Bots in Deutschland auf dem Vormarsch

Sicherheitsreport: 23 Prozent aller Bot-infizierten Rechner Europas befinden sich in Deutschland - Identitätsdiebstahl wird immer raffinierter
Phishing-Webseiten gehen zurück - Schattenwirtschaft mittlerweile milliardenschwer

(20.09.07) - Phishing-Webseiten sind in Deutschland um fasst ein Drittel zurückgegangen. Das zeigt die zwölfte Ausgabe des Internetsicherheitsreports von Symantec, der alle sechs Monate erscheint und auch diesmal wieder einen gesonderten Report zur Region EMEA (Europa, Mittlerer Osten, Afrika) umfasst. Die positive Nachricht wird allerdings durch die Tatsache getrübt, dass Angreifer über neue professionelle Angriffs-Tools verfügen. Diese ermöglichen, dass sie - auch ohne perfekte Betrugsseiten zu gestalten - in den Besitz vertraulicher Daten der Anwender kommen können.

Bereits 65 Prozent der weltweiten Top-50 Schädlinge zielen auf Identitätsdiebstahl ab. Damit lässt sich Geld verdienen: so wird beispielsweise das Trojaner-Toolkit MPack für 1.000 Dollar auf Untergrundservern gehandelt. Der Professionalisierung und Kommerzialisierung einer mittlerweile milliardenschweren Schattenwirtschaft stehen viele Anwender unbedarft gegenüber: Allein in Deutschland stehen 23 Prozent der Bot-infizierten Computer in Europa.

Wie auch schon im Vorberichtszeitraum richten sich die Angriffe fast ausschließlich (99,4 Prozent bezogen auf EMEA, 95 Prozent weltweit) gegen Endanwender, von deren teilweise lückenhafter technischer Absicherung, aber auch Unbedarftheit die Angreifer zu profitieren hoffen. "Viele Anwender verwalten vertrauliche Informationen, wie beispielsweise Kontodaten, auf ihren Rechnern, was ein lukratives Ziel für die Angreifer darstellt und die finanziellen Interessen hinter den Aktivitäten unterstreicht", sagt Candid Wüest, Sicherheitsexperte bei Symantec.

In Deutschland sind 23 Prozent aller in EMEA infizierten Bot-Rechner zu finden. Der Grund für die führende Position ist in der hohen und stets wachsenden Zahl der vorhandenen Breitbandanschlüsse zu suchen. Viele neue Breitband-Nutzer sind sich der Notwendigkeit, sich gegen die Bedrohung aus dem Internet entsprechend zu schützen, noch nicht ausreichend bewusst. Weltweit liegt China mit 29 Prozent aller weltweiten Bots vorn.

Unter einem Bot (Abkürzung für Robot) versteht man ein ohne Wissen des Anwenders installiertes Computerprogramm, welches Angreifern den Fernzugriff auf das System über einen Kommunikationskanal (wie beispielsweise IRC) ermöglicht. Dabei infiziert in der Regel ein Angreifer zahlreiche Rechner mit einem Bot, der diese dann zu einem Netzwerk (Botnet) verbindet. Dieses Netzwerk kann zentral von einem Command-and-Control Server aus gesteuert werden, um koordinierte Angriffe zu starten. In der Region EMEA sind ein Viertel der Command-and-Control Server in Deutschland zu finden.

Bisher wurden Bots für massenhaften Spam- und Phishing-Versand oder für Denial of Service-Attacken eingesetzt, aber die erweiterten Sicherheitskonzepte der Internet Service Provider blockieren diese Aktivitäten und so wenden sich die Angreifer unauffälligeren Techniken zu, mit denen sie schneller an vertrauliche Daten gelangen können, die sie dann zu Geld machen können.

Professionalisierung und Kommerzialisierung einer Schattenwirtschaft
Bereits im Frühjahr 2007 hatte der Internet Security Threat Report XI auf die Entstehung einer Schattenwirtschaft hingewiesen, die über IRC, Webseiten und Schwarzmarkt-Auktionen Zeroday-Schwachstellen und entsprechende Abgriffstools anbietet. Innerhalb kurzer Zeit hat sich diese Kommerzialisierung zu einem milliardenschweren kriminellen Zweig entwickelt und auch die Entwicklung, Verbreitung und Implementierung vieler Schadcodes und Aktivitäten zeugt von einer hochgradigen Professionalität.

Ein aktuelles Beispiel hierfür ist MPack: Ein hochentwickeltes Angriffs-Toolkit, das anscheinend professionell programmiert und entwickelt wurde und im Internet für 1.000 Dollar angeboten wird.

Zu beobachten ist auch ein Paradigmenwechsel in der Angriffsmethodik: Angreifer legen sich heute auf die Lauer und warten, bis ihr Angriffziel selbst auf sie zukommt. Hierfür wird die Schadsoftware auf einer präparierten Webseite hinterlegt.

Besonders "Social Networking"-Webseiten haben sich für die Hacker als besonders ergiebig erwiesen, da sie Angreifern Zugang zu einer Vielzahl von Personen bieten, von denen viele blind darauf vertrauen, dass diese Webseiten sowie ihr Inhalt sicher sind. Dies hat ernste Konsequenzen für die Anbieter, da das Vertrauen in die bekannten und beliebten Webseiten verloren geht. Der bislang gängige Rat, "schlechten Umgang" im Internet zu vermeiden, reicht heutzutage nicht mehr aus.

Sobald die infizierte Webseite vom Anwender besucht wird, wird Schadcode über eine Sicherheitslücke nachgeladen. Dabei braucht der Angreifer nicht lange nach einem Einfallstor in Web-Browsern und -Applikationen zu suchen, denn allein in diesem Berichtszeitraum wurden 237 Sicherheitslücken in Browser Plug-ins festgestellt. Drei der Top-5 Schädlinge in der Region EMEA gehören bereits in die Kategorie der mehrstufigen Trojaner. Anwender sollten deshalb besonders bei Downloads aus dem Internet die Dateien vor dem Öffnen scannen lassen und regelmäßig ihre Sicherheitsprodukte aktualisieren.

Phishing-Tools im Baukastensystem
Zwar hat sich die Prozentzahl von Phishing-Webseiten in Deutschland von 32 auf 22 reduziert, dafür haben sich aber die Methoden professionalisiert, wie das enorme Auftreten von Phishing-Toolkits dokumentiert; hierbei handelt es sich um eine Reihe von Skripts, die einem Angreifer die automatische Einrichtung von Phishing-Webseiten ermöglichen, welche die Webseiten von Markenunternehmen vortäuschen - inklusive der zugehörigen Bilder und Logos.

Parallel lassen sich über die Skripts korrespondierende Phishing-Mails generieren, um den Anwender auf die Webseite zu locken. In dem Berichtszeitraum stammten 86 Prozent der weltweiten Phishing-Webseiten von lediglich 30 Prozent der erfassten Absender IP-Adressen. Demnach kommen Phishing-Toolkits regelmäßig zum Einsatz.

Bei Spam-Mails befindet sich Deutschland mit einem Anteil von sieben Prozent auf Platz vier der EMEA-Liste - die allerdings von keinem konkreten Land, sondern von "Unbekannt" angeführt wird. Dass der Spitzenreiter nicht klar bestimmt werden kann, liegt daran, dass die entsprechenden Provider oft in mehreren Ländern aktiv und daher nicht klar zuzuordnen sind.

Allerdings existieren in Deutschland mit 17 Prozent die meisten Spam-Zombies. Ein Spam-Zombie ist - ähnlich wie bei einem Bot - ein ans Internet angeschlossener Computer, der durch verdeckte Installation entsprechender Schadprogramme eine "Fernsteuerung" des Rechners zum Versand von Spam-Mails ermöglicht. Auch hier spielt wiederum die hohe Anzahl an Breitbandanschlüssen eine zentrale Rolle: die entsprechenden Rechner sind häufig online und in der Lage in kurzer Zeit viele Informationen zu verschicken. (Symantec: ra)