Der britische IT-Sicherheitsexperte Paul Stone hat auf der Hackerkonferenz Black Hat eine neue Generation sogenannter Clickjacking-Attacken demonstriert. Beim Clickjacking schiebt eine manipulierte Webseite beispielsweise einen durchsichtigen iFrame unter den Mauszeiger. Im Glauben, etwas auf der angezeigten Seite anzuklicken, klickt der Anwender jedoch auf Elemente in einem durchsichtigen iFrame einer anderen Seite, beispielsweise Buttons in Oberflächen auf anderen Webseiten. Stones Demos beschränken sich jedoch nicht auf Klicks, er kann auch Texte in Formulare eingeben oder im Browser des Opfers geöffnete Dokumente oder Quell-Texte auslesen. Stone macht sich dazu die Drag-and-Drop-API moderner Browser wie Interner Explorer, Firefox, Chrome oder Safari zunutze. Anstatt das Opfer auf eine bestimmte Stelle klicken zu lassen, lässt Stone den Anwender Objekte oder Texte aus dem sichtbaren Fenster in das unsichtbare iFrame ziehen.
Archiv der Kategorie: News
Aktuelle Informationen aus den Bereichen IT-Sicherheit, Recht und Wirtschaft zum Thema Identitätsmissbrauch im Internet.
Java-Lücke: Spiel mir das Lied vom Trojaner
Erste Webseiten versuchen die seit Ende der vorigen Woche bekannte Lücke in Java Web Start auszunutzen, um die Windows-PCs von Besuchern zu infizieren, berichtet der Antivirenhersteller AVG in seinem Blog. Zu den Seiten soll unter anderem die populäre Plattform songlyrics.com gehören, auf der sich die Texte aktueller Lieder herunterladen lassen. Offenbar haben Kriminelle die Webseite gehackt und Code eingebettet, der den Schadcode von einem russischen Webserver nachlädt. Die Lücke beruht auf der ungenügenden Filterung von URLs, durch die sich mit präparierten URLs Parameter an Java Web Start übergeben lassen, mit denen lokale Anwendungen gestartet werden können. Auf diese Weise lässt sich auch Code aus dem Netz nachladen und starten.Von der Lücke ist nicht nur Windows, sondern auch Unix betroffen. Java für Mac OS X soll nicht verwundbar sein.
Symantec veröffentlicht Phishing- und Spam-Report April 2010
Beim Shoppen abgezockt? Einer der massivsten Phishing-Angriffe im März hat den Opfern vorgekaukelt, mit ihrer Kreditkarte hätte jemand illegal eingekauft. Der Empfänger müsse seine Daten unbedingt auf der angegebenen Webseite abgleichen, um den Kauf abzubrechen. Diese Seite war natürlich gefälscht. Es kursierten zwei Arten dieser Phishing-Seite, deren Inhalte in verschiedene Sprachen übersetzt war, darunter Englisch und Französisch.
Eine Seite wurde mit automatischen Phishing-Toolkits generiert, die meistens die Endung „.cz" für Tschechien trugen. Sie forderten den Leser dazu auf, seine persönlichen Kreditkarteninformationen in ein Formular einzutragen.
Eine Seite wurde mit automatischen Phishing-Toolkits generiert, die meistens die Endung „.cz" für Tschechien trugen. Sie forderten den Leser dazu auf, seine persönlichen Kreditkarteninformationen in ein Formular einzutragen.
Die zweite Variante bestand aus URLs mit IP-Domänen, die auf US-basierten Servern gehostet wurden. Diese Seiten forderten Leser ebenfalls auf, ihre privaten Daten in ein Formular einzutragen, doch die Kreditkartennummer wurde automatisch übertragen.
Symantec veröffentlicht Phishing- und Spam-Report April 2010 weiterlesen
Trojaner droht mit Gerichtsverfahren
Von einem besonders dreisten Trojaner (respektive Ransomware) berichten mehrere Antivirenhersteller: Er gaukelt dem Windows-Anwender einen Antipiraterie-Scanner auf dem System vor, der urheberrechtlich geschützte Dateien – vulgo Torrent-Dateien – auf dem Rechner entdeckt haben will. Dazu öffnet sich ein großes Fenster, das die Dateien auflistet und zugleich auch noch mögliche rechtliche Konsequenzen des Fundes für den Anwender erläutert. Der Trojaner gelangt in Zusammenhang mit Scareware-Seiten auf den Rechner, wobei das Opfer die Datei aber vermutlich selbst herunterlädt und installiert.
Festnahme wegen Attacke auf Twitter-Konten
Ein aufsehenerregender Angriff auf die Twitter-Konten unter anderem von US-Präsident Barack Obama und Pop-Sternchen Britney Spears scheint aufgeklärt: In Frankreich nahmen Fahnder am Mittwoch einen arbeitslosen 25-Jährigen fest. Der unter dem Tarnnamen "Hacker Croll" auftretende Mann soll sich im vergangenen Jahr illegal Zugang zu etlichen Nutzer-Konten des Kurzmitteilungsdienstes Twitter besorgt haben – darunter auch zu denen von Obama und Spears. Nach vorläufigen Erkenntnissen suchte der Computer-Freak nur eine Herausforderung. "Er wollte damit kein Geld machen", sagte eine französische Polizeisprecherin am Abend.
EU forciert Pläne zu europaweiten Web-Sperren
Während die Bundesregierung für Deutschland statt des ausgesetzten Websperren-Gesetzes ein Löschgesetz gegen Kinderpornographie vorbereitet, forciert nahezu unbemerkt von der Öffentlichkeit die Europäische Union ihre Bestrebungen, Darstellungen von Kindesmissbrauch im Web europaweit auszublenden. Dies geht aus einem geheimen Dokument des Rats der Europäischen Union ("EU-Ministerrat") hervor, das der Arbeitskreis gegen Internet-Sperren und Zensur veröffentlicht hat. In dem Positionspapier gibt der Rat Empfehlungen für einen Aktionsplan zur EU-weiten Bekämpfung von Cybercrime.
Täter nutzen „Ukash“ für Geldtransfer
Wie uns aktuell im Rahmen unserer >Telefonsprechstunde< mitgeteilt wurde, nutzen die Täter jetzt auch Internet-Bargeld-Dienste, um per Phishing erbeutetes Geld ins Ausland zu transferieren. Der Anrufer war auf eines der üblichen vermeintlichen Jobangebote hereingefallen und hatte ihm überwiesenes Geld arglos weitergeleitet. Die Anwerbung sogen. Finanzagenten ist ein bekanntes Phänomen, so führt die a-i3 seit Jahren eine >Datenbank< , in der die jeweils aktuellen Anwerbemails frei abrufbar sind. Neu war diesmal jedoch die Methode, mit der das Geld – immerhin 3.500,- Euro – ins Ausland transferiert wurde: Anstatt den unwissenden Finanzagenten – wie sonst üblich – aufzufordern, das Geld per Western Union weiterzuleiten, bedienten sich die Täter diesmal des Internet-Bargeld-Services "Ukash". Bei diesem Dienst kann man bei vielen Kreditinstituten, Geschäften und sogar Tankstellen Bargeld einzahlen und erhält im Gegenzug eine weltweit einmalige 19-stellige PIN sowie eine Wertangabe. Allein mit diesen beiden Informationen kann dann – absolut anonym – von überall auf der Welt z.B. Ware bezahlt oder der entsprechende Geldbetrag – in beliebiger Währung – ausgezahlt werden.
US-Strafverfolger nutzen soziale Netzwerke für verdeckte Ermittlungen
Die Electronic Frontier Foundation (EFF) hat von US-Behörden Dokumente erstritten, wonach Strafverfolger und Finanzbeamte aktiv Dienste wie Facebook, MySpace oder Twitter für ihre Arbeit einsetzen, Nutzer gezielt ausspähen und dabei teils verdeckt mit gefälschten Profilen operieren. So werden in einer über 30-seitigen Präsentation der für Computerstraftaten und geistiges Eigentum zuständigen Abteilung des US-Justizministeriums, deren Herausgabe die US-Bürgerrechtsorganisation im Rahmen einer im Dezember eingereichten Klage auf Basis des "Freedom of Information Act" erlangt hat, soziale Netzwerke als "wertvolle Quelle" zur Informationssammlung bezeichnet. Unter dem Motto "Wissen ist Macht" werden Ermittler angehalten, möglichst viele Zeugen auf einschlägigen Seiten im Auge zu behalten oder zu befragen.
US-Strafverfolger nutzen soziale Netzwerke für verdeckte Ermittlungen weiterlesen
Spanische Polizei gibt Einzelheiten zu Botnetz-Verhaftungen bekannt
Die spanische Polizeieinheit Guardia Civil hat am Mittwoch Einzelheiten zur Festnahme von drei mutmaßlichen Hauptverantwortlichen eines unter dem Namen "Mariposa" bekannten Botnetzes mitgeteilt. Festgenommen wurden in den vergangenen Wochen demnach drei Spanier, denen vorgeworfen wird, seit Ende 2008 über 13 Millionen Computer unter ihre Kontrolle gebracht und damit eines der größten Botnetze weltweit betrieben zu haben. Bei Hausdurchsuchungen in Valmaseda, Santiago de Compostela und Molina de Segura beschlagnahmten die Behörden den Angaben zufolge umfangreiches Beweismaterial, darunter Zugangsdaten zu Unternehmensnetzen, Online-Banking-Accounts und E-Mail-Konten von mehr als 800.000 Nutzern.
Spanische Polizei gibt Einzelheiten zu Botnetz-Verhaftungen bekannt weiterlesen
Karlsruhe kippt Vorratsdatenspeicherung
Die Massen-Speicherung von Telefon- und Internetdaten zur Strafverfolgung ist unzulässig. Das Bundesverfassungsgericht in Karlsruhe entschied am Dienstag, dass das Gesetz zur Vorratsdatenspeicherung in seiner jetzigen Form gegen die Verfassung verstößt. Es ist dem Urteil zufolge mit dem Telekommunikationsgeheimnis unvereinbar. Karlsruhe kippt Vorratsdatenspeicherung weiterlesen