Mitternachtshacking

Symantec hat auf einem Server Zugangsdaten von 44 Millionen Online-Spielern aus 18 Spiele-Webseites gefunden. Insgesamt rund 17 GByte Daten, hauptsächlich wohl chinesische Seiten und Spieler, gesammelt durch den Trojaner Loginck.

Je nach Spielstufe und Charakter sei ein Account zwischen 6 und 28.000 US-Dollar wert.

Davon abgesehen, dass es mich immer wieder wundert, wie Symantec ganz zufällig auf diese Server draufkommt (klar, die analysieren den Trojaner aber berechtigt das zum Login/Einbruch auf so einen Server?) scheint das Abgreifen von Spielerdaten inzwischen extrem lukrativ zu sein. Ich bin echt überrascht.

“Don’t just shorten your URL, make it suspicious and frightening.”

Beispielsweise diese:

http://5z8.info/dont-just-drizzle_k2c3j_malicious-cookie

Und wenn diese URL nicht funktioniert, dann vielleicht diese?

http://5z8.info/click-on-this-and-youll-be-taken-to-page-that-will-create-pop-up-windows-until-your-browser-crashes_l2y0d__init_download

oder doch besser was harmloseres?

http://5z8.info/amazon.com-phish_q4a6v_open_exe_begin_transfer

Passende URLs gibt’s bei http://www.shadyurl.com/. Klingt lustig, hat aber durchaus einen ernsten Hintergrund.

Wie inzwischen alle Medien berichten, ist der europäische Emissionshandel großflächig zerlegt worden. Angeblich haben sich Hacker mittels Phishing-Mails Zugriff auf die Accounts einzelner Nutzer der bei der Deutschen Emissionshandelsstelle (DEHSt) verschafft, deren Emissionsrechte auf andere Accounts übertragen und für mehrere Millionen Euro verkauft.

Ich finde ja spannend, was da offensichtlich alles schief gelaufen ist. Da richtet also das Bundesumweltamt, ein Geschäftsbereich des Bundesministeriums für Umwelt, Naturschutz und Reaktorsicherheit eine Webseite ein, auf der Emissionsrechte im Wert von vielen Millionen Euro gehandelt werden können. Und wie wird das abgesichert? Mit einem popeligen Passwort. Das der User selbst wählen muß. Einzige Bedingung: das Passwort muß mindestens 10 Zeichen, eine Ziffer und einen Buchstaben enthalten. Fertig. Dazu gibt es dann den freundlichen Hinweis:

“Transaktionen müssen mit großer Sorgfalt durchgeführt werden, da die DEHSt grundsätzlich keine Möglichkeit hat, abgeschlossene Transaktionen (z. B. falscher Empfänger, falsche Zertifikateanzahl) rückgängig zu machen.”

Keine Einmalpasswörter, Token oder Smartcards für die Anmeldung, keine TANs, iTANs oder mTANs zur Absicherung der Transaktionen, nix, null, niente. Selbst die schlechteste Onlinebank ist besser abgesichert als so eine Monsterbehörde. Statt dessen macht man den Laden laut FTD lieber zu:

“Die Stelle in Berlin hat am Freitag den Betrieb eingestellt. “Dabei bleibt es mindestens für den Rest dieser Woche”, sagte eine Sprecherin.”

Das sind dann die Momente in denen ich mich frage, welcher Versager das Sicherheitssystem entworfen und welcher Stümper das abgenommen hat. Im Impressum steht unter “Technische Unterstützung” die Materna GmbH. Für jeden halbwegs gebildeten Menschen ist klar, daß derart hohe Werte natürlich Kriminelle anziehen wie Gesetzesentwürfe von Schäuble die Fliegen. Gleichzeitig sind für diesen Handel in den meisten Firmen Mitarbeiter verantwortlich, denen man IT-Kentnisse nicht unbedingt zutrauen muß. Optionale Angebote wie die Möglichkeit, Transaktionen von zwei Personen genehmigen zu lassen werden sowieso nicht genutzt, weil viel zu umständlich.

Da hätte man mal besser die Anmeldegebühren von 200 Euro auf 250 Euro hochgesetzt und dafür allen Nutzern einen Smartcard-Reader und eine Smartcard für die Authentisierung geschickt. Im Verhältnis zu den zu schützenden Werten und dem möglichen Schaden ist das eine lächerlich kleine Investition.

Das einzige das fehlt um die Pleite komplett zu machen ist lediglich noch so ein TÃœV-Siegel “Safer Shopping” oder so, auf der Seite der DEHSt. Ich kann mir nicht vorstellen, daß eine Bundesbehörde was online gehen läßt, ohne sich eine TÃœV-Bescheinigung einzuholen. Und dann würde sich der Kreis natürlich schließen.

Harhar, Google Chrome, der Browser den niemand in Vollbesitz seiner geistigen Kräfte verwenden würde, hat aufgedeckt, daß Facebook lediglich ein gigantischer Phishing-Scam ist. Von den armen Nutzern werden angeblich sensible private Daten abgefragt und in einer gewaltigen Datenbank zusammengefasst um Profile der Nutzer erstellen zu können.

Nachtrag:

Anscheinend war nicht nur Chrome betroffen sondern alle Browser die sich auf die Google Anti-Phishing Datenbank stützen, u.a. Firefox. Und vermutlich war Facebook selbst schuld, weil irgendein seltsamer Werbelink in die Seite eingebunden war, den Google angemeckert hat. Vielleicht sowas.

Laut Bitkom sind letztes Jahr (2007) in mehr als 4100 Fällen insgesamt rund 19 Millionen Euro gemopst worden. Ein Anstieg von 25% gegenüber dem Vorjahr (2006). Die meisten Zugangsdaten werden inzwischen wohl nicht mehr mit billigen Spam-Mails und Phishing-Seiten sondern durch Trojaner, DNS-Redirection, etc. geklaut. Ich habe jedenfalls kaum noch Banken-Spam im Posteingangsfach.

Erstaunlich finde ich in diesem Zusammenhang die Untätigkeit der meisten Banken. Ok, meine Bank hat es jetzt endlich auch mal geschafft, aus iTAN umzustellen. Aber Sensibilisierung der Kunden, vielleicht mal ein Brief wenn wieder aktuell was passiert … komplett Fehlanzeig. Ist aber klar, das kostet Geld und laut AGB sind ja die Kunden schuld wenn was passiert.

Das ist wie mit den Geldautomaten. Anti-Skimming-Module, die effizient verhindern, daß Aufsätze oder Kameras montiert werden können kosten lediglich ein paar hundert Euro pro Geldautomat. Trotzdem haben nur etwa 20% aller Automaten solche Module. Die Skimming-Angriffe sind inzwischen jedoch so gut, daß nicht einmal Fachleute des BKA alle Aufsätze zuverlässig erkennen.

2008 sollen die Zahlen übrigens wieder sinken. Angeblich durch bessere Sicherheitsmaßnahmen der Wirtschaft, ich nehme aber an, hauptsächlich wegen besserer Sensibilisierung der Bankkunden. Inzwischen sollte es sich rumgesprochen haben, daß man für Überweisungen nach Estland per Western Union wegen Geldwäsche verurteilt werden kann. Aber das ist ja unseren BGH-Richtern egal. Hauptsache die Banken kommen gut weg.

Weitere Informationen findet der geneigte Leser bei der Arbeitsgruppe Identität im Internet (A-I3) der Ruhr-Universität Bochum.

CEOs fallen öfter rein, zumindest wenn es um Schadprogramme geht. Wenn irgendwo “klicken Sie bitte hier” steht, dann klicken die Manager um so schneller und gedankenloser, je wichtiger sie sich fühlen.

Beispielsweise der ehemalige bayrische Innenminister und jetzige Ministerpräsident Beckstein. Wenn der eine Mail vom BKA mit einem Attachment bekommt, dann klickt er. Könnte ja dienstlich sein. Außer, seine intelligente Frau warnt ihn. Die sollte besser Ministerpräsidentin sein. Aber so sind die Franken halt.

Eine Betrugsmail, die an 20.000 Senior Executives, also vermutlich Vorstandsmitglieder gibt, provozierte immerhin 2.000 Antworten. Also rund 10% der Vorstände haben auf das Attachment geklickt, das auf eine Webseite leitet die angeblich einen Durchsuchungsbeschluß enthält, der erst eingesehen werden kann, wenn ein kleines Addon installiert wird.

Da stellt sich für mich die Frage:

1. Warum kriegen die Pappnasen Administratorrechte?
2. Wenn die so blöd sind, wie können die dann eine Firma führen?

Aber vermutlich muß das so sein. Das ist wie mit Luftballons. Die wo am meisten Helium drin sind, fliegen am höchsten. The Register nennt diese Phishing-Versuche inzwischen Whaling … sehr schön.

Das BKA (auf deren Webseite verlinke ich lieber nicht, die spionieren gerne mal illegal harmlosen Surfern nach) hat ein paar Zahlen für 2007 veröffentlicht:

• 4200 Phishing-Fälle, 700 mehr als 2006
• Durchschnittliche Schadenshöhe zwischen 4000 und 4500 Euro, 2006 noch rund 2500 Euro

Der Gesamtschaden durch Phishing (abzüglich eventuell sichergestellter Gelder) dürfte damit bei etwa 18 Millionen Euro gelegen haben. Im Vergleich zur Schadenssumme von 9 Millionen Euro 2006 eine glatte Verdopplung.

• Etwa 750.000 mit Schadprogrammen infizierte Rechner in Deutschland
• Etwa 150.000 Rechner in Deutschland, die von Hackern ferngesteuert werden

und natürlich ist die Kinderpornographie laut BKA-Chef Ziercke auf dem Vormarsch. Da helfen große Zahlen wie die 240.000 Zugriffe auf 4.600 Dateien. Wenn man das allerdings runterrechnet kommt man auf einen Kreis von vielleicht 53 Nutzern. So kann man sich die Gefahr auch großrechnen, um Mikado und ähnliche Eingriffe in die Privatsphäre zu rechtfertigen.

Die Aufklärungsquote liegt bei Piraterie übrigens zwischen 96 und 98%, bei allen anderen Straftaten deutlich unter 50%. Die Täter sind übrigens zu 80% männlich und über 21.

(via Focus)

Ich weiß gar nicht, ob ich einen Artikel über Paypal schreiben will. Ich weiß einfach viel zu wenig über diesen Dienst und das wenige, das ich weiß ist so, daß ich Paypal vermutlich niemals verwenden werden.

Paypal Phishing

Phishing bei Paypal ist viel zu einfach.

Daran ist Paypal indirekt mit Schuld. Das Login mit einem selbstgewählten Login und Passwort ohne TANs macht es Hackern einfach viel zu leicht, notwendige Daten abzufangen. Jede normale Bank wäre dadurch längst in die Haftung geraten aber die AGB von Paypal scheinen jeden Schmu abzudecken. Mir persönlich wäre es viel zu gefährlich, da in irgendetwas unerwünschtes reinzugeraten.

Paypal Zwang

Der Ebay-Konzern zu dem Paypal gehört versucht mit Gewalt, Nutzer an seinen hauseigenen teuren Zahlungsdienst zu binden. Heise schreibt dazu:

“eBay nutzt offenbar den Hype um Apples iPhone, um Verkäufer zu zwingen, sich beim Bezahldienst PayPal zu registrieren und diesen als Bezahlweise anzubieten: Bei der Online-Auktion dürfen nur PayPal-Mitglieder Apples iPhone in einer Versteigerung anbieten. PayPal ist ein Tochterunternehmen des Online-Marktplatzes und trägt nicht unerheblich zu dessen Umsatz bei. Bislang war es Verkäufern freigestellt, ob sie den Bezahldienst nutzen, bei dem außer Einstellungsgebühr und Verkaufsprovision noch zusätzliche Transaktionskosten anfallen.”

Eine einfache Überweisung in Deutschland kostet mich (ein geeignetes Konto vorausgesetzt) gerade mal gar nichts, bei Paypal ich weiß gar nicht wie viel der Überweisung. Im Hinblick auf die real anfallenden Kosten empfinde ich das persönlich schon nahe an der Wucher, egal wie legal das alles noch ist.

Paypal Datenschutz

Der Datenschutz bei Paypal ist leider nicht wirklich existent. Statt dessen ist Paypal immer sehr schnell um persönliche Daten zu sammeln, die Paypal nun wirklich nichts angehen:

Um meine beiden PayPal Konten (werden gewerblich genutzt) mit 1000 Euro Guthaben nach einer vollkommen unverhofften Sperrung im Januar wieder freigeben zu können, musste ich PayPal folgende Sachen schicken: Telefonrechnung, Ausweiskopie, Gewerbeschein und Stromrechnung […]

Und was passiert mit diesen Daten? Nun, Paypal gehört Ebay und zu den Datenschutzbestimmungen von Ebay schreibt beispielsweise die Deutsche Vereinigung für Datenschutz, daß sie vollkommen unzureichend sind.

“Besonders unangenehm ist allerdings die Tatsache, dass Ebay sich erlaubt, sämtliche erhobenen Daten an Dritte weiterzugeben. Vor allem das Versatzstück “zur Abwehr von Gefahren für die staatliche (…) Sicherheit” sollte bei jedem Datenschützer die Alarmglocken klingeln lassen”

Aha. Das begeistert mich.

Paypal Sicherheitslücken

Leider ist Paypal selbst nicht gerade der sicherste Dienst. Alle paar Ecken tauchen neue Probleme auf. Mal ist es der Security Key, der nicht funktioniert. Dann werden über Paypal die eBay-Kundendaten abgephischt (und wenn sogar das ZDF berichtet, dessen Zielgruppe ja bekanntlich der “Silver Surfer” ist, der wenig mit Ebay zu tun hat, dann muß es wirklich dramatisch sein. Die Warner von Falle Internet decken regelmäßig Sicherheitsprobleme auf, die mit Ebay und Paypal zu tun haben. Beispielsweise hier:

“Dieser (teilweise unkenntlich gemachten) Codezeile ist zu entnehmen, dass hier ein Programmmodul (cgi-xxx/webscr) der US-amerikanischen Website von PayPal mit dem Befehl aufgerufen wurde, um Daten zu dem eBay-Mitgliedskonto der angegebenen Variable buyer zu liefern.”

Alleine diese extreme Verknüpfung der Datenbanken von Paypal mit der von Ebay macht mir schon Sorge. Wenn an einer Stelle ein Problem auftritt gibt es an allen Ecken ein Problem.

Paypal Schweinereien

So schnell wie Paypal Konten sperrt und dann das Geld einbehält wäre jede andere Bank pleite. Es lohnt sich, dazu den Wikipedia-Artikel zu Paypal und insbesondere die Kritik dazu zu lesen:

“Immer wieder treten im Internet in einschlägigen Foren und Zeitschriften Berichte darüber auf, dass PayPal die Konten seiner Nutzer sperrt, wenn nur der geringste Verdacht besteht, der Kunde gehe terroristischen Aktivitäten nach, oder auch beim behaupteten Verdacht betrügerischer Aktivitäten. Dies trifft auch viele unschuldige Personen, die dann vom Zugriff auf ihr Guthaben ausgeschlossen sind.”

Wenn meine Bank mein Konto sperren würde, alleine auf den vagen Verdacht oder die vage Anschuldigung, ich sei eventuell vielleicht möglicherweise aber doch nicht sicher ein Betrüger … zum Glück gibt es hier noch eine halbwegs funktionierende Bankenaufsicht. Auch wenn wir von ähnlichen Willkürentscheidungen in Deutschland nicht mehr weit entfernt sind.

Fazit

Ich glaube, das kann einfach und kurz ausfallen … Finger weg!

Phishing via Tor-Exit-Nodes ist eigentlich nichts ganz neues und die Erfinder von Tor weisen auch immer wieder darauf hin, daß Tor keinen Schutz vor dem Ausspähen von Daten bietet. Inzwischen findet man sogar Tor-Exit-Nodes, die gezielt nur unverschlüsselte Protokolle erlauben. Das erleichtert natürlich massiv das Phishing. Es sind sogar schon Exit-Nodes aufgetaucht, die falsche Zertifikate für Man-in-the-Middle-Angriffe herausgeben. Interessanterweise sitzt der Node in Deutschland (217.233.212.114, Dt. Telekom).

Hmm … vielleicht könnte das ein neues Geschäftsmodell ergeben …. ?

Die Raiffeisenbank wird mal wieder Opfer einer Spam-Phishing-Attacke:

Die Titelzeile gefällt mir: “eBanking Private Edition”. Die Angreifer sind auch recht ausführlich bei den Daten, die sie abfragen:

• Herr/Frau
• Vorname
• Familienname
• 10 unbenutzte TAN-Nummern
• Kontonummer
• VR-NetKey
• Alias
• PIN
• Bankleitzahl
• Postleitzahl
• E-mail

Ein wenig gierig sind sie dann natürlich schon:

“Geben Sie 10 unbenutzte TAN-Nummern ein. Wenn Sie weniger als 10 unbenutzte TAN-Nummern haben, so geben Sie alle unbenutzten TAN-Nummern ein”

Die Raiffeisenbank (zumindest meine) ist bezüglich Online-Banking offensichtlich keine besonders gute Wahl:

Problem 1: Die URL des Bankings ist für die Kunden kaum verifizierbar. Jede Raiffeisenbank hat ihre eigene Homepage, die Banking-Startseite liegt auf vr-networld.de, Teile des Internetbankings wiederum beim Dienstleister fiducia.de … wie soll der unbedarfte Bankkunde da erkennen, daß vr-networld.de.hrymn.cn in China liegt?

Problem 2: Die Raiffeisenbank hat neulich erst zur Anmeldung von der Kontonummer (die oft allgemein bekannt ist, z.B. wenn sie auf dem Briefpapier steht) zu einem VR-Netkey, einer davon unabhängigen UserID gewechselt. Vorher konnte man mit der Kontonummer und dreimal falscher PIN problemlos Denial-of-Service Angriffe durchführen.

Problem 3: iTAN, mTAN, TAN-Generator, egal was nur sicherer als die normale TAN ist immer noch komplett Fehlanzeige. Meine Bank konnte mir nicht einmal sagen, bis wann die Einführung von iTAN geplant ist.

Naja, die Deutsche Bank hat das Problem ja bereits per AGB auf die Kunden abgewälzt. Mal sehen, wie das bei der Raiffeisenbank weitergehen soll.