Pressemitteilung 10. Januar 2006
Qualitätssprung von Phishing-Mails
Angebliche eMails von Ebay täuschend echt
Die Betrugsversuche im Internet über manipulierte eMails reißen nicht ab. Im Dezember sind neue Phishing-Mails aufgetaucht. Nachdem lange Zeit Banken und Sparkassen die Ziele der Kriminellen waren, scheint nun das Auktionshaus Ebay wieder mehr ins Interesse der so genannten Scammer zu rücken. Die Qualität der Mails ist erschreckend gut. Und die Herkunft der eMails nach wie vor Asien.
Der erste Fall
Anfang Dezember fielen Tino Fritzsch, Softwareentwickler des SaferSurf Labors der Leipziger Firma Nutzwerk, eMails des Auktionshauses auf. "Wir entwickeln gerade einen Phishing-Filter. Eine frühe Version dieses Filters hat die fraglichen eMails abgefangen", erklärt Fritzsch. Im Text der Nachrichten schien ein Ebay-Benutzer Fragen zu einem angebotenen Artikel zu haben und stellte diese auf Englisch.
Ein Blick in den Quellcode der HTML-eMail brachte rasche Erkenntnis. "Der Link, den man anklicken sollte, führte nicht etwa zu den Ebay-Seiten, sondern auf www.sunpowercom.net", berichtet der Informatiker. Erstaunlich war die Qualität der Mails. "Sie waren auf den ersten Blick nicht als Fälschungen erkenntlich", berichtet er. Kein Wunder – die Betrüger rufen in der eMail Bilddateien von Ebay ab. So imitieren sie nahezu unbemerkt und in Echtzeit das Design des Auktionshauses. Auch der aufgerufene Link war bis auf die Domain, auf die er zeigte, gut imitiert.
Wer darauf klickte, landete also auf dem Server sunpowercom.net und damit in Korea, wie die WHOIS-Abfrage erbrachte. Der zugehörige Adressbereich wird ebenfalls in Korea, genauer gesagt in Seoul verwaltet. Mittlerweile ist die Phishing-Seite, auf die der "Antworten"-Link führte, nicht mehr aktiv. Überhaupt erscheint die gesamte Website sunpowercom.net vor Fehlern und toten Links zu strotzen. Ob das beabsichtigt ist, kann nicht gesagt werden.
Interessant ist auch der Verbreitungsweg der Mail. Aus der Kopfzeile "received" wird der Server cpanel.cygnusnet.com ersichtlich. Die geparkte Domain gehört der Firma Cygnus Design aus San Diego, Californien. Administrativer Kontakt ist Steve Aitchison aus Bellingham, Washington.
Die Kopfzeile "X-Source-Dir" der Mail zeigt auf ein Mail-Script auf pharmacongress.com. Diese Website enthält Informationen über einen Pharmaziekongress. Interessant hier: Die Website scheint von Cygnus Design, den Inhabern der Domain cygnusnet.com erstellt und registriert zu sein. Als technischer Ansprechpartner taucht wiederum Steve Aitchison aus Washington auf.
Tino Fritzsch von Nutzwerk vermutet anhand dieser Indizien, dass der Server pharmacongress.com missbräuchlich für den Versand der Ebay-Phishing-Mails verwendet wurde. "Möglich wird so etwas, wenn Passwörter für Accounts gestohlen oder geknackt wurden", erklärt er. Nutzwerk hat die Administratoren der Website vorsorglich informiert. Eine Antwort steht noch aus.
Der zweite Fall
Am Morgen des 6. Dezember versiegte plötzlich die Welle der Mails, die nach sunpowercom.net verwiesen. Ab dem 9. Dezember wurden abermals Phishing-Mails versendet, deren Aufgabe es war, ahnungslose Ebay-Nutzer zur Eingabe Ihrer Anmeldedaten zu veranlassen. Der Unterschied: die URL des anzuklickenden Links zeigt nun auf mail.jangup.com. Durch die Verwendung von Unterverzeichnissen wie redirect/to/ und signin.ebay.com soll abermals suggeriert werden, hier werde man auf die Website der Auktionsplattform gelinkt.
Stattdessen landet der Internetsurfer wieder in Korea. Jangup.com gehört Yak Kook Shinmoon Lid. Jangup ist allem Anschein nach eine Pharmazie- und Kosmetikfirma. Das Webmail-Interface auf mail.jangup.com weist bereits beim Aufruf Fehler im PHP-Script auf. "Hier ist es sehr wahrscheinlich, dass eine Sicherheitslücke den Versand von Phishing-Mails ermöglichte", sagt Tino Fritzsch.
Als Link wird auf der Startseite von jangup.com auch pharm21.com genannt. Auch diese Website taucht im Zusammenhang mit der Versendung von Phishing-eMails auf. In der Vergangenheit wurde versucht, PayPal-Konten zu knacken: http://ureader.de/message/1485756.aspx
Und jetzt wird es interessant: Als Eigentümer der Domain pharm21.com ist ein gewisser "yakkuk" eingetragen – was quasi der Lautschrift von "Yak Kook" entspricht, dem Eigentümer von jangup.com. Auch die eingetragene Adresse ist auf diese Weise verfälscht: bei jangup.com ist "dan san-6ka, yongdeungpo-ku" eingetragen. Bei pharm21.com lautet die Adresse "Tangsan-dong Yongdungpo-gu." Die Telefon- und Faxnummern gleichen sich dagegen.
Warum der Eigentümer der beiden Domains unterschiedliche Angaben machte, kann nicht gesagt werden. Möglich ist – neben der beabsichtigten Falschangabe – auch, dass die Lautschrift der koreanischen Schriftzeichen (Hanja) unterschiedlich aufgenommen wurde.
Das Fazit
Spamversender und Internetbetrüger werden offenbar immer geschickter. Nicht nur, dass die vermeintlichen Ebay-Mails immer echter aussehen, auch versuchen die Urheber immer mehr, ihre Spuren zu verwischen. Den wirklichen Hintermännern auf die Schliche zu kommen, scheint aussichtslos.
Tino Fritzsch von Nutzwerk rät daher zu einfachen Sicherheitsmaßnahmen: "Wer sich nicht sicher ist, ob die eMail, die er bekommen hat, auch wirklich von Ebay ist, sollte sich den Link in der Mail genau ansehen. Verweist er nicht explizit zu ebay.com oder ebay.de oder einer Subdomain dieser Domains, sollte man ihn lieber nicht klicken. Helfen kann auch die Verwendung eines eMail-Programms, das HTML-Mails automatisch in Text umwandelt, wie das etwa Thunderbird von Mozilla tut. Auf diese Weise werden die wirklichen Links sofort sichtbar und Bilder in der Mail nicht angezeigt."
|
|
|
 |
