Schadsoftware: Gauner kapern MySpace-Profile und Weihnachtsmann-Seiten (Spiegel Online, 12.11.2007)
Fiese Schadsoftware
Gauner kapern MySpace-Profile und Weihnachtsmann-Seiten
Neue Tricks: Computerkriminelle jubeln Surfern mit gerissenen Methoden Schnüffelprogramme unter. Sie bauen ihre Fallen auf beliebten harmlosen Seiten ein, tarnen und timen ihre Angriffe perfekt. Jüngstes Opfer: Die Soul-Sängerin Alicia Keys.
Spiegel Online, 12.11.2007
Der perfekte Zeitpunkt für einen Angriff: Das neue Album "As I am" der Soul-Sängerin Alicia Keys erscheint morgen in den Vereinigten Staaten, ist in Deutschland schon seit Freitag erhältlich. Während des Veröffentlichungsrummels haben Kriminelle das MySpace-Profil der Sängerin manipuliert. Bis zum Wochenende konnten Websurfer auf der extrem populären Seite (mehr als 12 Millionen Abrufe seit dem Start 2005) nicht nur kostenlos Stücke aus dem neuen Keys-Album hören, sondern sich auch Viren einfangen.
Die Angreifer gingen raffiniert vor: Sie hatten auf bisher noch nicht geklärtem Weg ein Hintergrundbild auf der MySpace-Seite von Keys eingebaut, das den größten Teil der Seite abdeckte. Die Homepage sah aus wie zuvor, funktionierte tadellos. Einziger Unterschied: Die Grafikdatei enthielt einen Verweis auf eine zwielichtige Web-Seite, die angeblich in China beheimatet ist. Perfide: Wer auf der Profilseite die Links anklickte, blieb unbeschadet. Wer aber irgendwo versehentlich auch nur ein paar Millimeter neben einem richtigen Link in das Hintergrundbild klickte, löste einen Angriff auf seinen Rechner aus.
Die Attacken haben mehrere Sicherheitsexperten unabhängig voneinander untersucht. Ergebnisse: Nach dem Klick auf den trickreich untergejubelten Link testet eine Programmroutine den Computer zuerst auf Sicherheitslücken, durch die unbemerkt Schadsoftware eingeschleust werden kann. Sind die Schotten offen, wird ein Schädling per Drive-By, also das simple Aufrufen der Seite, installiert.
Bei so nicht angreifbaren Rechnern öffnete sich ein Fenster mit dem Hinweis, doch bitte einen Video-Codec zu installieren, um Online-Filmchen betrachten zu können. Diese Aufforderung dürfte die Nutzer der mit Videos und Sound-Dateien überladenen MySpace-Seiten wenig überraschen.
Mehrere MySpace-Profile betroffen
Inzwischen hat MySpace die Linkfalle zumindest auf der Profilseite von Alicia Keys wieder entfernt. SPIEGEL ONLINE hat diese Hacks allerdings noch am Montagnachmittag auf drei anderen MySpace-Profilseiten beobachtet.
Der IT-Sicherheitsexperte Christopher Boyd, Schadsoftwareforscher beim Dienstleister Facetime Security, verfolgt die MySpace-Manipulationen schon seit Ende Oktober. Er berichtete SPIEGEL ONLINE von anderen Fällen: "Ich habe mehr als 20 gehackte Seiten entdeckt. Viele der Bands säubern ihre Profile ständig, stellen nach einiger Zeit fest, dass sie wieder gehackt wurden." Boyd sprach am Montagnachmittag von "mehreren noch aktiven gehackten Seiten."
Zum Umfang der Angriffe konnte MySpace wegen der laufenden Ermittlungen keine Angaben machen. Joel Berger, Geschäftsführer MySpace Deutschland sagte zu SPIEGEL ONLINE: "MySpace arbeitet zur Zeit mit allen Kräften daran, das Problem zu lösen und hat auch die Behörden dazu eingeschaltet."
MySpace geht davon aus, dass die Login-Daten der betroffenen Konten nicht über eine MySpace-Sicherheitslücke nach außen gedrungen sind. Geschäftsführer Berger: "Es handelt sich hierbei eindeutig um Phishing-Angriffe, eine Gruppe von Hackern hat sich illegal Zugriff auf verschiedene Profile verschafft."
MySpace-Hack oder Phishing?
Phishing bedeutet, dass Kriminelle die MySpace-Passwörter nicht aus der Datenbank des Portals, sondern bei den Besitzern selbst mittels Trojanern oder gefälschter Web-Seiten abgegriffen haben. Sicherheitsexperten zweifeln diese Theorie allerdings an.
Christopher Boyd kommentiert im Vitalsecurity-Blog, MySpace können angesichts der Menge Betroffener nicht behaupten, dass all diese Bands Opfer eines Phishing-Angriffs geworden sind, ihre Login-Daten also beispielsweise auf einer gefälschten MySpace-Seite eingegeben haben. Boyd: "Wie soll das gehen – unzählige Bands, Plattenfirmen, Musikmagazine und Produzenten wachen gestern auf und haben vergessen, wie die echte MySpace-Seite aussieht?"
Gerissene Gauner
Bemerkenswert an diesem Angriff ist, abgesehen von der MySpace-Manipulation, die intelligente Auswahl von Umfeld und Zeitpunkt: Die Gauner haben eine vertrauenswürdige Seite gekapert, statt mit der längst bekannten Masche eigener Porno- und Raubkopieportale zu arbeiten. Außerdem haben sie mit MySpace ein Umfeld gewählt, in dem Websurfer gerne bereit sind, Software nachzuinstallieren.
Der Fall entspricht einem Trend, den die Initiative StopBadware in ihrem im Oktober erschienen Jahresbericht 2007 beschreibt. Die US-Organisation wird von Google, Paypal, dem "Berkman Center for Internet & Society" an der Universität Harvard und vom "Oxford Internet Institute" getragen. Ihr Fazit aus der Analyse von Internet-Angriffen des ersten Halbjahrs: "Schadsoftware-Hersteller haben begonnen, einen subtileren Ansatz zu wählen, weil immer mehr Web-Nutzer wissen, wie sie sich schützen können."
StopBadware-Direktor Jonathan Zittrain sagte bei der Veröffentlichung des Berichts "Trends in Badware" Anfang Oktober: "Die Entwicklung ist besorgniserregend: Es wird alltäglich, dass bekannte Web-Seiten gehackt und dazu benutzt werden, die Rechner ihrer Besucher zu infizieren."
Legitime Web-Seiten sind leichte Beute
Das geht erstaunlich einfach. Einem Bericht der IT-Sicherheitsfirma WhiteHat Security vom Oktober zufolge weisen 90 Prozent der untersuchten Seiten Sicherheitslücken auf, die sich zum Einschleusen von Schadcode ausnutzen lassen ( PDF-Dokument des Berichts). Solche Angriffe funktionieren schlimmstenfalls nach der Alicia-Keys-Methode: Wer die Seite mit einem System ohne die neusten Sicherheitsupdates aufruft, hat womöglich sofort einen infizierten Rechner, wer ein aktuelles Betriebssystem nutzt, wird raffiniert zum Laden von Schadsoftware gedrängt.
Beim Timing solcher Angriffe waren die Gauner in diesem Jahr schon erstaunlich findig: Im Januar, während der Kartenverkaufs für das wichtigste Football-Spiel des Jahres, hackten sie die Web-Seite des Teams der "Miami Dolphins". In der Zeit als die Seite den größten Besucherandrang des Jahres verzeichnete, versorgte sie ungeschützte Rechner von Besuchern mit einem Trojaner, der die Nutzer aushorchte und die Daten an Kriminelle schickte.
Die Weihnachtszeit dürfte für Angreifer interessant werden: Im vorigen Jahr hatten Unbekannte die Seite des "wahren Weihnachtsmanns" manipuliert. Betrieben wird Santaslink.net von einem weißbärtigen US-Bürger, der sich in Santa Claus hat umbenennen lassen, auf Spendentouren durchs Land reist und Geld für Kinderhilfsprojekte einwirbt. Im vorigen Advent hatten Kriminelle einen Trojaner über seine Seite verbreitet. Wenn nicht einmal der Weihnachtmann sicher ist – wer dann?
© SPIEGEL ONLINE 2007
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
- Auf Twitter teilen
- Auf Facebook teilen
- Auf LinkedIn teilen
- Auf Pinterest teilen
- Per E-Mail teilen
- Link kopieren
