Sicherheits-News

Phishing ist immer schwerer zu erkennen: Neue Phishing-Emails aufgetaucht

Wed, 29 November 2006

Tettnang, 29. November 2006–Wie bereits in unserer Top 10 der Viren im Oktober beschrieben, behaupten die meisten Phishing-Emails der letzten Monate von PayPal oder eBay zu kommen. Diese Emails sind Klassiker, die dem Original täuschend ähnlich sehen oder es sogar übertreffen (siehe Abbildung 1). Das ist auch ein Grund dafür, dass man sie so leicht erkennen kann.

Abbildung 1. Die üblichen PayPal phishing emails

In den letzten Wochen haben sich jedoch neue Trends bei Phishing-Emails gezeigt: reine Textnachrichten mit neuer Struktur und unverschleierten Links zur Phishing-Website.

Die Phishing-Emails kommen scheinbar von zwei bekannten Unternehmen: eBay und Sears Cards. Der Inhalt kann mithilfe üblicher Methoden kaum als Phishing erkannt werden.

Durch das Schreiben von Emails im Textformat anstelle von Rich-HTML wollen die Angreifer vermeiden, als einfacher Spam abgetan zu werden. Einerseits weisen HTML- oder Rich-Text-Inhalte oft auf Spam hin, andererseits sehen so verfasste Emails „echter“ aus und verführen zum schnellen Klick. In einfachen Text-Emails können Links nicht getarnt werden – also werden sie auch nicht von Email-Programmen mit Antiphishingmechanismen erkannt.

Es gibt zwei verschiedene Quellen derselben Phishingkampagne: Die erste Quelle nutzt IP-Adressen anstelle von Domainnamen in den Links. Das deutet auf Scam hin. Die zweite Quelle nutzt, wie in Abbildung 2 ersichtlich, einen Domainnamen, der für das ungeübte Auge weniger gefährlich erscheint. Das sicherste Anzeichen für Phishing in dieser Nachricht ist die Verschleierung des Original-URLs im Link.

Abbildung 2. Sears phishing email mit Hostname

Ein anderer interessanter Phishingangriff richtet sich direkt an eBay-Kunden. Der Betreff lautet „Billing Update“ (Abbildung 3). Reine Text-Emails enthalten keinen getarnten Link. Daher verlässt sich diese Kampagne nicht darauf, dass lange Links unbeachtet oder ungeprüft bleiben. Darum wird keine Verschleierungstaktik eingesetzt. Der Link ist reiner Text, allerdings unter Verwendung eines freien Umleitungsdienstes. Bemerkenswert ist auch, dass der Empfänger wenig förmlich darauf hingewiesen wird, dass sein Konto gesperrt würde, wenn er nicht reagiert.

Natürlich dürfte kaum jemand glauben, dass ein Anwender in diese Falle tappt oder dass eBay überhaupt solche Nachrichten verschickt. Das scheint den Angreifern aber egal zu sein. Sie haben sogar einige Zufallszeichen eingestreut, um Spamfilter, die nur mit Signaturen arbeiten, zu täuschen.

Abbildung 3. eBay Phishing mail in text format

Andere News aus dieser Kategorie	Archiv

Spam führt zu Malware statt zu Maileinstellungen	Thu, 15 October 2009
Avira warnt vor schädlichen PDF-Dateien	Mon, 12 October 2009
Avira warnt vor falscher Antivirensoftware durch gehackte Webserver	Thu, 01 October 2009
Dogrobot – Avira schützt	Thu, 24 September 2009
Vermeintlicher Avira Keygenerator enthält Schadsoftware	Tue, 22 September 2009