Dieter Kochheim, <strong>Cybercrime</strong> - 34 -Bemerkenswert ist, dass die APWG bislang nursehr wenige sogenannte Homograph Spoofing Attacksim Zusammenhang mit der Unterstützung desInternational Domain Name (IDN) beobachtet hat.Dabei sehen Zeichen in einer URL zwar richtig aus,sind es aber nicht. Beispielsweise werden ein kyrillischesa und ein lateinisches a von den meisten Zeichensätzengrafisch gleich dargestellt, obwohl essich um unterschiedliche Zeichen handelt (look alikecharacter). Diesen Umstand könnten Phisher beiAdressen wie www.paypal.com prinzipiell zur Täuschungbenutzen. Die APWG vermutet, dass Phishernicht darauf zurückgreifen, weil der Domainnameohnehin keine Rolle spiele – offenbar prüfen AnwenderURLs immer noch nicht sorgfältig genug. 110A.2 10. Umleitungen im InternetDie bislang vorgestellten Täuschungen bei derAdressierung im Internet zielen darauf ab, dass derAnwender unbedarft handelt. Sie sind Methodendes Social Engineering, also der Suggestion undder Manipulation.Die moderne Malware 111 manipuliert informationstechnischeVerarbeitungsvorgänge hingegenim Geheimen, unbemerkt und fatal. Ihre bevorzugtenZiele sind korrumpierte Internetseiten, derVerarbeitungsvorgang im laufenden Betrieb einesPCs und schließlich sein Systemstart.Manipulationen beim Systemstart setzen voraus,dass die Schadsoftware das Zielsystem bereits infizierthat, ohne sich (bislang) einnisten, also installierenzu können. Die Malware (der Starter) wartetdarauf, zusammen mit einem normalen Systemstartin das System eindringen zu können. Anfälligdafür sind innere Komponenten, die Speicherfunktionenhaben 112 , und Netzkomponenten, die regelmäßigangesprochen werden 113 . Bei die-sen Gerätenhandelt es sich selber um "intelligente" informationsverarbeitendeSysteme, die ihrerseits infi-110Daniel Bachfeld, Einzelne Bande war für zwei Drittelaller Phishing-Angriffe verantwortlich, Heise online17.05.2010111CF, Phishing mit Homebanking-Malware, 22.10.2008112Neben den Komponenten für den Startprozess (WP,Basic Input Output System - BIOS, WP,Bootbereiche von Speichermedien) können dazuauch Peripheriegeräte wie die Grafik-, Sound- undTV-Karten missbraucht werden, die alle wegen ihrerFunktionstüchtigkeit angesprochen werden.113WP, Router, WP, Switch, WP, Wireless LANDNS-PoisoningDiese Methode setzt voraus, dass der PC bereitsmit Malware infiziert ist. Sie verändert die Eintragungenin der lokalen Hostdatei 114 , die dazu dient,die DNS-Namen 115 häufig besuchter Webseiten inihre nummerische Adresse für das Internetprotokollumzuwandeln. Das gemeine daran ist, dass derPC zunächst die Hostdatei danach fragt, ob ihr diegesuchte IP-Adresse bekannt ist, ohne die DNS-Server im Internet abzufragen. Enthält sie veränderteDaten zum Beispiel für das Internet-Banking,werden sie automatisch zu einer nachgemachtenWebseite geführt, die Ihre Bankdaten ausspioniert(zum Beispiel durch einen Man-in-the-Middle-Angriff 116 ).serverbasiertes DNS-PoisoningDas serverbasierte DNS-Poisoning ähnelt der erstenVariante, nur dass hierbei die DNS-Tabellen eineshäuslichen Netzes oder eines Zugangsproviderskorrumpiert werden. Besonders unauffälligsind Manipulationen an den den Netzkomponentenkleiner häuslicher oder betrieblicher Netze, weil siein aller Regel einmal eingerichtet, kaum überwachtund deshalb vom Anwender bald nicht mehr alsGefahrenquelle wahrgenommen werden 117 .Die Host-Tabellen großer Zugangsprovider sindzwar schon Opfer von Angriffen geworden. Bei ihnenist jedoch die Kontrolldichte höher, so dass dieManipulationen schneller bemerkt und korrigiertwerden.ziert sein und den Startvorgang zur Infiltrationnutzen können 118 .Der Zugriff auf das Internet erfolgt nicht nur dadurch,dass der Anwender seine E-Mails oder imBrowser Webseiten aufruft. Viele Programme machendas auch selbsttätig, um nach neuen Meldungen,Virensignaturen oder Programmversionennachzufragen.Solche vom PC zugelassenenNetzkontakte lassen sich prinzipiell auch von der114Unter Windows:C:\WINDOWS\system32\ drivers\etc\lmhosts;siehe auch Namensauflösung.115CF, Auflösung von DNS-Adressen, 2007116CF, The Man-in-the-Middle, Sommer 2007117CF, Umleitungen zu manipulierten Webseiten,09.12.2008118Trojaner konfiguriert Router um, Heise online13.06.2008;siehe auch CF, Malware. Betriebssystem,12.05.2008
Dieter Kochheim, <strong>Cybercrime</strong> - 35 -iframe-UmleitungHierbei werden die Suchfunktionen auf Webseitenmissbraucht, wenn sie die von ihnen vermitteltenSuchanfragen für Google zwischenspeichern. Danachist es möglich, in die Adressen auf der Ergebnisseitevon Google "iframe-Tags" einzuschmuggeln119. Iframes sind dazu eingeführt worden, um aufeiner Webseite Bereiche festzulegen, in denenfremde Dateien (zum Beispiel Werbung) eingeblendetwerden können. In Verbindung mit DNS-Adressen werden die Browser jedoch auf eine Seitegeführt, die der Angreifer bestimmt (Drive-By-Download). Dort werden dann Antivirenprogrammeoder Video-Codecs zum Download angeboten, indenen allerdings der Trojaner Zlob stecken soll(Heise online).Eine neue Variante soll statt iframes JavaScript indie Ergebnislisten injizieren 120 .gehackte WebserverDynamische Webseiten werden auf eine Abfragejeweils neu zusammen gestellt. Dadurch kann dasErscheinen von Artikeln, Werbeeinblendungen undAktualisierungen zeitlich gesteuert und angepasstwerden. Die Bestandteile der Webseite sind dabei ineiner Datenbank gespeichert (Content ManagementSystem).Wenn die Datenbank gehackt wird, kann in der neugenerierten Seite auch Schadcode eingebettet werden121 .Malware missbrauchen.Eine kriminelle Variante davon ist das DNS-Poisoning, bei dem die lokale Hostdatei manipuliertwird (siehe Kasten), um unbemerkt auf präparierteInternetseiten umzuleiten. Diese Methode ist besondersim Zusammenhang mit der Weiterentwicklungdes Phishings 122 zum Pharming 123 und beider Infiltration mit Botsoftware bekannt geworden.Die angesprochenen Manipulationsmethoden die-119Betrüger missbrauchen Suchfunktionen bekannterWebseiten, Heise Security 08.03.2008120Massenhacks von Webseiten werden zur Plage,Heise online 14.03.2008121Wieder groß angelegte Angriffe auf Web-Anwenderim Gange, Heise Security 09.01.2008;Massen-SQL-Einspeisung geht weiter, tecchannel10.05.2008122CF, Massenhacks von Webseiten werden zur Plage,14.03.2008123CF, Pharming, 2007nen dazu, entweder den Anwender auf nachgemachte Webseitenzu locken, um seine privaten Daten abzugreifen124, einen Starter für die Installation mit Malwareeinzuschleusen oder die Malware direkt in das Zielsystem einzubringen.Ein Beispiel für das serverbasierte DNS-Poisoning wurde 2008 bekannt 125 , wobei einDSL-Router auf einen vorgegaukelten DHCP-Server 126 im lokalen Netz umgeleitet wird, derseinerseits mit einem externen DNS-Server verbindet127 .A.2 11. Angriffe gegen Webserver und CMSBeim Cross-Site-Scripting werden in den Codeder Originalseite im Internet korrumpierte Teileeingesetzt, die den Kunden unbemerkt zu einermanipulierten Seite führen.Das gilt besonders für die iframe-Umleitung. Hierbeiwerden vor allem die Suchfunktionen aufWebseiten missbraucht, wenn sie die von ihnenvermittelten Suchanfragen für Google zwischenspeichern.Danach ist es zum Beispiel möglich, indie Adressen auf der Ergebnisseite von Google"iframe-Tags" einzuschmuggeln 128 . iframes sinddazu eingeführt worden, um auf einer WebseiteBereiche festzulegen, in denen fremde Dateien(zum Beispiel Werbung) eingeblendet werdenkönnen. In Verbindung mit DNS-Adressen werdendie Browser jedoch auf eine Seite geführt, die derAngreifer bestimmt (Drive-By-Download). Dortwerden dann Antivirenprogramme oder Video--Codecs zum Download angeboten, in denen allerdingsder Trojaner Zlob stecken soll.124CF, Umleitungen zu manipulierten Webseiten,09.12.2008125CF, DNS-Poisoning, 21.11.2008;CF, Pharming, 2007126WP, Dynamic Host Configuration Protocol - DHCP127CF, Umleitungen zu manipulierten Webseiten,09.12.2008128Betrüger missbrauchen Suchfunktionen bekannterWebseiten, Heise Security 08.03.2008
- Seite 2 und 3: Dieter Kochheim, Cybercrime - 2 -3
- Seite 4 und 5: Dieter Kochheim, Cybercrime - 4 -57
- Seite 6: Dieter Kochheim, Cybercrime - 6 -A.
- Seite 9 und 10: Dieter Kochheim, Cybercrime - 9 -ve
- Seite 11 und 12: Dieter Kochheim, Cybercrime - 11 -A
- Seite 13 und 14: Dieter Kochheim, Cybercrime - 13 -A
- Seite 15 und 16: Dieter Kochheim, Cybercrime - 15 -g
- Seite 17 und 18: Dieter Kochheim, Cybercrime - 17 -V
- Seite 19 und 20: Dieter Kochheim, Cybercrime - 19 -v
- Seite 21 und 22: Dieter Kochheim, Cybercrime - 21 -D
- Seite 23 und 24: Dieter Kochheim, Cybercrime - 23 -l
- Seite 25 und 26: Dieter Kochheim, Cybercrime - 25 -f
- Seite 27 und 28: Dieter Kochheim, Cybercrime - 27 -A
- Seite 29 und 30: Dieter Kochheim, Cybercrime - 29 -D
- Seite 31 und 32: Dieter Kochheim, Cybercrime - 31 -1
- Seite 33: Dieter Kochheim, Cybercrime - 33 -g
- Seite 37 und 38: Dieter Kochheim, Cybercrime - 37 -A
- Seite 39 und 40: Dieter Kochheim, Cybercrime - 39 -h
- Seite 41 und 42: Dieter Kochheim, Cybercrime - 41 -r
- Seite 43 und 44: Dieter Kochheim, Cybercrime - 43 -A
- Seite 45 und 46: Dieter Kochheim, Cybercrime - 45 -A
- Seite 47 und 48: Dieter Kochheim, Cybercrime - 47 -A
- Seite 49 und 50: Dieter Kochheim, Cybercrime - 49 -A
- Seite 51 und 52: Dieter Kochheim, Cybercrime - 51 -r
- Seite 53 und 54: Dieter Kochheim, Cybercrime - 53 -
- Seite 55 und 56: Dieter Kochheim, Cybercrime - 55 -A
- Seite 57 und 58: Dieter Kochheim, Cybercrime - 57 -
- Seite 59 und 60: Dieter Kochheim, Cybercrime - 59 -A
- Seite 61 und 62: Dieter Kochheim, Cybercrime - 61 -B
- Seite 63 und 64: Dieter Kochheim, Cybercrime - 63 -B
- Seite 65 und 66: Dieter Kochheim, Cybercrime - 65 -V
- Seite 67 und 68: Dieter Kochheim, Cybercrime - 67 -D
- Seite 69 und 70: Dieter Kochheim, Cybercrime - 69 -I
- Seite 71 und 72: Dieter Kochheim, Cybercrime - 71 -S
- Seite 73 und 74: Dieter Kochheim, Cybercrime - 73 -B
- Seite 75 und 76: Dieter Kochheim, Cybercrime - 75 -B
- Seite 77 und 78: Dieter Kochheim, Cybercrime - 77 -z
- Seite 79 und 80: Dieter Kochheim, Cybercrime - 79 -B
- Seite 81 und 82: Dieter Kochheim, Cybercrime - 81 -A
- Seite 83 und 84: Dieter Kochheim, Cybercrime - 83 -D
- Seite 85 und 86:
Dieter Kochheim, Cybercrime - 85 -a
- Seite 87 und 88:
Dieter Kochheim, Cybercrime - 87 -r
- Seite 89 und 90:
Dieter Kochheim, Cybercrime - 89 -C
- Seite 91 und 92:
Dieter Kochheim, Cybercrime - 91 -C
- Seite 93 und 94:
Dieter Kochheim, Cybercrime - 93 -k
- Seite 95 und 96:
Dieter Kochheim, Cybercrime - 95 -a
- Seite 97 und 98:
Dieter Kochheim, Cybercrime - 97 -s
- Seite 99 und 100:
Dieter Kochheim, Cybercrime - 99 -d
- Seite 101 und 102:
Dieter Kochheim, Cybercrime - 101 -
- Seite 103 und 104:
Dieter Kochheim, Cybercrime - 103 -
- Seite 105 und 106:
Dieter Kochheim, Cybercrime - 105 -
- Seite 107 und 108:
Dieter Kochheim, Cybercrime - 107 -
- Seite 109 und 110:
Dieter Kochheim, Cybercrime - 109 -
- Seite 111 und 112:
Dieter Kochheim, Cybercrime - 111 -
- Seite 113 und 114:
Dieter Kochheim, Cybercrime - 113 -
- Seite 115 und 116:
Dieter Kochheim, Cybercrime - 115 -
- Seite 117 und 118:
Dieter Kochheim, Cybercrime - 117 -
- Seite 119 und 120:
Dieter Kochheim, Cybercrime - 119 -
- Seite 121 und 122:
Dieter Kochheim, Cybercrime - 121 -
- Seite 123 und 124:
Dieter Kochheim, Cybercrime - 123 -
- Seite 125 und 126:
Dieter Kochheim, Cybercrime - 125 -