Thema: Phishing-Seite sammelte 57.000 Login-Daten von MySpace-Nutzern

[SiLæncer]

Rund 57.000 Login-Daten für die Social-Networking-Seite MySpace.com fanden sich in der öffentlich zugänglichen Phishing-Datei einer betrügerischen Seite. Offenbar war eine große Zahl von MySpace-Mitgliedern auf eine nachgemachte Seite hereingefallen, die MySpace.com ähnlich sah – der Link dorthin wurde über Phishing-Mails verbreitet. Viele der Opfer nutzten offenbar keine Anti-Phishing-Toolbars: Sowohl der Phishing-Schutz des Firefox 2, des Internet Explorer 7 und die Netcraft-Toolbar sollen die Seite als betrügerisch erkannt haben; mittlerweile ist die Phishing-Seite vom Netz.
Anzeige

Durch ein Posting auf der Sicherheitsmailing-Liste Full Disclosure auf die Datensätze aufmerksam gemacht, sahen sich einige Sicherheitsspezialisten zu einer Analyse der gespeicherten Passwörter veranlasst. Unter anderem erstellte Brian Krebs von der Washington Post eine Top 20 der häufigsten Wörter:

password1
abc123
swimmer1
iloveyou1
monkey1
****you
123456
myspace1
****you1
i
password
babygirl1
iloveyou2
football1
danny12031986
blink182
princess1
freesh**4me
16188s
123abc

(* von Krebs nicht ausgeschriebene Buchstaben)

Einige der gespeicherten Benutzernamen und Passwörter ließen allerdings darauf schließen, dass sich der Besucher der betrügerischen Seite sehr wohl bewußt war, wo er da gelandet ist:

Screwyouphishers:hahascrewyou
youmustbecompleteretards at idiot.com:doyouhonestlythinkiwillputmyrealpasswordhere

Krebs zufolge waren nur in 37.621 der 57.406 Datensätze einmalige Passwörter zu finden. Immerhin waren annähernd 13.000 der Kennwörter wenigstens acht Zeichen lang, fast die gleiche Anzahl wies sogar ein neunstelliges Wort auf. Und sogar in 47.854 der Datensätze enthielt das Passwort mindestens eine Zahl. Die Ergebnisse bestätigen laut Krebs eine von Bruce Schneier gemachte Analyse, nachdem Anfang Dezember ein MySpace-Wurm rund 34.000 Login-Daten von Nutzern ausspionierte

Bleibt zu klären, was die Phisher mit den MySpace-Accounts und den E-Mail-Adressen anfangen wollen. Krebs vermutet, dass sie zum Verteilen von Spam missbraucht werden. Zudem könnten die Betrüger aufgrund der Tatsache, dass ein Passwort für verschiedene Dienste benutzt wird, versuchen, an weitere Konten wie eBay, Amazon, PayPal oder Skype zu gelangen.

Siehe dazu auch:

    * Note to MySpace Users: Get Better Passwords, Blogeintrag von Brian Krebs
    * Grab a myspace credential, Posting auf Full Disclosure

Quelle und Links : http://www.heise.de/security/news/meldung/83752

[SiLæncer]

Am 15. Januar 2007 wurde auf der Sicherheitsmailingliste Full-Disclosure ein Link zu einer Textdatei mit über 56.000 Benutzernamen und Passwörtern veröffentlicht, die während eines Phishing-Angriffs auf Benutzer der Community-Seite MySpace.com gesammelt wurden. Während die Phisher begannen, mit den Daten Schindluder zu treiben, nutzten Sicherheitspezialisten die Liste für Analysen zur Qualität der Passwörter. Demnach steigt allgemein die Komplexität der Passwörter, in dem Anwender relativ lange Wörter verwenden und auch Zahlen einbauen – gegen Phishing-Angriffe hilft allerdings auch das beste Passwort nichts.

Eine Woche nach der Veröffentlichung der Liste, von denen nur rund 39.000 gültige Anmeldedaten enthielten, haben wir betroffene Anwender per E-Mail befragt, ob MySpace oder jemand anderes sie über den Vorfall informiert hat, welche Erfahrungen sie bei der Nutzung des Dienstes gemacht haben und wie sie zum Schutz ihrer Daten stehen. Immerhin über 900 haben geantwortet. Nur 39 wurden nach eigenen Angaben von MySpace über den Vorfall informiert, 293 wurden durch die Umfrage-Mail aufmerksam gemacht, 319 erfuhren auf anderem Weg davon. In den meisten Fällen wollen Anwender einen Missbrauch der Daten anhand von Spam-Mail-Rundschreiben an den gesamten Freundeskreis bemerkt haben. Auch veränderte Profile mit Werbung für teilweise nicht jungendfreie Inhalte fielen den Betroffenen und ihren Freunden auf.

573 wollen bemerkt haben, dass sich jemand anderes an ihr Konto angemeldet hat. Von 50 Konten wurde sogar das Passwort von Fremdem verändert. 818 haben nach dem Vorfall ihr Kennwort selbst geändert. Die Phisher waren offenbar hauptsächlich daran interessiert, Werbung zu versenden, die Benutzer durch verunstaltete Profile zu ärgern oder auch nur mal ein bisschen in den privaten Daten zu schnüffeln.

216 befürchten jedoch, dass die abgephishten Daten auf irgendeine Weise gegen sie benutzt werden könnten. Kompromittierendes Material wollen aber nur wenige in ihren Profilen gehabt haben, da sich viele wohl des Risikos bewusst waren. Teilweise herrscht aber auch ein humorvoller Umgang mit Identitätsdiebstahl, so antwortete einer, dass sein Kredit-Rating so schlecht ist, dass die Phisher seine Identität gerne haben können.

Ein zusätzliches Risiko für die Nutzer ist die weit verbreitete mehrfache Nutzung von Passwörtern, so haben mehrere berichtet, dass auch der E-MMail-Account, der als Benutzername bei MySpace verwendet wird, missbraucht wurde. In mindestens zwei Fällen wurden beide Passwörter geändert. Zwar gelten die meist jugendlichen MySpace-Benutzer als wenig produkttreu, die schnell die Anbieter von Community-Sites wechseln, die Umfrage konnte dies aber nicht bestätigten. Nur 7 der Befragten gaben an, dass sie ihr Profil gelöscht haben. Die gleiche Anzahl hat sich nach der Zerstörung des ersten Profils gleich ein neues angelegt.

Bei früheren Sicherheitsproblemen hat MySpace teilweise recht schnell reagiert. So wurde beim Samy-Wurm die gesamte Seite abgeschaltet und automatisiert der Schadcode aus den Profilen entfernt. Beim QuickTime-Wurm wurde ähnlich verfahren. Beim letzten Vorfall kam die erste Reaktion von MySpace aber erst nach 10 Tagen. Dabei bat MySpace den Mailinglisten-Betreiber, die Liste der Benutzerdaten aus dem Archiv zu entfernen. Allerdings gibt es weitere Archive der Mailingliste von anderen Betreibern, wo die Liste auch weiterhin abrufbar ist.

Quelle : www.heise.de