Fußball-Weltmeisterschaft in Brasilien 2014: Eigentore zählen nicht

Teil 1 – Phishing und Malware

In weniger als einem Monat werden sich 32 Fußballnationalmannschaften und tausende von Fußballfans auf den Weg nach Brasilien zum FIFA World Cup 2014 machen. Einen Monat lang wird die ganze Welt das wohl größte Sportereignis auf unserem Planeten verfolgen. In diesem Moment nehmen die Spieler und Trainer gerade die Feinabstimmung ihrer Taktiken, Spielpläne und Strategien vor, um ihre Gegner auszutricksen. Und genau das tun derzeit auch die Cyberkriminellen.

Vor wenigen Monaten beschrieben wir einige Attacken, die das Thema WM ausnutzten. Es ging dabei unter anderem um betrügerische Domains, die gefälschte Tickets verkaufen, gefälschte Giveaways sowie mehrere Phishing- und Malware-Kampagnen, die die Kreditkarten der User zum Ziel hatten. Das Turnier rückt näher und die Cyberangreifer machen weiter. In einer Reihe von vier Blogposts, die im Wochenrhythmus erscheinen, werden mein Kollege Dmitry Bestuzhev und ich Einzelheiten zu den jüngsten Attacken liefern und Tipps für Reisende und User bereitstellen, wie sie sich während eines Aufenthaltes in Brasilien oder online beim Suchen nach Fußballvideos oder Spielergebnissen schützen können.

In diesem ersten Teil werden wir einige sehr professionelle Phishing- und Malware-Attacken näher unter die Lupe nehmen, bei denen digital signierte Malware verwendet wird, sowie eine gehackte Kundendatenbank für den Ticketverkauf online, SSL-zertifizierte Phishing-Domains und jede Menge Social Engineering. All diese Attacken hatten immer dasselbe Ziel, und zwar Ihren Computer zu infizieren und Ihr Geld zu stehlen.

Echt oder nicht?

Wie erkennt man eine Phishing-Domain? Nun, die Phisher kompromittieren normalerweise eine legitime Website und hosten ihre Seite dort, z.B. anotherwebsite.com/paypal_phish_page. Doch wie sieht es aus, wenn die Phisher echte Profis sind? Sie können eine Attacke dergestalt aufbereiten, dass es dem Durchschnittsnutzer recht schwerfallen dürfte, zu sagen, ob eine Seite legitim ist oder nicht. Dadurch steigt die Zahl der Opfer enorm.

Und genau das tun aktuell brasilianische Phisher – sie registrieren Domains mit den Namen bekannter Marken, meist Kreditkartenunternehmen, Banken, Online-Shops usw. Alle diese Phishing-Sites wurden offensichtlich von Profis erstellt, wie diese hier, die den Namen Cielo ausnutzt, einem Visa-Repräsentanten in Brasilien:


Aber auch die Namen anderer Kreditkartenmarken wurden verwendet, so wie Mastercard in dem folgenden Beispiel:


Eine weitere Site benutzte ein Bild des brasilianischen Schauspielers und Moderators Rodrigo Faro:


Alle Phishing-Domains waren sehr professionell aufgemacht:


Allein in Brasilien entdecken und blockieren wir täglich durchschnittlich 50-60 Domains dieser Art.

Aber das war den Phishern noch nicht genug: Sie haben außerdem Domains registriert und angefangen, SSL-Zertifikate von Zertifizierungsstellen wie Comodo, EssentialSSL, Starfield, Register.com und anderen zu kaufen. Dabei heraus kommen dann Phishing-Domains mit einem ‘verifizierten’ SSL-Zertifikat:


Hier eine weitere Site, die den Namen VISA und seine SSL-Zertifizierung verwendet:


Wie kann ein durchschnittlicher User solche Domains als gefährlich erkennen? Nun, wirklich einfach ist das nicht. Aus diesem Grunde ist unsere Anti-Phishing-Erkennungskomponente hochgradig proaktiv und blockiert diese Domains im Vorwege, bevor die bösen Jungs den Phishing-Content aktivieren.

Warum geben die Zertifizierungsstellen SSL-Zertifikate an Phisher aus? Um ehrlich zu sein, wir wissen es nicht. Sicher ist, dass sie einen besseren Überprüfungsmechanismus einführen müssen, um Cyberkriminellen nicht weiterhin dabei zu helfen, den Anwendern Geld zu stehlen.

Die Phisher haben zudem betrügerische Seiten im mobilen Format entwickelt, so dass sie die Daten der Nutzer auch dann stehlen können, wenn sie auf einen Link auf ihrem Smartphone klicken:


Digital signiert, aber bösartig

Brasilianische Cyberkriminelle nutzen die Tatsache aus, dass es so einfach ist, SSL-Zertifikate zu kaufen und organisieren Malware-Kampagnen mit digital signierten Schadprogrammen. Diese Dateien werden in Mitteilungen wie der unten stehenden verbreitet:



«Glückwunsch, Sie haben ein Ticket für ein WM-Spiel gewonnen»

Um das Ticket für sich «geltend zu machen», wird der Nutzer aufgefordert, es auszudrucken. Der Link verweist auf einen digital signierten brasilianischen Trojan-Banker:



Trojan-Banker.Win32.Banker.bplh

Gehackte Datenbank, personalisierter Angriff

Und was ist mit einer personalisierten E-Mail, die angeblich von einem bekannten Online-Ticket-Verkaufssystem versendet wurde und Sie darüber informiert, dass Sie eine Eintrittskarte für ein Weltmeisterschaftsspiel gewonnen haben? Um diese Benachrichtigung möglichst echt erscheinen zu lassen, enthält sie persönliche Daten wie etwa den vollen Namen, das Geburtsdatum, den Geburtsnamen und die vollständige Postadresse. Klingt echt, oder? Ist es aber nicht.

Aber genau so sind brasilianische Cyberkriminelle vorgegangen, die vermutlich Informationen von einer gehackten Kundendatenbank unbekannten Ursprungs verwendet haben:



«Sie haben ein Ticket gewonnen»

Die Nachricht enthielt einen Link auf die folgende Website. Um das «Geschenk» zu aktivieren, musste der Nutzer eine Datei herunterladen, die sich als Trojan-Banker erwies:


Brasilianische Cyberkriminelle sind aber nicht die einzigen, die sich das Thema Fußball-Weltmeisterschaft zunutze machen – derartige Angriffe findet man derzeit überall, in verschiedenen Sprachen und mit unterschiedlichen Zielen.

Wenn Sie vorhaben, nach Brasilien zur Weltmeisterschaft zu reisen oder sie online zu verfolgen, so bleiben Sie auf der sicheren Seite – trauen Sie keiner Nachricht, die Sie erhalten, und sichern Sie sich doppelt ab, bevor Sie auf irgendwelche Links klicken.

In unserem nächsten Blogpost erklären wir Ihnen, wie Sie Ihre Kreditkarten schützen, wenn Sie damit etwas in Brasilien kaufen – dem Land der ChupaCabra-Malware.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.