Startseite > Security > Mehrzahl bösartiger Webseiten sind Fälschungen legitimer Homepages

Websense Security Labs veröffentlichen Erfahrungsbericht

Mehrzahl bösartiger Webseiten sind Fälschungen legitimer Homepages

31. Januar 2008, 23:41 Uhr |

In ihrem Report über Sicherheitsrisiken aus dem Web im zweiten Halbjahr 2007 verzeichnen die Websense Security Labs einen weiteren Anstieg von Webangriffen. Wo ein finanzieller Profit winkt, haben Hacker ihre Methoden verfeinert und arbeiten mit einer Kombination aus Event-Hacking und Web-2.0-Angriffen: Sie kapern dazu unter anderem die Webseiten von Sportgroßereignissen.

Den Analysen zufolge lag die Zahl der "gekaperten" Webseiten im zweiten Halbjahr 2007 erstmals über der Zahl der eigens neu erstellten bösartigen Webseiten: Bekannte und als vertrauenswürdig geltende Webseiten werden "geentert" und als Startrampen umfangreicher Angriffswellen genutzt. Die Forscher warnen Surfer daher vor einem allzu leichtgläubigen Umgang mit vermeintlich sicheren Webseiten. Gefährdet sind vor allem die Seiten von Sportereignissen oder viel besuchte News-Portale. Flankierend dazu haben Hacker die URLs von Webseiten in Diskussionsforen und Blogs in Beschlag genommen, um Surfer zu ihren mit Trojanern präparierten Webseiten zu lotsen. Der dadurch erhöhte Traffic wiederum bewirkt, dass die heimtückischen Webseiten im Ranking von Suchmaschinen weit oben landen.

Am 27. August des vergangenen Jahres haben die Websense Security Labs eine Kompromittierung der offiziellen asiatisch-pazifischen AIDS/HIV-Aufklärungswebseite der Vereinten Nationen entdeckt. Beim Besuch der gekaperten Webseite wurde ein heimtückisches Skript ausgeführt, das versuchte, verschiedene bekannte Schwachstellen auf dem PC des Surfers auszunutzen. Waren die Rechner unzureichend geschützt, wurde ein Trojaner auf den Geräten platziert und eine Hintertür für weitere Webangriffe geöffnet. Die Folge: Surfer wurden unwissentlich Teil eines umfangreichen Bot-Netzwerks, das die Übeltäter für künftige Angriffswellen nutzen können.

Einen deutlichen Anstieg verzeichneten die Security Labs auch beim Event-Hacking und den Web-2.0-Angriffen. Das Gleiche gilt für Blended Threats (die Kombination beispielsweise aus E-Mail, Trojanern und der Ausnutzung bekannter und noch unentdeckter Sicherheitslücken). Im zweiten Halbjahr 2007 haben die Labs auf eine Reihe hochgefährlicher Attacken hingewiesen und Surfer gewarnt. Dazu zählten beispielsweise die folgenden Sicherheitsvorkommnisse:

– Im September 2007 entdeckten die Labs einen Web-2.0-Angriff auf Myspace, der unter der Bezeichnung "Phast Phlux Phishing" bekannt wurde. Bei der Anmeldeprozedur von Myspace leitete das gefälschte Passwortformular die Login-Daten des Benutzers an eine Domain in China weiter. Einmal infiziert verbreitete sich der Trojaner dann rasch auch an befreundete Myspace-Mitglieder (weitere Details unter:
www.websense.com/securitylabs/blog/blog.php?BlogID=143).

– Ende Oktober warnte das Labor vor einer trojanerverseuchten Halloween-Grußkarte. Erstmals entdeckt wurde der Schadcode bei einer Mail-Kampagne in Mexiko. Websense identifizierte vier Webseiten, die alle dieselbe binäre Datei verschickten. Bei dieser Datei handelte es sich um "hallowenDay.exe" mit dem MD5-Hash-Wert "65cd5a35bc70075f86cb6404f54d67b8". Besonders Besorgnis erregend: Nur wenige Antivirenlösungen waren in der Lage, den Bösewicht zu entdecken (weitere Details unter:
www.websense.com/securitylabs/alerts/alert.php?AlertID=814).

– Im Dezember 2007 stieß der Anbieter bei seinen Analysen auf eine E-Mail-Angriffswelle (U.S. Department of Justice Branded Information-Stealing Trojan Horse), die zuvor bereits in mehreren Varianten aufgetaucht war. In der E-Mail wurde behauptet, dass gegen den Empfänger der Mail beim US-Justizministerium eine Beschwerde vorliege; eine Kopie sei der Mail als Anhang beigefügt. Wurde das Attachment geöffnet, schlich sich ein Trojaner auf dem PC ein, der dann vertrauliche Benutzerdaten und Passwörter an den Urheber des Trojaners übermittelte (weitere Details unter:
www.websense.com/securitylabs/alerts/alert.php?AlertID=822 ).

LANline/jos