Krise in Japan – IT-sicherheitsrelevante Ereignisse auf der Zeitachse

Es ist allgemein bekannt, dass Cyberkriminelle Ereignisse mit globaler Bedeutung ausnutzen, um damit finanzielle Gewinne zu erzielen. Unlängst stattgefundene Naturkatastrophen wie das Erdbeben in Haiti, der Wirbelsturm Katrina und das Erdbeben in Neuseeland im Februar 2011 sind ein Beleg für dieses Phänomen. Auch die aktuelle Situation in Japan bildet da keine Ausnahme. Solche Katastrophen sind für Cyberkriminelle eine außergewöhnliche Gelegenheit, Profit zu machen, selbst wenn dies bedeutet, dafür das Elend anderer Menschen auszunutzen.

Derzeit gibt es unzählige Möglichkeiten, für die Erdbebenopfer in Japan zu spenden. Die große Zahl an Hilfsorganisationen und -kampagnen kann Spendenwillige allerdings in die größte Verwirrung stürzen. Außerdem ist nicht immer ersichtlich, ob man den Kampagnen-Organisatoren auch wirklich vertrauen kann.

Dasselbe gilt auch für die überwältigende Flut an Informationen und aktuellen Meldungen. Neben den traditionellen Massenmedien Fernsehen, Rundfunk und Printmedien gibt es jede Menge Webseiten, Blogs, Videoportale und Social Media Sites, die Nachrichten in Echtzeit verbreiten.

Diese Vielfalt spielt den Cyberkriminellen in die Hände. Die Qualität der Betrugsversuche, die wir im Falle derartiger Katastrophen beobachten konnten, verbessert sich ständig. Dadurch lässt sich immer schwieriger feststellen, wie vertrauenswürdig Informationsquellen wirklich sind. Die Betrüger nutzen moderne Medien und Social Engineering vor allem dazu, ihre potentiellen Opfer zu ködern. Beides wird meistens zur Manipulation menschlicher Gefühle eingesetzt:

  • das Ausnutzen des Wunsches nach Wohltätigkeit, Spenden- und Hilfsbereitschaft
  • das Wecken von Sensationslust
  • das Auslösen von Panik

Im Japan-Fall zogen die Cyberkriminellen alle Register. Inzwischen ist es über einen Monat her, dass das Land am 11. März von einem schweren Erdbeben und einem Tsunami getroffen wurde – und damit Zeit, die wichtigsten Ereignisse aus dem Blickwinkel der IT-Sicherheit zu rekapitulieren.

Bitte beachten Sie, dass dieser Artikel keinen Anspruch auf Vollständigkeit erhebt, sondern eine Auswahl an Zwischenfällen in ihrer zeitlichen Abfolge aufgreift.

11. März – Google reaktiviert Person Finder

Nach dem Erdbeben in Neuseeland im Februar 2011 stellte Google seinen Online-Dienst Person Finder bereit, um Freunden und Verwandten die Suche nach Vermissten zu erleichtern (http://christchurch-2011.person-finder.appspot.com/). Diese App wurde von Google nach der Katastrophe in Japan reaktiviert (http://japan.person-finder.appspot.com/). Back to top

12. März – Erste „Likejacking-Scams“ auf Facebook aufgetaucht

Der erste Betrug auf Facebook mit dem „Gefällt mir“-Button in Verbindung mit dem Tsunami hatte eher etwas Surreales:

Nach Anklicken des Links wird der Nutzer auf eine Facebook-Webseite weitergeleitet, auf der das Video angeblich mit dem Flash-Player abgespielt werden kann. Durch Klicken auf irgendeine Stelle dieser Seite erscheinen jedoch ein Umfrageformular sowie eine Statusmeldung, die ebenfalls an die Facebook-Freunde weiterverbreitet wird. Um sich das Video ansehen zu können, muss der Nutzer das Formular ausfüllen. Als Lockmittel dient ein Gewinnspiel, bei dem es scheinbar ein iPad 2, ein iPhone oder einen Laptop zu gewinnen gibt. Die Cyberkriminellen verdienen bei dieser Betrugsmasche an jedem ausgefüllten Umfrageformular.

Eine weitere ähnliche Masche läuft mehr oder weniger identisch ab. Der Hauptunterschied besteht darin, dass die Webseite, auf der das Video zu sehen sein soll, nicht wie Facebook aufgemacht ist, sondern eher wie YouTube.

Andererseits wird die Nachricht auch über die Facebook-Pinnwand verbreitet und verleitet Nutzer dazu, ein Umfrageformular auszufüllen.

Back to top

13. März – Neue „Likejacking“-Betrügereien auf Facebook zur Verbreitung nicht existierender Tsunami-Videos

Dieser Betrug ist wie die oben beschriebenen Beispiele aufgebaut und endet mit Angeboten für eine billige Versicherung. Wie in den meisten Fällen funktioniert das Abspielen des Videos auch hier nicht.

Die Webseite versucht, den Nutzer dazu zu bringen, als Gegenleistung für das Abspielen des nicht existierenden Videos auf eines der gezeigten Angebote einzugehen. Offeriert werden Browserspiele, Versicherungsschnäppchen und nutzerspezifische Facebook-Themen. Auf der Webseite wird diese Vorgehensweise mit der notwendigen Altersüberprüfung für die Video-Aktivierung begründet. Back to top

14. März – Gefälschte Nachricht des Amerikanischen Roten Kreuzes mit Spendenaufruf via Twitter verbreitet

Neben Facebook wurde Twitter gleichermaßen dazu benutzt, Betrugsversuche in Zusammenhang mit der Japan-Katastrophe durchzuführen. Von gefälschten Twitter-Konten des Roten Kreuzes aus wurden Spendenaufrufe versendet – mit der Vorgabe, dass die Spenden den Menschen in Japan zugutekommen. Back to top

14. März – Massive Blackhat-SEO-Kampagne mit 1,7 Millionen Seiten laut Google

Laut SANS und Google führten unmittelbar nach der Katastrophe in Japan mehr als 1,7 Millionen Seiten aufgrund einer massiven Blackhat-SEO-Kampagne zu gefälschter Antiviren-Software. Das macht deutlich, dass die Cyberkriminellen äußerst aktiv sind und sofort auf brandaktuelle Themen in den Medien reagieren können. Back to top

14. März – Falsche SMS-Berichte über Radioaktivität verursachen Panik auf den Philippinen

Laut Berichten von Spiegel und BBC wurde eine SMS-Scherznachricht (Hoax) auf den Philippinen verbreitet, die angeblich von einem britischen Nachrichtensender stammte. Laut der Nachricht sollte eine radioaktive Wolke Manila am 14. März um 16.00 Ortszeit erreichen. Die Absicht dieses „Scherzes“ war scheinbar nur, Hysterie und Panik unter den Menschen zu verbreiten. Ein offenkundiger Hinweis auf irgendwelche finanziellen Profite konnte nicht festgestellt werden. Back to top

15. März – Falsche Spendergruppen auf Facebook aufgetaucht

Auf Facebook wurden innerhalb weniger Tage Hunderte von Gruppen und Seiten eingerichtet, die um Spenden bitten. Einige versprechen, bei jedem Anklicken des entsprechenden „Gefällt mir“-Buttons einen bestimmten Geldbetrag zu spenden, während andere eine Möglichkeit anbieten, Geld über ein Online-Zahlungssystem zu senden. Die wirkliche Absicht vieler Gruppen war häufig nur schwer auszumachen. Back to top

15. März – IT-Experte Michael Horn alias Nibbler initiiert das geigerCrowd-Projekt

Hacken für Japan: Der IT-Experte Michael Horn alias Nibbler initiiert das Projekt geigerCrowd. Sein Projekt nutzt Crowdsourcing-Plattformen, um Software zur Aufbereitung und Visualisierung von Strahlenmesswerten verschiedener Standorte zu entwickeln. Back to top

16. März – Links in Spam-Mails führen auf schädliche Webseite

In einer der ersten Wellen von Spam-Mails, die sich die Situation in Japan zunutze machten, wurden diverse Schlagzeilen verwendet, welche ausnahmslos echt waren und aus den BBC-Nachrichten stammten. Die enthaltenen Links führten allerdings zu einer schädlichen Webseite, die Schadcode über Java-Scripts verbreitete.

Diese Abbildung zeigt ein Sample, das wir am 19. März beobachteten. Unser Kollege Nicolas Brulez hat bereits über ein ähnliches Exemplar berichtet, das wir am 16. März erhielten („ Japan-Katastrophen-Spam führt zu Malware“). Back to top

17. März – Gefälschte Twitter-Mail ködert Nutzer mit Video aus Fukushima

Dieses Sample gibt sich als Twitter-Nachricht aus und ködert Nutzer mit einem Video aus der Sperrzone rund um Fukushima. Der Link führt die Nutzer zu einer schädlichen Webseite, die Varianten von Trojan-Downloader.Win32.Codecpack über verschiedene Exploits aus dem Incognito Exploit Kit verbreitet.

Über dieses Thema hat unser Kollege Nicolas Brulez kürzlich ausführlich berichtet („ Japan-Katastrophen-Spam führt zu Malware“). Back to top

18. März – Flugticket-Betrug aufgedeckt

Die Masche lief folgendermaßen ab: Es wurde behauptet, dass zwei Flugtickets zurückgegeben worden seien und nun zum Verkauf stünden, wobei das Angebot angeblich von einem Angestellten des Reisebüros kam. Die Opfer wurden aufgefordert, eine Kopie ihres Reisepasses zu übermitteln sowie umgerechnet 674 US-Dollar zu überweisen. Damit kamen die Cyberkriminellen gleichzeitig in den Besitz der persönlichen Daten und des Geldes. Back to top

18. März – Spam-Mail mit falschem Spendenaufruf für Japan

Der Absender dieser Spam-Mail tarnt sich als Mitglied eines japanischen Community-Forums. Die Spende soll über Western Union abgewickelt werden – einem bei Betrügereien dieser Art sehr populären Online-Zahlungsportal, das den Urhebern eine weitgehende Anonymität sichert.

Mehr Details zu diesem Fall erfahren Sie in unserem Blog („ Japan-Katastrophen-Spam II “). Back to top

23. März – Spam-Mails angeblich vom Britischen Roten Kreuz verschickt

Diesen Betrugsversuch mit einem gefälschten Spendenaufruf haben wir vor relativ kurzer Zeit beobachtet. Die Betrüger hatten sich große Mühe gegeben, den Anschein zu erwecken, dass die E-Mail vom Britischen Roten Kreuz verschickt worden sei. Die Absenderadresse ist jedoch gefälscht.

Ein besonderes Merkmal dieses Samples ist allerdings die Leichtigkeit, mit der sich Menschen zum Geldgeben verleiten lassen. Das Geld wandert selbstverständlich direkt in die Taschen der Internetbetrüger. Am unteren Ende der Nachricht befindet sich ein Spendenformular im HTML-Format, welches das Opfer auffordert, zusätzlich persönliche Daten preiszugeben. Auf diese Weise schlagen die Cyberkriminellen gleich zwei Fliegen mit einer Klappe.

Back to top

25. März – Ausbreitung schädlicher Webseiten geht ununterbrochen weiter

Am 25. März berichtete unser Kollege Michael von der Entdeckung einer weiteren Webseite, über die Schadprogramme verbreitet werden („Japan-Katastrophen-Spam: Mehr Malware“). Gezeigt wird ein Video, dessen Titel grob übersetzt lautet: „Ein neuer Tsunami erreicht das Gebiet von Sendai, Japan ruft Katastrophenzustand am Atomkraftwerk aus“. Beim Aufrufen der Seite wird jedoch eine Datei heruntergeladen und ausgeführt, die wir als Trojan-Downloader.Win32.AutoIT.po eingestuft haben und mit der wiederum drei weitere Binärdateien heruntergeladen werden.

Back to top

28. März – Weitere E-Mail mit gefälschtem Spendenaufruf, angeblich vom Roten Kreuz

Hierbei handelte es sich um einen weiteren Massenversand gefälschter E-Mails mit Spendenaufrufen, die scheinbar vom Roten Kreuz stammen und diesmal angeblich vom japanischen Zweig der Organisation verschickt wurden.

Back to top

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.