Ort – also in aller Regel in einem anderen Land – analysieren oder beschlagnahmen lassen. Auf dem finden sich dann weder Log-Dateien noch andere Spuren der bisherigen Aktivitäten. Man muss also warten, bis der Proxy-Dienst wieder aktiv wird. Damit wird schon deutlich, dass bei solchen Ermittlungen nicht mehr von Stunden oder Tagen bis zum Aufspüren und Stilllegen eines bösartigen Servers die Rede sein kann, sondern eher von Wochen oder Monaten.

Als wichtigster Ansatzpunkt, ein Bot-Netz oder eine Phishing-Site direkt und zeitnah aus dem Verkehr zu ziehen, bleibt damit der Domain Name Service. Denn über den müssen die Angreifer letztlich ihre IP-Adressen verbreiten. Doch die Registrare zeigen sich oftmals noch uneinsichtiger als Web-Hoster, wenn es darum geht, offensichtlich missbrauchte Ressourcen in ihrem Verantwortungsbereich stillzulegen. Schließlich ist der Beschuldigte erstmal ein zahlender Kunde und der Kläger ein Außenstehender, der nur Ärger macht. So weigerte sich erst kürzlich der zentrale österreichische Domain-Registrar NIC.at hartnäckig, über 60 Rock-Phish-Domains stillzulegen, die für Phishing-Angriffe gegen Banken genutzt wurden [3].

[1] Tyler Moore and Richard Clayton, University of Cambridge Computer Laboratory: An Empirical Analysis of the Current State of Phishing Attack and Defense

[2] The Honeynet Project & Research Alliance, Know Your Enemy: Fast-Flux Service Networks - An Ever Changing Enemy

[3] Spamhaus.org: Report on the criminal 'Rock Phish' domains registered at Nic.at (ju)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten