Corona als Phishing-Köder
Die Psychologie von Phishing
Fortsetzung des Artikels von Teil 1
Die Funktionsweise von COVID-19-Ködern
Vorwegzunehmen ist, dass es eine Herausforderung darstellt, sachliche Informationen über COVID-19 zu finden. Es gibt viele widersprüchliche Informationen, während Wissenschaftler und Politiker über Sicherheitsvorkehrungen und die Gefahr des Coronavirus streiten. Diese Unsicherheit ist der perfekte Klick-Köder.
Es folgt die Betrachtung einer URL, die dem Sicherheits-Forschungsteam von Keysight bei dem Versuch aufgefallen ist, Menschen zu überlisten. (Der Link ist abgeändert, damit niemand, der diesen Artikel liest, darauf klicken kann. Die unmodifizierte Version des Links ist außerdem nicht mehr vorhanden.)
hxxps:[//]cdc.gov.coronavirus.secure.server[.]shorttermrental[.]org[/]vaccine/auth/cgi-bin/cgi-bin.exe
- Die erste Subdomain ist cdc.gov. Dieser Teil der URL soll die Zielperson dahingehend täuschen, dass sie glaubt, es handele sich um Informationen aus dem US Center for Disease Control, was zunächst eine verlässliche Quelle darstellt.
- Die nächste Subdomain ist coronavirus. Auch dies zielt darauf ab, der Zielgruppe vorzugaukeln, dass dieser Link jene entscheidenden Informationen enthält, die sie über ein emotionsgeladenes Thema informieren.
- Die nächsten beiden Subdomains sind secure und server. Hier handelt es sich um harmlose und potenziell beruhigende Domains, die die wahre Domain weiter schützen und verbergen soll.
- Shorttermrental[.]org ist die Domain, die tatsächlich aufgelöst wird.
- Innerhalb des Link-Verzeichnisses gibt es ein weiteres Schlüsselwort, das Emotionen erwecken soll: vaccine (Impfung). Dies ruft einige wirkungsvolle Fragen hervor, die es zu erforschen gilt, wie beispielsweise, ob CDC einen Impfstoff befürwortet oder es bereits einen solchen gibt.
- Als nächstes folgt /auth/cgi-bin. Dies ist ein Verzeichnis für den Apache-Webserver, der Skripte des Common Gateway Interface ausführt.
- Der schließlich zu analysierende Teil ist cgi-bin.exe. Die Malware ist durch sich wiederholende Zeichenfolgen versteckt, die wie etwas aussehen, das man schon einmal gesehen hat, aber möglicherweise nicht versteht. Dies ist ein Konzept, bezeichnet als semantische Sättigung, ein psychologisches Phänomen, bei dem die Wiederholung dazu führt, dass ein Wort oder eine Phrase vorübergehend an Bedeutung für den Leser verliert. Diese Technik wendet die Malware hier an: /auth/cgi-bin/cgi-bin.exe
Diese gesamte URL ist so gestaltet, dass sie so viele Emotionen wie möglich hervorruft und gleichzeitig einen ausführbaren Link verbirgt, der Malware auf den Computer herunterlädt. In Wirklichkeit handelt es sich bei cgi-bin.exe um die Malware Win.Worm.Brontok-88, die sich selbst in verschiedene Ordner kopiert und die Sicherheitseinstellungen des Betriebssystems ändert, bevor sie die Host-Datei ändert, die als Datenbank für die Auflösung von Domänennamen dient. Diese Malware ist in Russland weit verbreitet, aber sie hat eine globale Reichweite.
Andere COVID-19-Kampagnen haben die gleiche Technik benutzt, um Emotionen in den Zielpersonen hervorzurufen, aber anstatt zu behaupten, kritische Informationen von der CDC zu haben, tarnen sie sich als Website von Finanzinstitutionen, staatlichen Steuerbehörden und vielen anderen.
Phil Trainor ist Director Security Solutions bei Keysight Technologies, www.keysight.com.
- Die Psychologie von Phishing
- Die Funktionsweise von COVID-19-Ködern
Lesen Sie mehr zum Thema
