Do, 18. Jänner 2018

Datenklau-Welle

26.08.2007 17:00

Wie sich Hacker die Daten von Millionen besorgen

In den USA erleiden Kontaktbörsen und Socialising-Plattformen derzeit eine noch nie da gewesene Welle an Hacker- und Spamangriffen. Jüngstes Opfer ist die Jobbörse "Monster.com", bei der Cyber-Kriminelle mit nur einem Angriff die Profile von rund 1,6 Millionen registrierter User freilegten und sich mit einem Schlag zu Besitzern einer Unmenge höchst privater Daten machten. Erschreckend am Beispiel von Monster.com ist aber weniger die hohe Zahl der geknackten Accounts oder wie der Coup mit einem eigens modellierten Trojaner gelang, sondern wozu die Hacker die Informationen über die 1,6 Millionen User letztendlich benutzten: Sie versendeten beängstigend effiziente und persönliche Spam- und Phishing-Mails.

"So eine riesige Datenbank mit derart präzisen und zahlreichen Informationen ist der Traum eines jeden Spammers", beschreibt der Sicherheitsexperte Amado Hidalgo von Symantec dem US-amerikanischen Fachmagazin "Computerworld" den Coup. Der oder die Hacker, die Monster.com am vergangenen Wochenende attackierten, benutzten einen eigens für die Jobbörsen-Datenbank modellierten Trojaner namens "Infostealer.Monster". Zunächst war von etwa 50.000 betroffenen Userprofilen die Rede, Symantec-Mitarbeiter Hidalgo korrigierte die Zahl nach oben: auf 1,6 Millionen.

Die Cyber-Kriminellen dürften sich zunächst eines Inserenten-Accounts habhaft gemacht haben, um dann mit dem Login das Trojanische Pferd einzuschleusen. Aber anstatt wahllos Daten zu stehlen, tat das Hacker-Programm folgendes: Es sammelte Informationen über vordefinierte User-Gruppen - Menschen aus bestimmten Regionen der USA, aus bestimmten Altersgruppen, mit bestimmtem Bildungsniveau; Monster.com ist hierfür als Jobbörse ein Idelkandidat, da bei einer Registrierung viel mehr Informationen angegeben und wahrheitsgetreu vom User bereitgestellt werden, als etwa bei einer gewöhnlichen Kontaktplattform, die in der Regel Freizeitzwecken dient.

Die Suche nach bestimmten Profilen ist auch Monster-Inserenten in dieser Form möglich, die Hacker nutzten also ein bereits existentes Service, wie es in praktisch allen Jobbörsen geboten wird. Nur bediente sich der Trojaner auch an E-Mail-Adressen und persönlichen Daten der User, die Inserenten nie zu Gesicht bekommen würden. Sobald die Daten bei den Hackern eintrafen, bekamen die User E-Mail-Post von Monster - zumindest sah es so aus, als ob. In Wahrheit waren es von den Spammern/Hackern abgesendete Mails, die ob der darin enthaltenen Informationen über den jeweiligen User (eben die zuvor von Monster gestohlenen Informationen) täuschend echt wirkten.

Zum einen versuchten die Hacker/Spammer mit den E-Mails ein Phishing-Programm namens "Banker.c" auf den User-Rechnern einzuschleusen, das Online-Banking-Vorgänge erkennt und Login-Daten an die Hacker sendet. Zum anderen wurden die User - wiederum in überzeugenden E-Mails, mit vollem Namen angesprochen und den eigenen Monster.com-Angaben konfrontiert - dazu gebracht, ein fälschlicherweise als "Job Seeker Tool" bezeichnetes Programm downzuloaden. Anstelle des versprochenen Tools infizierten die Benutzer ihre Rechner mit einer besonders fiesen Art von Malware: "Gpcoder.e" ist so genannte "Ransomware" - einmal installiert, sammelt das Programm häufig benutzte Dateien und verschlüsselt sie, sodass sie vom Besitzer nicht mehr geöffnet werden können. Den User erreicht in so einem Fall ein paar Tage später ein E-Mail, in dem er aufgefordert wird, einen Geldbetrag zu bezahlen, um ein Entschlüsselungsprogramm zu erhalten. Die Daten wurden quasi "entführt".

Monster.com äußerte sich zerknirscht, aber wehrte sich zugleich auch gegen die Anschuldigung, man habe mit der automatisierten Suche bei den Inserenten-Logins gepatzt. Hidalgo benachrichtigte die Jobbörse über die auf ihre Seiten abgemünzten Hacker-Scripts. "Wenn abnormale Vorgänge bei den Logins entdeckt werden, schließen wir die Accounts", versicherte ein Sprecher der Jobbörse der Computerworld.

Ob die Datenbank der Jobbörse, die in Sachen Sicherheitstechnik übrigens im Branchendurchschnitt liegen soll, nun besonders anfällig war oder nicht, ist angesichts der Perfektion, mit der der Angriff auf das Portal durchgeführt wurde, eher zweitrangig. Viel mehr beweist der teuflisch genau geplante Datenklau, dass sich die Internetwelt wohl bald mit einer neuen Form von Spam bzw. Cyber-Betrug auseinandersetzen wird müssen. Dass mit Viagra-Spam und dem "Helfen sie mir, Geld für meine Familie nach Afghanistan zu schicken"-Trick einem halbwegs klugen Internetbenutzer (nach europäischen Gesichtspunkten) kein Geld aus der Tasche zu ziehen ist, leuchtet ein. Damit man Täuschungen, wie denen der Monster.com-Hacker entgeht, bedarf es allerdings Kontrolle und Anwendung des Hausverstandes auf den noch jungen Alltagsbereich Internet.

So würde man ein "Monster-Spam-Mail" überprüfen

  • Augenscheinlich: Virenscanner und Malware-Blocker laufen lassen und auch das E-Mail-Programm in die Kontrollzone einbinden.
  • Links überprüfen: Wer in einem nicht alltäglichen E-Mail aufgefordert wird (Zahlung, Download, Registrierung, usw.), einen Link zu klicken (auch wenn im Mail eine bekannte URL angeführt ist), sollte man sie zur Sicherheit überprüfen. Funktioniert so: Rechte Maustaste auf die URL >> "Verknüpfung kopieren" >> dann Word oder Editor öffnen und mit Strg+V einfügen. Wenn der eingefügte Text nicht der URL entspricht, sondern auf eine andere Domain oder möglicherweise sogar auf ein Verzeichnis mit einer .exe-Datei verweist >> Finger weg!
  • Nachfragen: Für jede E-Mail, die kein Spam ist, gibt es einen Grund, warum sie unterwegs ist. Wenn der Betreff in Verbindung mit dem Absender ungewöhnlich erscheint (Bank fragt nach Kontonummer oder TANs, Versandhaus will plötzlich Kreditkartennummer wissen, usw.), am besten nachfragen. Mit Service-Hotlines, bekannten Sachbearbeitern (im Fall einer Bank) oder auch mit einem E-Mail an das betreffende Unternehmen (nicht auf den potenziellen Spam antworten, sondern an die Adresse auf der jeweiligen Firmenhomepage) in Kontakt treten, seine Geschichte erzählen und das E-Mail hinterfragen.
Das könnte Sie auch interessieren
Kommentar schreiben

Sie haben einen themenrelevanten Kommentar? Dann schreiben Sie hier Ihr Storyposting! Sie möchten mit anderen Usern Meinungen austauschen oder länger über ein Thema oder eine Story diskutieren? Dafür steht Ihnen jederzeit unser krone.at-Forum, eines der größten Internetforen Österreichs, zur Verfügung. Sowohl im Forum als auch bei Storypostings bitten wir Sie, unsere AGB und die Netiquette einzuhalten!
Diese Kommentarfunktion wird prä-moderiert. Eingehende Beiträge werden zunächst geprüft und anschließend veröffentlicht.

Kommentar schreiben
500 Zeichen frei
Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Für den Newsletter anmelden