Die Zeiten ungezielter Massen-Mailings sind noch lange nicht vorbei. Immer mehr Spammer und Phisher gehen jedoch zu gezielteren Angriffen über. Sie sammeln im Internet Daten über die Personen, denen sie ihre Mails schicken wollen. Dabei werden sie unabsichtlich auch von vielen Websites unterstützt, die ihre Benutzer unzureichend schützen. Die Firma Blue Security aus Israel berichtet über zwei der angewandten Methoden.
Eran Reshef, Chef von Blue Security, unterscheidet zwei Angriffsformen, die er als "Registration Attacks" und "Password Reminder Attacks" bezeichnet. Beide nutzen aus, dass viele Websites die Mail-Adresse für die Benutzeranmeldung verwenden. Durch automatische Programme probieren Spammer im Anmeldeformular viele mögliche Adressen durch. So finden sie heraus, welche Adressen schon vergeben sind. Sie erhalten somit Listen gültiger Adressen von Menschen, die ein bestimmtes Interessengebiet haben. Sie können an diese Adressen gezielt Werbung für passende Produkte senden.
Auch für Phisher ist das interessant, denn sie können so zum Beispiel Daten über registrierte Kunden von Online-Shops sammeln. Sie gehen davon aus, dass diese Personen auch eine Kreditkarte haben dürften und können dann entsprechend gezieltere Phishing-Mails versenden.
Bei der "Registration Attack" meldet sich ein Programm mit vielen Benutzernamen bei Websites an, die Mail-Adressen als Benutzernamen verwenden. Die meisten Websites lassen durch ihre Reaktion leicht erkennen, ob ein Benutzername bereits vergeben ist oder nicht. Existiert ein Benutzerkonto, erscheint eine Aufforderung, man solle einen anderen Benutzernamen wählen. Diese Antwort wertet das Programm aus.
Eine "Password Reminder Attack" hingegen missbraucht eine Funktion vieler Websites, die es bestehenden Kunden ermöglicht, sich das vergessene Passwort an die eingegebene Adresse senden zu lassen. Auch hier setzen die Adressensammler auf automatische Programme. Viele Websites geben nach Anforderung einer Passworterinnerung eine Rückmeldung aus, die sinngemäß lautet: "Ihr Passwort wurde an [Mail-Adresse] geschickt", zeigen jedoch eine Fehlermeldung, wenn ein Benutzerkonto nicht existiert. So erfahren die Angreifer, welche Adressen gültig sind.
Vergleichsweise wenige Websites benutzen nicht so verräterische Antworten. So erhält man etwa bei Ebay in jedem Fall die gleiche Antwort, egal ob ein Ebay-Account existiert oder nicht. Andere verwenden so genannte "Gotchas", das sind meist automatisch generierte, möglichst kontrastarme Grafiken. Sie stellen eine Zeichenfolge dar, die ein Benutzer zur Bestätigung eintippen muss. Automatische Programme, aber auch Sehbehinderte scheitern oft an dieser Hürde.
Betreiber von Websites sollten also ihre Formulare und Scripte überarbeiten. Für normale Internet-Nutzer bleibt die Empfehlung für solche Website-Anmeldungen Wegwerfadressen zu benutzen, nicht die normale Mail-Adresse, schon gar nicht eine beruflich genutzte.
Quelle :
www.pcwelt.de
