Industrielle Geldfischerei
Geändert am 27.09.2007Werbung auf der einen Seite, ...
Klappern gehört zum Handwerk, Werbung zum Geschäft. Hacker „Vladuz“ bevorzugt spektakuläre Auftritte bei eBay, um seine Leistungsfähigkeit in der expandierenden Branche Identitätsdiebstahl zu demonstrieren.
Fachleute sprechen bereits von einer regelrechten „Phishing-Industrie“, in der die verschiedenen Geschäftszweige durch Manager organisiert werden: Cracker suchen nach Server-Schwachstellen bei Firmen, Schutzgeld-Erpresser drohen Firmen mit Attacken auf Internet-Präsenzen, IT-Spezialisten schreiben Programme; Kundenbetreuer kümmern sich um den lukrativen Vertrieb der Daten, Handlanger und angelernte Jugendliche erstellen betrügerische Verkaufsangebote. Besondere Kenntnisse sind nicht mehr erforderlich, wenn man sich im Internet ein komfortables „Phishing-Kit“ besorgt. Das Baukasten-System enthält bereits vorgefertigte Elemente, die von Laien nach Bedarf zusammengestellt werden können.
Während der Vertrieb dieser Hilfsmittel meist über verborgene Kanäle im Internet stattfindet, bewirbt Vladuz offensiv seine „Firma“ SGI Inc. - die Abkürzung steht für „Solutions for Generating Income“. Im Angebot sind „Lösungen zum Generieren von Einkommen“.
Für jeden Internet-Nutzer sichtbar wurden komplette Datensätze von 1200 eBay-Mitgliedern im amerikanischen eBay-Forum Trust & Safety (Safe Harbor) - übersetzt etwa: Vertrauen & Sicherheit (sicherer Hafen) - präsentiert:
Fachleute sprechen bereits von einer regelrechten „Phishing-Industrie“, in der die verschiedenen Geschäftszweige durch Manager organisiert werden: Cracker suchen nach Server-Schwachstellen bei Firmen, Schutzgeld-Erpresser drohen Firmen mit Attacken auf Internet-Präsenzen, IT-Spezialisten schreiben Programme; Kundenbetreuer kümmern sich um den lukrativen Vertrieb der Daten, Handlanger und angelernte Jugendliche erstellen betrügerische Verkaufsangebote. Besondere Kenntnisse sind nicht mehr erforderlich, wenn man sich im Internet ein komfortables „Phishing-Kit“ besorgt. Das Baukasten-System enthält bereits vorgefertigte Elemente, die von Laien nach Bedarf zusammengestellt werden können.
Während der Vertrieb dieser Hilfsmittel meist über verborgene Kanäle im Internet stattfindet, bewirbt Vladuz offensiv seine „Firma“ SGI Inc. - die Abkürzung steht für „Solutions for Generating Income“. Im Angebot sind „Lösungen zum Generieren von Einkommen“.
Für jeden Internet-Nutzer sichtbar wurden komplette Datensätze von 1200 eBay-Mitgliedern im amerikanischen eBay-Forum Trust & Safety (Safe Harbor) - übersetzt etwa: Vertrauen & Sicherheit (sicherer Hafen) - präsentiert:
Die veröffentlichten Datensätze der eBay-Mitglieder waren signiert mit dem rückwärts geschriebenen Firmenmotto SGI Inc. - Solutions for Generating Income. Zum Beweis dafür, dass man auch im Besitz des Passworts zu dem Mitgliedskonto ist, wurde mit jedem Mitgliedsnamen ein neuer Diskussionstitel erstellt – im Abstand von wenigen Sekunden, also offenbar mit Hilfe eines eigens dafür erstellten Software-Programms:
Die Spekulationen darüber, wie die Kriminellen an die Datensätze gelangen konnten, reichen von »eBay ist gehackt« bis »die Mitglieder haben sie selbst in Phishing-Seiten eingetragen«.
Aber könnte das auch einem eBay-Mitarbeiter passieren, dessen Passwort angeblich aus 16 Zeichen bestehen soll?
Mit den Worten „Revenge time“ (Zeit für Revanche) wird die veränderte Mich-Seite präsentiert:
Aber könnte das auch einem eBay-Mitarbeiter passieren, dessen Passwort angeblich aus 16 Zeichen bestehen soll?
Mit den Worten „Revenge time“ (Zeit für Revanche) wird die veränderte Mich-Seite präsentiert:
Ein Element der Datensätze war die sekundengenaue Uhrzeit der Registrierung. Diese Angabe wird von eBay zur Identifikation bei telefonischen Anfragen verwendet: es ist die Verifizierung, dass sich der Anrufende in das Mitgliedskonto einloggen und nachsehen kann. Der eBay-Mitarbeiter vergleicht sie dann mit den Angaben, die er auf dem Bildschirm sieht. Kaum jemand kennt die genaue Sekunde seiner Anmeldung auswendig; den Mitgliedern muss bei Bedarf erst der umständliche Weg erklärt werden, wo diese Angaben zu finden sind. Würde jemand aufgefordert, diese Daten in eine gefälschte Seite einzugeben, dann müsste er sich also gleichzeitig in die echte „mein eBay“-Seite einloggen und nachsehen. Diese Daten kann nur jemand abrufen, der im Besitz des Passwortes ist – oder Zugang zur eBay-Datenbank hat, wo diese Angabe dann verglichen wird.
... Sprachlosigkeit auf der anderen Seite
Sensible Daten, die Nutzer in gefälschte Seiten eingeben und damit unwissentlich an Betrüger verschicken, sind im Internet reichlich vorhanden und können gehandelt oder unter Umständen von Kennern abgerufen werden.
An eben solche Daten gelangten auch sicherheitsbewusste Internet-Nutzer und versuchten, eBays Sicherheitsteam zu geeigneten Maßnahmen zum Schutz der Mitglieder zu bewegen. Und stießen dabei überraschenderweise auf Ablehnung, wie in dem Blog-Beitrag »Sicherheitschef verweigert Annahme von brisanten Daten -auf dem Silbertablett gelieferte Informationen abgewiesen-« berichtet wurde.
Demonstrativ wurden Listen von Beispielen im deutschen eBay-Forum Sicherheit veröffentlicht, die sensiblen Daten wurden dabei unkenntlich gemacht:
Demonstrativ wurden Listen von Beispielen im deutschen eBay-Forum Sicherheit veröffentlicht, die sensiblen Daten wurden dabei unkenntlich gemacht:
Auch Diskussionen im eBay-Forum Sicherheit steigerten nicht das Interesse, die Annnahme der Daten wurde weiterhin „aus rechtlichen Gründen“ abgelehnt, die Passwörter und damit die Mitgliedskonten bei eBay und PayPal blieben unter Kontrolle der kriminellen Phisher.
