Gefahren für IM-Clients

IM-Clients

 

Immer mehr Anwender kommunizieren heute über das Internet. Dazu stehen ihnen zahlreiche Möglichkeiten zur Verfügung – Chats, E-Mails, Foren oder Kommentare in Blogs. Populär sind auch Instant-Messaging-Systeme (IM), über die sich Botschaften in Echtzeit austauschen lassen. Die räumliche Entfernung zur Kontaktperson spielt dabei keine Rolle.

Um Sofortnachrichten (Instant Messages) verschicken zu können, benötigt man lediglich einen PC mit Internet-Zugang und ein passendes Chat-Programm (Client). Dabei kann unter zahlreichen Programmen ausgewählt werden, die sich in punkto Ausstattung oftmals auch stark ähneln. Fast alle Tools verfügen über eine Suchfunktion für Gesprächspartner, bieten ein Benutzerprofil und zeigen den Status des Anwenders mit verschiedenen Icons an.

Eine Reihe der IM-Clients oder Internet-Pager besitzen neben den oben erwähnten Features noch weitere Funktionen.

Einer der bekanntesten Chat-Clients ist zweifellos ICQ. Die Bezeichnung ICQ klingt wie der englische Satz „I seek you“, was so viel wie „ich suche Dich“ heißt. Bei Programmstart meldet sich jeder Teilnehmer mit seiner persönlichen Nummer (UIN, unique identical number) am ICQ-Server an. Jede Nummer ist durch ein Kennwort geschützt, das der Anwender festlegt. Die Mitteilungen übermittelt der Chat-Client über das TCP/IP-Protokoll und verwendet dabei ein vom Unternehmen Mirabilis entwickeltes Format. Eine Mitteilung wird dabei in der Regel in einem TCP-Paket untergebracht. Andere Clients wie zum Beispiel QIP (Quiet Internet Pager) oder Miranda versenden Mitteilungen, indem sie verschiedene Versionen des gleichen Protokolls nutzen.

Ein weiteres beliebtes Chat-Programm ist der von Microsoft entwickelte MSN Messenger oder Windows Live Messenger. Zur Datenübertragung nutzt die Software das Microsoft Notification Protocol, das manchmal auch als Mobile Status Notification Protocol (Protokoll zur mobilen Benachrichtigung) bezeichnet wird. Während Microsoft das Übertragungsprotokoll MSNP2 vollständig offenlegt, bleibt der Code anderer Versionen derzeit unter Verschluss. In der jüngsten Version des MSN Messengers wird die Protokollversion MSNP14 verwendet.

In China ist der ICQ-Konkurrent QQ überaus populär:

Abb. 1 Fenster des chinesischen IM-Clients QQ

Im Gegensatz zu den IM-Programmen unterstützt Skype nicht nur Textbotschaften, sondern in Kombination mit einem Mikrofon oder Headset auch kostenlose Internet-Telefonie. Direkt aus Skype lassen sich auch Telefonnummern anrufen, allerdings ist diese Dienstleistung kostenpflichtig.

IM-Gefahren

 

Leider tummeln sich in der virtuellen Welt auch viele Übeltäter, die IM-Clients für Ihre Zwecke nutzen. Die häufigsten damit begangenen Cyberverbrechen sind:

  1. Diebstahl von Zugangsdaten der IM-Clients. Das geschieht entweder durch Brute-Force-Methoden oder Social Engineering.
  2. Verbreitung von Malware.Versenden von Mitteilungen, die Links zu schädlichen Programmen enthalten.
  3. Cyberkriminelle versuchen, die Anwender mittels Social Engineering dazu zu bewegen, auf den Weblink zu klicken und das darüber erhältliche Programm zu starten.
  4.  

    Versenden von Mitteilungen, die Links auf infizierte Webseiten enthalten.

    • Spam-Versand.

Alle IM-Programme sind einem bestimmten Typ von Bedrohung ausgesetzt. Davon wird auch der in China populäre IM-Client QQ nicht verschont, für den es mit Trojan-PSW.Win32.QQPass und Worm.Win32.QQPass gleich zwei weit verbreitete Schädlinge gibt. Beide versuchen, die QQ-Zugangsdaten auszuspähen. WormWin32.QQPass verbreitet sich über Wechseldatenträger und erstellt dort eine Datei namens autorun.inf. Landet das Medium auf einem nichtinfizierten Rechner mit aktivierter Autostart-Funktion, wird der Schädling über die Datei automatisch aufgerufen.

Die Virenschreiber haben auch Skype nicht übersehen und dafür die Malware Worm.Win32.Skipi entwickelt. Auf infizierten Rechnern schickt sie jedem Skype-Kontakt eine Sofortnachricht, die einen Weblink auf den Schädling enthält. Außerdem kopiert sich der Wurm zusammen mit der Datei autorun.inf auf Wechseldatenträger und steuert File-Hosts, indem er Updates von Antiviren-Produkten und Windows verhindert. Zudem versucht das Programm, laufende Schutzprogramme im System zu stoppen. Neben dem Skype-Wurm Worm.Win32.Skipi hat Kaspersky Lab mit Trojan-PSW.Win32.Skyper auch einen Trojaner identifiziert, der hier sein Unwesen treibt.

Cyberkriminelle verbreiten über den MSN Messenger von Microsoft unterschiedliche IRC-Bots. Viele davon können sich per Anweisung weiter verschicken, die sie von einem Steuerungszentrum erhalten. Das Verbreitungsschema läuft folgendermaßen ab:

Ein Übeltäter, der sein Botnet erweitern möchte, schickt über das Steuerungszentrum einen passenden Befehl an alle Backdoors. Diese schicken daraufhin Weblinks wie beispielsweise

an die komplette MSN-Kontaktliste. Im weiteren Verlauf hängt alles vom Empfänger ab. Entschließt dieser sich, den Link aufzurufen, wird dessen Rechner mit einer Backdoor infiziert und so dem Zombie-Netz hinzugefügt.

Cyberkriminelle, die ihre Zombie-Netze schnell erweitern wollen, nutzen dazu häufig den MSN Messenger. Der Client gehört zum Installationspaket von Windows, ist damit jedem Nutzer zugänglich und somit auch recht populär.

Abb. 2. Teil des Schadprogramms Backdoor.Win32.SdBot.clg.
Die Kommandos, die auf die Verbreitung des Trojaners antworten, sind rot unterstrichen.

ICQ-Gefahren

 

Am Beispiel des Chat-Client ICQ werden im Folgenden die am meisten verbreiteten IM-Angriffsarten analysiert.

Diebstahl von Passwörtern

 

Jeder ICQ-Nutzer meldet sich mit einer eindeutigen Identifizierungsnummer oder UIN am Server an. Dabei handelt es sich größtenteils um neunstellige Nummern. Allerdings wollen viele Nutzer, dass ihre Skype-UIN mit der Nummer ihres Handys übereinstimmt oder zumindest ähnliche Ziffernfolgen enthält. Solche UINs lassen sich gut merken und sind für manchen Anwender auch prestigeträchtig. Besonders beliebt sind „schöne“ ICQ-Nummern, also fünf- bis siebenstellige UINs, die sich zum Beispiel nur aus zwei Ziffern zusammensetzen.

Schöne Nummern werden zum Verkauf angeboten und ihr Preis ist in der Regel ziemlich hoch. Viele Webseiten haben sich deshalb auf Nummernbestellung spezialisiert. Deren Betreiber versuchen, gegen Bezahlung passende ICQ-Nummern zu besorgen. Im Angebot haben sie außerdem große Mengen gewöhnlicher neunstelliger Nummern, die für Spammer interessant sind. Durch viele unterschiedliche ICQ-Nummern versuchen sie, die so genannten schwarzen Listen zu umgehen, die Nutzer für unerwünschte Kontakte verwenden.

Verkäufer prestigeträchtiger Nummern lassen sich selten in die Karten schauen. In ihren Webshops beteuern sie jedenfalls, dass der Verkauf schöner UINs rechtlich einwandfrei abläuft. Doch die Mehrheit solcher ICQ-Nummern wird auf illegalem Wege besorgt.

Übeltäter setzen verschiedenste Methoden ein, um an die gewünschten UINs zu kommen. Die Betreiber von Internet-Shops, die mit den begehrten Nummern handeln, verstehen sich oftmals gut auf Accountdiebstahl. Eine dabei eingesetzte Methode ist es, über die per E-Mail verschickte ICQ-Anmeldebestätigung an das Passwort des Anwenders zu gelangen. Hat ein Anwender sein Passwort vergessen, kann er es bei ICQ per E-Mail neu anfordern. Dazu muss er lediglich eine bei der ICQ-Registrierung festgelegte Frage beantworten. Obwohl dieses Vorgehen ausreichend zuverlässig ist, sollte ein Cyberkrimineller niemals an die Registrierungs-E-Mail gelangen, weil er damit die UIN praktisch in seiner Tasche hat. Der Übeltäter muss dazu lediglich im Namen des Anwenders um ein neues Passwort bitten. Eine solche Diebstahlmethode ist allerdings nicht trivial, da es zum Auslesen des Kennworts für den ICQ-Postkasten einen leistungsstarken Computer oder gar ein Netzwerk braucht.

Besonders populär ist jedoch der Diebstahl von ICQ-Nummern mit verschiedenen Malware-Tools. Dabei ist die Schädlings-Familie Trojan-PSW.Win32.LdPinch seit mehreren Jahren unangefochtener Spitzenreiter. LdPinch stiehlt nicht nur Passwörter für IM-Clients wie ICQ oder Miranda, sondern spioniert unter anderem auch die Zugangsdaten von E-Mail-Accounts, FTP-Clients oder Online-Spielen aus. Mit Hilfe spezieller Konstruktionsprogramme lassen sich Trojaner sehr einfach herstellen. Dabei können Cyberkriminelle beispielsweise festlegen, wie sich das Schadprogramm auf einem Computer verankern oder welche Passwörter es stehlen soll. Danach muss der Übeltäter nur noch die E-Mail-Adresse festlegen, an welche die gestohlenen Daten geschickt werden sollen. Da sich solche Schadprogramme buchstäblich auf Knopfdruck produzieren lassen, trifft man sie häufig nicht nur im E-Mail-, sondern auch im IM-Traffic an.

Abb. 3. Konstruktionsprogramm für den Trojaner

Trojan-PSW.Win32.LdPinch

Verbreitung von Malware

 

Schadprogramme, die sich im E-Mail-Traffic selbständig oder über Spam-Sendungen verbreiten, gehören zu vielen unterschiedlichen Malware-Familien. Dagegen lassen sich die ICQ-Schädlinge hauptsächlich in drei Gruppen einteilen:

  1. IM-Würmer: Malware, die sich mit Hilfe infizierter Clients verbreitet.
  2. Trojaner: Auf Diebstahl von Kennwörtern ausgerichtete Schädlinge, im Fall von ICQ hauptsächlich Trojan-PSW.Win32.LdPinch.
  3. Andere Schadprogramme, die Kaspersky Lab als Hoax.Win32.*.* klassifiziert. In diese Kategorie gehört auch Schadsoftware, mit deren Hilfe Geld gestohlen wird.

Auf welche Weise verbreiten sich ICQ-Schadprogramme?

Die Verbreitung von IM-Würmern erfolgt fast immer ohne Mitwirkung des Anwenders. Viele Schädlinge verbreiten sich über die ICQ-Kontaktliste eines infizierten Rechners, indem sie einen Download-Link auf die Malware selbst verschicken. Dabei ist ihre Funktionalität ziemlich unterschiedlich: Mal gehört der bereits oben erwähnte Kennwort-Diebstahl zu ihrem Repertoire, andere eignen sich zum Aufbau von Botnetzen oder löschen schlichtweg einige Dateien auf befallenen Computern. Übeltäter wie Email-Worm.Win32.Warezov und Email-Worm.Win32.Zhelatin (Sturmwurm) verbreiteten sich über ICQ besonders intensiv.

Sollen Malware-Angriffe erfolgreich verlaufen, braucht es dazu fast immer die Mitarbeit der Anwender: Sie werden in Mitteilungen dazu aufgefordert, auf Weblinks zu klicken. Verbirgt sich dahinter ein Schadprogramm, sollen die Anwender auch gleich die Datei öffnen. Um ihr Ziel zu erreichen, setzen die Übeltäter ganz auf Social-Engineering-Methoden.

Hier ein Beispiel: Bevor er auf Opfersuche geht, erstellt ein Cyberkrimineller diverse IM-Profile, deren Beschreibung sich sympathisch liest und zur Kontaktaufnahme einlädt. Darunter fällt zum Beispiel „sympathisches Mädchen, 22 Jahre alt, sucht Partner“. Anschließend lässt er die IM-Nummern von Bots steuern, kleinen Programmen, die eine einfache Konversation aufrecht halten können. Am Anfang des Gesprächs wollen interessierte Nutzer gewöhnlich ein Foto des „sympathischen Mädchens“ sehen. Was sie jedoch erhalten, ist ein Weblink, hinter dem sich keine Fotografie, sondern ein Schadprogramm verbirgt.

In einer weiteren Variante landen die schädlichen Links direkt in den Profilangaben des „sympathischen“ IM-Kontakts. Bei dieser Angriffsart muss der Cyberkriminelle aber nicht nur deutlich mehr Felder ausfüllen als bei der vorherigen Variante. Zudem kann er nicht mehr auf seinen Bot setzen, sondern muss potenzielle Opfer selbst auswählen, ansprechen und dazu überreden, den Weblink im Profil anzuklicken.

Auch bei der Verbreitung von Malware durch ICQ-Spam kommen Übeltäter nicht um Social Engineering herum. Dabei werden nicht die Programme verschickt, sondern lediglich die passenden Links.

Spam-Links können auch auf legale, aber geknackte oder speziell von den Cyberkriminellen erstellte Webseiten verweisen, auf denen Trojan-Downloader installiert sind. Zu dessen Aufgabe gehört es, weitere Schadsoftware auf bereits infizierte Computer zu laden. Ein solcher Angriff wird im Folgenden detailliert beschrieben.

Um Malware mithilfe von schädlichem Webseiten-Code auf PCs zu übertragen, werden oft Fehler oder Schwachstellen von Webbrowsern ausgenutzt. Davon ist hauptsächlich der Internet Explorer betroffen. Um seinen Schädling zu platzieren, attackiert der Übeltäter eine gewöhnliche und in der Regel ziemlich populäre Webseite und implementiert dort seinen Code. Dieser ist beispielsweise ein iframe oder ein chiffriertes Java-Script und installiert auf den Rechnern jedes Webseiten-Besuchers ein Schadprogramm. Eine andere Variante ist, eine Webseite auf einem günstigen oder kostenlosen Host unterzubringen und sie anschließend durch massenhaften IM-Versand zu bewerben. Folgt ein Nutzer dem ihm vorgeschlagenen Link, wird die Schadsoftware unbemerkt auf seinen Computer aufgespielt. Dabei kann der Anwender gar nicht ahnen, dass die von ihm besuchte Webseite angegriffen wurde oder sich als gefälscht erweist. Währenddessen treiben allerdings schon LdPinch oder IRCBot auf seinem Computer ihr Unwesen.

Auch die IM-Programme selbst können Schwachstellen enthalten, die Cyberkriminelle für Angriffe ausnutzen. Über einen solchen Exploit lässt sich zum Beispiel ein Pufferüberlauf starten, fremder Code im System ausführen oder ohne Kenntnis und Einverständnis seines Besitzers Zugang zu anderen Computern aufnehmen. Kann sich das Schadprogramm selbstständig verbreiten, so landet es innerhalb kurzer Zeit auf zahlreichen anderen PCs, auf denen ebenfalls die betroffene Anwendung läuft und kann eine richtige Epidemie verursachen.

Das Ausnutzen von Schwachstellen erfordert ein hohes Maß an technischer Vorbereitung, was die Möglichkeiten der Cyberkriminellen etwas einschränkt.

In letzter Zeit werden über ICQ-Spam massiv Betrugsprogramme verbreitet, die angeblich gültige Pre-Paid-Codes für Handydienste generieren. Allerdings gibt die Software lediglich eine zufällige, aber chiffrierte Ziffernfolge aus, die sich erst nach Zahlung einer entsprechenden Summe entschlüsseln lässt. Dieser Betrag liegt gewöhnlich bei 10 bis 15 US-Dollar und ist damit nicht sehr hoch. Für den Anwender ist das ein zusätzlicher Anreiz, das Programm zu nutzen. Weil die Ziffernfolge jedoch nicht dafür taugt, ein Handyguthaben wieder aufzuladen, handelt es sich hierbei um Betrug. Diesen Typ Software klassifiziert Kaspersky Lab als not-virus.Hoax.Win32.GSMgen.

Dazu zwei Anmerkungen: Wenn es mit Hilfe eines solchen Programms tatsächlich möglich wäre, gültige PIN-Codes zu erhalten, wären sie erstens deutlich teurer und zweitens würden die Entwickler eines solchen Programms ihr Projekt mit allen Mitteln geheim halten, um nicht die Aufmerksamkeit der Mobilfunkbetreiber und Sicherheitsbehörden auf sich zu ziehen.

Spam im ICQ

 

Zwar gibt es zahlreiche Analysen zur Verbreitung von Spam-Mails, aber nur wenige zu ICQ-Werbemüll. Die Ergebnisse einer solchen von Kaspersky Lab im Zeitraum vom 23. Februar bis 23. März 2008 durchgeführten Untersuchung werden im Folgenden vorgestellt. Die Experten haben in ihrer Studie auch einen Vergleich zwischen dem Werbemüll gezogen, den ICQ-Nutzer erhalten und der in E-Mail-Postfächern landet.

Populäre Themen im ICQ-Spam

Per ICQ verschickte Spam-Nachrichten haben sehr unterschiedliche Inhalte. Es kann sich dabei zum Beispiel um Werbung für Webseiten, Spiele-Server und preiswerte Handys drehen. Andere Botschaften fordern die Empfänger auf, ihre Stimme für eine bestimmte Person abzugeben oder sich an einem Wettbewerb zu beteiligen. Und wiederum andere Spam-Nachrichten enthalten Weblinks zu schädlichen Programmen oder Webseiten, die mit einem Exploit vermint sind. IM-Mitteilungen, die schädliche Links enthalten, wurden in dieser Untersuchung keiner eigenen Kategorie zugeordnet.

maslyamp_imt_0508_pic05s

Abb. 4. Thematische Verteilung von ICQ-Spam

Mit einem Anteil von 18,47 Prozent nimmt Werbung für Unterhaltungswebseiten den ersten Platz im Rating ein. Sehr wahrscheinlich wird dieser Typ von Werbemüll auch künftig weit vorne in der ICQ-Spam-Statistik liegen, da er schlichtweg beliebt ist. Wer lange Zeit am Computer arbeitet und über ICQ Links zu Webseiten mit kurzweiligen Videos oder Cartoons erhält, wird froh über jede Ablenkung oder Pause sein und klickt bereitwillig auf die Weblinks.

Die Rubrik „Spam für Erwachsene“ erreicht mit 17,9 Prozent den zweiten Platz. Entsprechende ICQ-Nachrichten ähneln typischen Reklame-E-Mails und umfassen Werbung für Datingportale und Pornoseiten.

Unter die Kategorie „Nebenverdienst im Netz“ (15,83 Prozent) fallen IM-Mitteilungen, die Anwendern Geld versprechen, wenn sie auf Werbebanner klicken, bestimmte Webseiten besuchen oder sich Werbung ansehen. In diese Rubrik fällt aber auch Netzmarketing.

Spam-Mitteilungen unterschiedlichster Art, die sich aufgrund ihres zu geringen Anteils keinen separaten Kategorien zuordnen lassen, bilden zusammen die Rubrik „übriger Spam“. Sie bringen es auf 12,77 Prozent. Die thematische Bandbreite dieser IM-Nachrichten ist sehr groß: Von „Glücksbriefen“, Werbung für Zahnpasta oder Äußerungen von Erzbischöfen bezüglich eines drohenden Faschismus in Russland ist nahezu jeder Inhalt vertreten. Die wichtigsten in dieser Rubrik beworbenen Waren sind Video-DVDs und Auto-Ersatzteile. ICQ-Phishing ist hier ebenfalls vertreten, doch dazu später mehr.

Spam-Nachrichten, die sich auf ICQ beziehen, hat Kaspersky Lab der mit 8,17 Prozent fünftplatzierten Rubrik „ICQ-Spam“ zugeordnet. Zu den typischen Vertretern gehören meistens „Glücksbriefe“, die sinngemäß Texte wie den folgenden enthalten. Orthographie und Schreibstil des Autors sind unverändert übernommen.

„ВНИМАНИЕ !!! начиная с 1.12 ICQ стаНет платным. Ты можешь
предотвратить это, пошли 20 членам из твоего контактного
списка это сообщение. Это не является никакой шуткой (источник
www.icq.com) Если ты послал его 20 раз ты получишь электронное
письмо и твой цветок стаНет синим. Т.е. ты попадаешь в число тех,
кто против. Если голосование выйграет, то аська остаНется
бесплатной“

Die deutsche Übersetzung lautet folgendermaßen:

„Achtung!!! Ab 01.12. wird das ICQ kostenpflichtig. Du kannst das
verhindern, wenn Du an 20 Personen aus Deiner Kontaktliste diese Mitteilung
schickst. Das ist kein Scherz (Quelle www.icq.com). Wenn Du sie 20 Mal
verschickt hast, erhältst Du eine E-Mail und Deine Blume wird blau. Das heißt,
Du fällst unter diejenigen, die dagegen sind. Wenn die Abstimmung gewinnt,
bleibt es kostenfrei.“

Varianten dieser Mitteilung unterscheiden sich lediglich in Datum und der Anzahl der anzuschreibenden Personen voneinander. Einigen dieser Spam-Mails sieht man anhand des zitierten Textes an, dass sie bereits durch die Hände mehrerer Empfänger gingen. Anscheinend glauben einige Nutzer fest an die „blaue Blumenfarbe“.

In verschiedenen Sprachen verfasste Sofortnachrichten, die Werbung für die neue und sechste ICQ-Version machen, schicken Spammer ebenfalls ziemlich oft ab.

Warum derartige IM-Nachrichten bei Spammern so populär sind, blieb bis vor kurzem unerklärlich. Gerüchten zufolge enthielt die ICQ-Version 6.x jedoch eine Schwachstelle, die sich mit speziell formatierten Mitteilungen ausnutzen lässt. Das bestätigte sich am 28. Februar 2008. Laut der Webseite http://bugtraq.ru erzeugt das Absenden einer Mitteilung wie „%020000000s“ an ICQ-6.x-Clients einen Fehler im HTML-Code, der die Textdarstellung der integrierten IE-Komponente steuert. Über diese Schwachstelle lässt sich beliebiger Code auf dem Remote-System ausführen. Mit der aktuellsten ICQ-Variante ist diese Sicherheitslücke jedoch geschlossen.

Spam-Mitteilungen der Rubrik „Computerspiele“ kommen auf 5,79 Prozent und lassen sich in zwei Gruppen einteilen. Nachrichten aus der ersten bewerben verschiedene im Webbrowser ablaufende Online-Spiele. Spam-Mails aus Kategorie zwei preisen mehrheitlich Spielserver für „Lineage II“ und „Counter-Strike“ an.

Nur drei Prozent der Werbung für Computerspiele sind illegal und gehören zur Rubrik „Illegale Dienstleistungen“ (5,45 Prozent). In IM-Nachrichten dieser Kategorie bieten Cyberkriminelle dem Nutzer zum Beispiel an, ihm gegen Bezahlung das Kennwort zu einem Account zu verschaffen, DoS-Attacken zu organisieren, gefälschte russische oder anderssprachige Dokumente herzustellen oder Kreditkartenbetrug zu erlernen.

Mit 5,28 Prozent nimmt der Bereich „Abstimmungen“ den achten Platz der ICQ-Spamhitliste ein. In IM-Nachrichten dieser Art wird der Empfänger dazu aufgefordert, für einen Teilnehmer eines bestimmten Wettbewerbs zu stimmen.

Während Job- und Kooperationsangebote mit 4,17 Prozent auf dem neunten Platz landen, kommen Angebote für Computerdienstleistungen wie Hosting auf Platz zehn (3,22 Prozent).

Das Schlusslicht bildet die Rubrik „Mobiler Spam“ (2,72 Prozent), die sich aus zwei Typen von Nachrichten zusammensetzt. Zum ersten Typ gehören Spam-IMs mit Werbung für Webseiten, die Handys verkaufen. Dort angebotene Geräte sind häufig sehr preiswert, allerdings sind Herkunft und Authentizität der Produkte zweifelhaft. Zur zweiten Gruppe gehören Mitteilungen, die Webseiten für Handydienste bewerben.

Nur ein Prozent des zwischen 23. Februar und 23. März 2008 registrierten ICQ-Spams pries Medikamente oder medizinische Dienstleistungen an.

In ICQ kursieren manchmal auch Phishing-Meldungen. Aufgrund ihrer geringen Anzahl können sie in eine gesonderte Gruppe eingeordnet werden. Mithilfe dieser Nachrichten und einer großen Portion Social Engineering versuchen Übeltäter an die UIN-Kennwörter der Nutzer zu gelangen. Der Erfolg der Betrüger hängt stark davon ab, an welchen Anwendertyp sie geraten. Hier sei daran erinnert, dass die offizielle Online-Hilfe von ICQ zwar über Probleme und Fehlfunktionen informiert, die Nutzer jedoch niemals dazu auffordert, ihr Passwort preiszugeben oder in ein Webformular einzutragen.

Abb. 5. Mit Phishing-Mitteilung wie dieser versuchen Cyberkriminelle, ICQ-Kennwörter zu stehlen.

Die deutsche Übersetzung lautet folgendermaßen:

Guten Tag, dies ist eine Mail des ICQ-Sicherheitssystems.
Es gab einen Versuch, Ihre ICQ-Nummer zu stehlen.
Um einen Diebstahl zu verhindern, empfehlen wir Ihnen, Ihre ICQ-Nummer und das
Passwort zur Bearbeitung an unsere Adresse administrat-kcq-2008@rambler.ru
zu senden. Die Antwort erhalten Sie innerhalb einer Stunde.
Danke für die Nutzung unseres Systems.

Besonderheiten des ICQ-Spams

Anders als bei E-Mail-Kontakten können sich ICQ-Nutzer mit gleichen Interessen leicht anhand ihrer Profilinformationen finden. Diese Methode nutzen auch Spammer, um ihre Werbung an die richtige Zielgruppe zu schicken.

Fast alle Spam-Mitteilungen kommen von ICQ-Nummern, die nicht auf der User-Kontaktliste stehen. Die Häufigkeit, mit der ein Anwender solche Werbung erhält, hängt von dessen ICQ-Nummer ab. An eine sechsstellige ICQ-Ziffernfolge gehen durchschnittlich 15 bis 20 Spam-Mitteilungen pro Stunde. Viele davon enthalten einen Link auf den Schädling Trojan-PSW.Win32.LdPinch. Neunstellige Nummern erhalten dagegen nur 10 bis 14 solcher Mitteilungen am Tag, besonders „schöne“ ICQ-Zahlenkombinationen jedoch zwei- bis 2,5mal mehr.

Die thematische Zusammensetzung von ICQ-Spam unterscheidet sich deutlich von der E-Mail-Reklame. Während etwa 90 Prozent aller Spam-Mails Waren und Dienstleistungen bewerben, sind es in ICQ weniger als 13 Prozent. Dieser Anteil setzt sich aus den Rubriken „illegale Dienstleistungen“, „Computerdienstleistungen“, „Mobiler Spam“ und „Medizinischer Spam“ zusammen. Am häufigsten werden illegale Dienstleistungen angeboten (5,45 Prozent).

Etwa 50 Prozent des ICQ-Spams hat „jugendlichen“ Charakter, was völlig logisch erscheint. Die User sind meistens junge Leute, die den Chat-Client normalerweise nicht beruflich einsetzen. Spammer haben sich daher auf diese Zielgruppe eingestellt und überschwemmen ICQ mit Reklame für unterhaltsame Webseiten oder Erotikportale. Auch Werbemüll der Kategorien „Computerspiele“, „Abstimmungen“ und „Mobiler Spam“ ist auf ein junges Publikum ausgerichtet.

Während Werbung für medizinische Präparate den Spitzenplatz im E-Mail-Spam einnimmt, fehlt dieser Reklametyp in ICQ fast völlig. Aufgrund der jungen Zielgruppe belegt sie mit einem Anteil von weniger als einem Prozent dort den letzten Platz.

Eigenschaften von ICQ-Spam:

  1. Die Werbung zielt auf ein junges Publikum ab.
  2. Spam-Nachrichten transportieren eher unterhaltsame als seriöse Themen.
  3. Werbung für Konsumgüter fehlt fast völlig. Eine Ausnahme bilden Angebote für Handys und medizinische Präparate sowie eine geringe Zahl von Mitteilungen, die unter die Rubrik „Übriger Spam“ fallen.
  4. Mit 8,17 Prozent bezieht sich ein ziemlich hoher Prozentsatz von Spam-Mitteilungen direkt auf den ICQ-Client.
  5. Werbung für illegale Dienstleistungen kommt mit 5,45 Prozent auf einen großen Anteil. Die populärsten Angebote sind das Knacken von Postfächern und ICQ-Accounts, das Ausstellen gefälschter Dokumenten und Kreditkartenbetrug.

Angriffsszenarien

 

Der Anwender ruft eine Bilddatei über einen Weblink auf, den er über ICQ erhalten hat. Das Foto erscheint allerdings auch nach mehreren Minuten nicht auf dem Monitor. Während dieser Zeit hat sich aber ein Trojaner auf seinem Computer eingeschlichen. Der Schädling durchsucht alle Ordner nach Passwörtern, selbst wenn diese verschlüsselt vorliegen, Anschließend erstellt der Trojaner eine Liste aller gefundenen Kennwörter und schickt sie an die ICQ-Adresse des Übeltäters, die dieser üblicherweise ein paar Tage vor dem Angriff registriert hat. Damit die Firewall den Anwender nicht vor der Gefahr warnt, ändert der Trojaner ganz einfach den entsprechenden Registry-Eintrag. Ganz genauso verfährt der Schädling mit anderen Programmen, die ihn beim Diebstahl von Passwörtern oder anderen wichtigen Informationen stören könnten. Schließlich löscht sich der Trojaner mit einer Batch-Datei selbst und verwischt damit seine Spur.

Je nach Umfang seines ICQ-Spams hat der Cyberkriminelle möglicherweise schon Dutzende oder Hunderte ICQ-Nachrichten mit Passwortlisten erhalten, bevor der Nutzer den Betrug erkennt. Vielleicht bemerkt er den Diebstahl auch gar nicht. In jedem Fall bleibt der Anwender nur auf dem Weblink zum angeblichen Foto sitzen. Deshalb sind die Chancen gering, dem Übeltäter auf die Schliche zu kommen.

Auch wenn viele Anwender glauben, dass ihnen beim Diebstahl nichts Wichtiges abhanden gekommen ist, weiß es der Hacker meistens besser. Er hat womöglich eine imposante Passwortliste erhalten, die ihm E-Mail-Accounts, FTP-Clients, Online-Spiele, Bankkonten oder ICQ zugänglich macht.

Mit der ICQ-Nummer des Anwenders kann der Hacker weiteren Schaden anrichten. Durch die Zugangsdaten hat er Zugriff auf die Kontaktliste des Nutzers. Gibt sich der Cyberkriminelle dann als der Bestohlene aus, kann er sich von dessen Kontakten unter Umständen Geld erschleichen. Allerdings spielt die Zeit gegen ihn, weshalb der Übeltäter darum bemüht ist, sich nicht in lange Gespräche verwickeln zu lassen. Wenn aber nur ein einziger Kontakt jedes bestohlenen Nutzers bereit ist, dem Hacker virtuelle Dollar zu überweisen, so erhält er innerhalb einer Stunde ein hübsches Sümmchen Geld, das mit dem Tagesverdienst eines guten Programmierers zu vergleichen ist oder diesen sogar übertrifft.

Ähnliches kann der Hacker mit den Zugangsdaten für einen FTP-Account anstellen, der die Files einer Webseite enthält. Der Betrüger kann die Webseite beispielsweise durch ein einfaches Iframe oder verschlüsseltes Javascript-Programm erweitern, das heimlich ein Schadprogramm auf den Computern aller Nutzer installiert, die diese Webseite besuchen.

Alle oben aufgeführten Aktionen des Hackers lassen sich leicht durchführen. Der Übeltäter kann die für den Spam-Versand vorgesehene ICQ-Nummer an zahlreiche Datingseiten und Foren senden. Genauer gesagt macht dies nicht der Cyberkriminelle selbst, sondern ein spezielles Programm, das die Nummer verteilt und die Spamliste auf Aktivität prüft. Danach platziert der Hacker einen Trojaner auf einem kostenlosen Host und verteilt den entsprechenden Weblink über die Spamliste an seine ICQ-Kontakte. Ein weiteres Programm wertet dann die vom Trojaner eingehenden Nachrichten mit den Passwortlisten aus und sortiert sie nach Kategorien. Alle die auf diese Weise neu erhaltenen ICQ-Nummern bilden dann eine weitere Spamliste. Erweist sich eine gestohlene Nummer als besonders „schön“, kann sie der Hacker verkaufen. Die letzte Etappe der Verwertungskette ist der Versand von Mitteilungen, in denen die ICQ-Kontakte um eine Geldspende gebeten werden. Sobald ein Nutzer antwortet, wird der Hacker selbst aktiv und bringt Social-Engineering-Methoden ins Spiel. Nach diesem Beutezug können Cyberkriminelle eine große Menge gestohlener ICQ-Nummern an Spammer verkaufen. Obwohl die hier beschriebenen Betrügereien mitunter wenig plausibel klingen, kommen sie in der Praxis ständig vor.

Wenn Hacker IM-Clients attackieren, geschieht das zusammenfassend aus folgenden Motiven:

  1. Verkauf von gestohlenen und meistens neunstelligen ICQ-Nummern. „Schöne“ Nummern mit besonders einprägsamen Ziffernfolgen sind begehrt und erzielen höhere Verkaufspreise.
  2. Erstellen von ICQ-Nummernlisten. Abnehmer sind einerseits Spammer und andererseits Cyberkriminelle, die schädliche Programme massenhaft verbreiten wollen.
  3. Die Kontakte eines bestohlenen ICQ-Nutzers werden in dessen Namen um eine Geldspende gebeten.
  4. Platzieren einer schädlichen Software über Exploits.
  5. Modifizieren von Web-Seiten über gestohlene FTP-Passwörter, um schädliche Software auf die Computer der Surfer zu laden.
  6. Aufbau oder Erweiterung eines Botnetzes.
  7. Sonstige schädliche Tätigkeit.

Abwehrmethoden gegen IM-Übeltäter

 

Was kann ein Nutzer den Machenschaften der Cyberkriminellen entgegensetzen? Anbei einige nützliche Ratschläge für ICQ-Anwender.

Zunächst sollten Anwender grundsätzlich vorsichtig sein, wenn eine Nachricht einen Weblink enthält. Folgende Typen von Mitteilungen kommen dabei am ehesten in Frage:

  1. Eine Mitteilung eines unbekannten Nutzers, der zudem einen seltsamen Namen wie zum Beispiel SbawpathzsoipbuO besitzt.
  2. Eine Mitteilung eines Nutzers, der zwar in der Kontaktliste steht, aber einen Weblink zu einer .exe-Datei verschickt, hinter der sich angeblich Fotos verbergen.
  3. Eine Mitteilung, deren Weblink auf ein Video mit den angeblich neuesten Enthüllungen über eine bekannte Person verweist. Hinter dem Film versteckt sich jedoch meistens eine ausführbare schädliche Datei, sehr wahrscheinlich Trojan-PSW.Win32.LdPinch.
  4. Eine Mitteilung, die den Nutzer mit einem dubiosen Versprechen zum Download einer Software auffordert. Beispiel: Der Anwender kann sich mit Hilfe des Programms mit einer beliebigen Nummer bei ICQ anmelden. Hinter dem Weblink verbirgt sich zwar durchaus ein Programm, das in den meisten Fällen aber das ICQ-Passwort des Anwenders zu stehlen versucht.

Schickt eine bekannte Person eine ICQ-Nachricht, sollte man sicherstellen, dass diese Person auch tatsächlich der Absender ist. Der Versuchung, einen in der Mitteilung enthaltenen Weblink anzuklicken, sollten Anwender in jedem Fall widerstehen. Selbst wenn es sich dabei um keine ausführbare Datei handelt, kann sich der Rechner Malware einfangen.

Ohne grundlegende Sicherheitsmaßnahmen geht es nicht: Um Schädlinge zu blockieren, muss auf dem Computer eine aktuelle Antiviren-Software sowie eine Firewall laufen. Das Antiviren-Tool sollte im Idealfall einen proaktiven Schutz bieten. Dieser erlaubt es, unbekannte Schadprogramme anhand ihres Verhaltens zu erkennen.

Oftmals bemerken Nutzer gar nicht, dass auf ihrem Computer ein Schadprogramm sein Unwesen getrieben hat. Einen Hinweis auf eine Infizierung können allerdings seltsame IM-Fragen von Bekannten liefern, die sich auf nie geführte Gespräche beziehen: „Wozu hast Du mich gestern im Chat um 50 Euro gebeten?“. Noch offensichtlicher wird es, wenn sich Anwender mit ihrem Benutzernamen und Passwort plötzlich nicht mehr bei einem IM-Dienst anmelden können. Kaum ein Anbieter wird die Zugangsdaten ändern, ohne den Benutzer darüber zu informieren – ein Hacker dagegen sehr wohl.

Was kann man tun, wenn der Trojaner bereits Schaden angerichtet und sich selbst aus dem System gelöscht hat? Zu Beginn sollte man sich mit einer Antiviren-Software davon überzeugen, dass der Computer wirklich sauber ist. Des Weiteren sollten Nutzer sofort testen, ob all ihre Kennwörter noch funktionieren und sämtliche Zugangsdaten ändern, die ein Trojaner hätte stehlen können. Man sollte außerdem alle Kontakte darüber informieren, dass die eigenen IM-Nachrichten unter Umständen gefälscht sein könnten und möglicherweise seltsame Anfragen oder schädliche Weblinks enthalten.

Es lohnt sich außerdem, stets die aktuellste Version eines Chat-Clients aufzuspielen. Die Chancen stehen gut, dass die Entwickler dabei neu entdeckte Sicherheitslücken geschlossen haben. ICQ 6.x enthielt beispielsweise einen Fehler im HTML-Code, der die Textdarstellung der integrierten IE-Komponente steuert. Über diese Schwachstelle ließ sich beliebiger Code auf dem Remote-System ausführen. In der neuesten ICQ-Version ist dieser Fehler jedoch behoben.

Zum Schutz vor ICQ-Spam wird folgendes empfohlen:

Da Spammer den ICQ-Status eines Nutzers von der ICQ-Webseite aus prüfen können, sollten Anwender diese Einstellungen im Client deaktivieren. Der Spam-Versand richtet sich an häufig eingeloggte User und Viel-Chatter. Deshalb sollten Anwender sich im unsichtbaren Modus bei ICQ anmelden. Dabei sollte man allerdings nicht vergessen, dass es Programme gibt, die den tatsächlichen User-Status ermitteln können. Dagegen hilft ein Antispam-Bot – ein einfaches Modul, dass einige IM-Clients wie zum Beispiel QIP unterstützt. Der folgende Screenshot zeigt die Konfiguration eines einfachen Antispam-Bots.

Abb. 6 Konfiguration eines einfachen Antispam-Bot

Wie arbeitet ein Antispam-Bot? Nehmen wir an, ein Anwender wird von einem Nutzer kontaktiert, der nicht in der Kontaktliste eingetragen ist. Damit die Person eine Mitteilung schicken und ein Gespräch beginnen darf, muss sie erst eine Frage beantworten. Nur bei der richtigen Antwort kommt ein Chat zustande. Anwender sollten dabei einfache Fragen verwenden werden, deren Antworten jeder außer Bots kennt, zum Beispiel „Wie viel ist 2+2 x 2?“ oder „Wie heißt unser Planet?“. Ein solcher Schutz ist gegen verschiedene Spam-Bots recht wirkungsvoll. Allerdings können einige von ihnen durchaus die Antworten auf Standardfragen kennen.

Zusammenfassung

 

Da Chat-Programme für Cyberkriminelle sehr interessant sind, müssen sich IM-Clients und ihre Anwender den Attacken zahlreicher Schädlinge und Spam-Nachrichten erwehren. Neue Client-Versionen enthalten oftmals noch unbekannte Schwachstellen, die Hacker meistens noch vor den Programmentwicklern entdecken und ausnutzen. Eine solche Situation löst oft IM-Massenepidemien hervor.

Spezielle Schutzmaßnahmen für IM-Clients gibt es derzeit zwar nicht. Die wirksamste Methode gegen IM-Spam und -Schädlinge sind aber der zweifellos gesunde Menschenverstand sowie ein mit Antiviren-Programm und Firewall abgesicherter Rechner.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.