Phishing wird persönlich
Die Zahl gezielter Passwortdiebstahl-Angriffe auf ausgesuchte Personenkreise ist im Frühjahr 2006 exorbitant gestiegen. "Spear-Phishing", eine bis jetzt im Bereich militärischer Spionage übliche, punktuell angewendete Methode, wird nun auf die Zivilgesellschaft angewandt.
In den Expertenzirkeln des Bereichs Internet-Security machen derzeit zwei neue Begriffe die Runde: "Spear-Phishing" und "Exfiltration".
In seinem neuen Bedrohungsbericht weist das renommierte SANS Institute auf eine rasante Zunahme gezielter Phishing-Attacken auf jeweils relativ kleine, aber sehr interessante Personenkreise hin. Diese werden ausspioniert und dann gezielt und glaubhaft angegriffen, indem z. B. eine gefälschte, "dienstliche" E-Mail den Absender eines Vorgesetzten trägt.
"Exfiltration" sensibler Daten
Dann wird dem User aufgetragen, "aus Sicherheitsgründen" von der "dienstlichen" Website Software downzuladen und schon hat man einen Trojaner im Firmennetz, der sich für alle Finanztransaktionen und die damit verbundenen Passwörter und TANs [Transaktionsnummern] interessiert.
Die schrittweise "Exfiltration" dieser sensiblen Daten verlaufe durchwegs "geräuscharm" und werde deshalb lange nicht entdeckt, wodurch die Chancen der Betrüger, auch abzukassieren, hier viel höher seien, schreiben die Sicherheitsexperten der MessageLabs in ihrem neuesten Bericht.
Feindlich gesinnte Territorien
Dem gewöhnlich sehr gut informierten SANS-Institut ist "Spear-Phishing" schon seit drei Jahren ein Begriff, allerdings nicht im zivilen, sondern im militärischen Bereich. Die Speerfischerei-Attacken "disziplinierter Angreifer" aus den USA feindlich gesinnten Gebieten sind laut SANS ebenfalls in diesem Frühjahr auf ein Allzeithoch gestiegen.
Bevorzugtes Ziel seien immer noch Institutionen der US-Armee, besonders solche zur Atomforschung, es geht also um Spionage.
Aus diesem Bereich stammt auch der Begriff "Exfiltration", der in der "Intelligence Community" freilich einen anderen Tatbestand als Datenklau bezeichnet, nämlich die erfolgreiche Heimholung eines Agenten aus Feindesland. Nun werden Daten aus geschützten Netzen in feindliches Territorium "exfiltriert".
Eskalation seit Jahresbeginn
Seit Jahresbeginn ist die Anzahl der entdeckten Phishing-Websites auf weit über 9.000 hochgeschnellt, gegenüber 7.200 im Dezember 2005, sagt die Statistik der Anti-Phishing-Working-Group.
Etwa ein Drittel aller Phishing-Websites standen im Frühjahr 2006 auf US-Territorium vor China [zwölf Prozent] und Korea [9], dahinter sind Deutschland, Kanada, Japan, Rumänien und Spanien fast gleichauf. Während diese "Rangordnung" ansonsten in etwa dem Verhältnis von Einwohnern/Internet-Durchdringung folgt, fällt die starke Präsenz Rumäniens auf, während Sites in Großbritannien und Frankreich bei den global agierenden Phishing-Gangs offenbar weniger beliebt sind.
Die Aktivität eines Trojaners
Im März analysierten die Phisher-Jäger der Websense Security Labs die Aktivitäten eines Trojaners der nächsten, intelligenteren Generation. Jeder befallene Rechner hatte in seiner "Hosts"-Datei die Online-Banking-Websites von 100 verschiedenen Banken eingetragen, gesteuert wurde die kompromittierte Maschine über DNS [Name Service] aus Russland.
Der ahnungslose User wurde von "barclays.co.uk" auf eine gefälschte Barclays-Website umgeroutet, ohne dass dies sichtbar wurde. Während der Phishing-Angriff lief, konnte so auch laufend auf immer neue, noch nicht entdeckte gefälschte Websites umgeleitet werden.
Einer der fünf am neuesten Sicherheitsbericht des SANS Institute beteiligten Experten ist der Österreicher Gerhard Eschelbeck, Chief Technology Officer der US-Firma Webroot.