zurück zum Artikel

In Phishing-Mails enthaltener Scripting Code manipuliert die lokale Hosts-Datei unter Windows, um Anwender auf falsche Server zu leiten.

Nach Angaben des Sicherheitsdienstleisters Messagelabs [1] haben Betrüger einen neuen Phishing-Trick [2] entwickelt, um an die Anmelde- und Konteninformationen von Bankkunden zu gelangen. Dazu versenden sie E-Mails mit Scripting Code, der die Hosts-Datei von Windows-Rechnern manipuliert. Die Hosts-Datei dient der statischen Zuordnung von Rechner-Namen zu IP-Adressen und wird etwa beim Aufruf einer Seite im Webbrowser zuerst abgefragt. Nur wenn der Name nicht darin enthalten ist, bemüht Windows einen DNS-Server, um an die IP-Adresse zu gelangen.

Die Betrüger tragen für bestimmte Banken eigene IP-Adressen in die Hosts-Datei ein, die zu präparierten Servern führen. Selbst wenn man keinem Link folgt und stattdessen die URL per Hand eingibt oder einen Bookmark aufruft, landet man durch diesen Trick der Angreifer auf der falschen Seite. Bislang habe man bei Messagelabs aber erst wenige solcher Mails abgefangen. Abhilfe soll des Abschalten von Windows Scripting Host bringen. Auch Viren und Würmer, etwa MyDoom, manipulieren die Hosts-Datei, um Antivirensoftware am Online-Update ihrer Signaturen zu hindern.

Siehe dazu auch: (dab [3])

• Trojaner leitet Browser auf falsche Seiten [4] auf heise Security
• Neue Variante des Wurms MyDoom zielt auf Microsoft [5] von heise Security

URL dieses Artikels:
https://www.heise.de/-113284

Links in diesem Artikel:
[1] http://www.messagelabs.com/home/default.asp
[2] https://www.heise.de/news/Faustregeln-gegen-Phishing-fuer-Betreiber-und-Kunden-104692.html
[3] mailto:dab@ct.de
[4] https://www.heise.de/news/Trojaner-leitet-Browser-auf-falsche-Seiten-Update-86223.html
[5] https://www.heise.de/news/Neue-Variante-des-Wurms-MyDoom-Novarg-zielt-auf-Microsoft-Update-92535.html

Copyright © 2004 Heise Medien