Universelles Man-in-the-Middle Phishing-Kit entdeckt

Bausatz hilft Online-Betrügern bei der Ausführung von höher entwickelten Angriffen

(19.01.07) - RSA, The Security Divison of EMC, gab bekannt, dass ihr Anti-Fraud Command Center (AFCC) ein neues Phishing-Kit entdeckt hat, das bereits von Betrügern im Internet genutzt und gehandelt wird.

Bei dem Bausatz handelt es sich um ein universelles Man-in-the-Middle Phishing Kit, das ent-wickelt wurde, um neuartige und technisch ausgefeilte Angriffe auf internationale Unternehmen auszuüben. Die Opfer kommunizieren zwar mit einer legitimen Website, allerdings über eine gefälschte URL, die vom Betrüger gesetzt wird. Die Sicherheitsexperten von RSA haben eine Demo des Kits analysiert, die als kostenlose Testversion in einem Online-Forum angeboten wurde. Derartige kriminelle Online-Foren werden vom AFCC ständig beobachtet.

Die Funktionsweise des Phishing-Kits

Mit dem Kit kann der Angreifer über ein einfaches und benutzerfreundliches Online Interface eine betrügerische URL generieren. Diese URL kommuniziert mit der echten Website des angegriffenen Unternehmens in Echtzeit, etwa mit der Online-Banking-Seite eines Finanzinstituts, dem Bestell-Interface eines Online-Händlers oder jeglicher anderer Website eines Unternehmens, das Geschäfte mit seinen Kunden online abwickelt. Das Opfer erhält eine "Standard“-Phishing-E-Mail, und wenn es auf den Link klickt, wird es auf die betrügerische URL umgeleitet. Das Opfer interagiert aber mit dem echten Inhalt der legitimen Website, das durch den Angriff in die Phishing-URL "importiert" wurde. Dadurch erlangen die Betrüger nahtlos, unsichtbar und unmittelbar Zugang zu den persönlichen Daten des Opfers.

Vorteile für den Betrüger

Die RSA-Analysten konnten zwei wichtige Vorteile ausfindig machen, von denen die Nutzer des Kits profitieren:

· Es handelt sich um ein "universelles“ Phishing-Kit, das heißt, es kann sehr leicht je nach Ziel angepasst werden. Kriminelle, die ein solches Kit erwerben, brauchen für ein neues Ziel kein weiteres Kit zu erwerben oder zu bauen, da der Angriff so konfiguriert werden kann, dass Seiten von jeglicher Website "importiert" werden.

· Im Gegensatz zu einem standardisierten Phishing-Angriff, der lediglich bestimmte Daten sammelt (meist Logins und kartenbezogene Daten), ist ein Angriff mit dem Kit so angelegt, genau so sämtliche Informationen abzufangen, die vom Opfer nach dem Login gesendet werden.

Das Aufspüren und Bekämpfen

Das AFCC von RSA verfährt mit dieser Art von Angriffen in ähnlicher Manier wie mit "Standard“-Phishing-Versuchen. Es verfügt über ein weit gespanntes Netzwerk zur Überwachung und dem Aufspüren von Betrugsversuchen und große Erfahrung mit dem Schließen von betrügerischen Seiten, die bereits von mehr als 150 Kunden des FraudAction Anti-Phishing/Anti-Pharming Service genutzt wird. Dazu kann RSA spezielle Arten von Angriffen über ihr eFraudNetwork, ein firmenübergreifendes Anti-Betrugsnetzwerk, identifizieren, analysieren und entschärfen, indem es ausgeklügelte Analytiken in die "RSA Risk Engine" speist. Damit werden wiederum Kunden geschützt, die ebenfalls "RSA Adaptive Authentication" oder "RSA Transaction Monitoring" nutzen.

"Da Institute zusätzliche Online-Sicherheitsvorkehrungen aufbauen, müssen sich die Betrüger zwangsweise nach neuen Methoden umsehen, um ahnungslosen Opfern ihre Daten und ihr Eigentum zu klauen. Während diese Art von Angriffen gemeinhin der nächsten Generation zugerechnet wird, glauben wir, dass sie in den nächsten 12-18 Monaten erheblich zunehmen werden“, sagt Marc Gaffan, Director of Marketing, Consumer Solutions bei RSA. "Wir arbeiten mit vielen Unternehmen und Organisationen zusammen, um sicherzustellen, dass sie so aufgestellt sind, dass sie den zukünftigen Bedrohungen gewachsen sind. Einige davon haben bereits mehrschichtige Schutzmechanismen implementiert, andere sind gerade dabei." (RSA: EMC: ma)