Sicherheitslücke in mehreren Online-Shops:
Personal Phishing Welle gegen DHL-Kunden
Eine Personal Phishing Welle versucht derzeit gezielt die Daten von Kunden der DHL-Packstationen abzugreifen. Die Hintermänner hatten zuvor die korrekten Namen und Email-Anschriften der potentiellen Opfer über eine Sicherheitslücke in einem bekannten Onlineshop-System geklaut, das mehrere große Onlinehändler einsetzen.
(Fortsetzung des Artikels von Seite 2)
Keine Beiträge im Forum. » Diskussion starten!
Im Gegensatz zu früheren Anläufen sieht die Phishing-Mail dieses Mal relativ glaubwürdig aus. (Bild: G Data)
Kunden der Packstationen der Post-Tochter DHL sollten sich derzeit gut vorsehen, was in ihrem elektronischen Postfach landet. Der Antiviren-Experte G Data [1] warnt aktuell vor gezielten Phishing-Angriffen gegen Nutzer der Packstationen. In einer scheinbar von DHL stammenden Mail werden diese dazu aufgefordert, sich über einen Link neu mit ihren Zugangsdaten beim Servicecenter zu registrieren.
Auch wenn es für den Besucher oberflächlich so aussieht, führt der bereitgestellte Link jedoch keineswegs zu einer Service-Seite der DHL. Stattdessen leitet er die Opfer auf eine mit Trojanern verseuchte Webseite im DHL-Design um, die umgehend den Rechner des Besuchers infiziert. Zudem wird er dort aufgefordert, seine Logindaten für DHL zu bestätigen. Kommt er dem nach, gibt er den Angreifern damit neben seinem Rechner gleich noch seinen entsprechenden DHL-Account mit in die Hände.
Besonders erstaunlich ist, wie professionell die Angreifer bei dieser aktuellen Phishing-Aktion vorgehen: Im Gegensatz zu früheren Spam- und Phishing-Wellen, bei denen teils auch schon die DHL als vermeintlicher Absender missbraucht worden war, sind die Emails sehr »gut« gemacht. So sind die Anschreiben dieses Mal in sauberem Deutsch formuliert und erwecken einen täuschend echten Eindruck.
Das wichtigste Kriterium jedoch: Name und Email-Adresse stimmen und passen zusammen. »Die Qualität der erbeuteten Datensätze muss sehr hoch sein. So gelingt es den Tätern, jeden Empfänger mit dem passenden Namen anzusprechen. Die persönliche Anrede macht die betrügerischen Nachrichten sehr authentisch und unachtsame Nutzer können so schnell zu Opfern werden«, erläutert G Data Security-Experte Ralf Benzmüller.
Daten über Lücke in Shopsystem geklaut
Bereits seit Monaten ist die Lücke Gesprächsthema in diversen Untergrundforen.
Diese erstaunlich hohe Qualität ihrer Datensätze verdanken die cyberkriminellen Hintermänner einer ebenfalls außergewöhnlich gründlichen Vorarbeit. Über eine Sicherheitslücke in einem bekannten Shopsystem des Anbieters JTL [2] war es ihnen gelungen sich die Namen und Email-Adressen von tausenden aktiver Kunden aus verschiedenen Onlineshops zu besorgen.
Die entsprechende Lücke war bereits Ende vergangenen Jahres bekannt geworden und seit Dezember wurden in diversen Online-Untergrundforen auch Anleitungen veröffentlicht, wie sie ausgenutzt werden kann, um Daten aus dem Shop-System auszulesen. Nach Angaben des Herstellers der Shop-Software wurde die Lücke inzwischen zwar geschlossen.
Über eine SQL-Injection konnten die Angreifer die Datenbanken auslesen und dabei neben Namen und Email-Adressen vereinzelt sogar Kreditkarteninformationen ergattern. Diese wurden anschließen offenbar an weitere Cyberkriminelle verkauft, die sie nun für ihre personalisierte Phishing-Welle nutzen. Laut Aussage der Angreifer wurden auf diesem Weg aber bereits über 100 Web-Shops erfolgreich attackiert und eine entsprechend große Zahl von Datensätzen erobert.
»Die Verknüpfung aus gestohlenen persönlichen Daten und der realen E-Mail Adresse, ist eine ganz neue Stufe im Bezug auf Phishing-Mails. Wir bezeichnen diese Form der E-Mails als „Personal Phishing“ - eine Phishing-Mail mit vollständiger persönlicher Anrede, die nicht aus der E-Mail-Adresse abgeleitet oder geraten werden kann.«, so Benzmüller. »Im vorliegenden Fall nutzen die Täter Datensätze, die sie durch eine Sicherheitslücke eines verbreiteten Web-Shop-Systems erbeuten konnten. Es könnten somit mehrere hunderttausend Online-Käufer betroffen sein und diese personalisierten Phishing-Mails erhalten«.
Hinweise auf Fälschungen
G Data experte Ralf Benzmüller warnt vor einer neuen professionellen Qualität des Phishings.
Nur wer ganz genau hinsieht, hat eine Chance, die Mails als Fälschungen zu enttarnen, bevor es zu spät ist: Wer sich beispielsweise von der Echtheit der Email überzeugen will und dazu die angegebene Service-Adresse in Berlin überprüft oder dort anruft, merkt schnell, dass der Briefkopf des Anschreibens zwar seriös klingt – das angebliche Servicecenter dort jedoch nicht wirklich existiert.
Ebenfalls nur schwer zu entdecken ist eine Auffälligkeit im angegebenen Link. Wer diesen genau anschaut, wird feststellen, dass die verlinkte Adresse auf ».to« endet und damit auf eine Webseite in Tonga verweißt.
»Wir können nur immer wieder davor warnen, Links in E-Mails unbedacht anzuklicken. Prüfen Sie die Adressen sorgfältig und seien Sie misstrauisch! Nicht immer ist der angezeigte Absender auch der Echte – So, wie auch in diesem Fall. Sie signalisieren den Betrügern außerdem eine aktive E-Mail-Adresse, wenn sie auf den personalisierten Link klicken. Die Folge: Sie bekommen noch mehr Spam. Sichern Sie Ihren Computer außerdem mit aktuellen Sicherheitsprodukten«, warnt Ralf Benzmüller.
Bleibt nur die Frage: Was wollen die digitalen Gangster mit den Zugangsdaten zu Packstationen? Diese Informationen sind für sie sogar fast genauso wertvoll, wie die persönlichen Daten der Shop-Nutzer. Über die geklauten Packstations-Accounts können sie nämlich ohne großes Risiko Warensendungen abwickeln, die mit gestohlenen Kreditkartennummern bestellt und bezahlt wurden. Daher sind die Zugangsdaten für Packstationen ein wichtiges Glied in der Hehlerei- und Geldwäschekette der Onlinekriminellen.
[1] http://www.gdata.de/
[2] http://shop.jtl-software.de/
- 1. Seite: Personal Phishing Welle gegen DHL-Kunden
- 2. Seite: Daten über Lücke in Shopsystem geklaut
- 3. Seite: Hinweise auf Fälschungen
» Newsletter abonnieren
Täglich aktuelle News und Hintergründe für Fachhändler, ITK-Hersteller, Distributoren und aus der Online-Welt.
» Tipp der Redaktion
Acer rockt die Eifel
Rund um den Nürburgring dröhnten einmal nicht die Rennmotoren: Beim Acer Kick-off 2012 brachten stattdessen Bässe und Gitarrensoli die Eifel zum Wackeln. Über 600 Acer-Partner rockten zum Ausklang des Partner-Events im Eifel Stadl zu Live Musik oder ließen sich im Rockstar-Outfit fotografieren.
Die besten Multifunktions-Farblaser ab 300 Euro
Im Gegensatz zu den ultrabilligen Tintenstrahl-Einsteigerdruckern, die oft schon unter 100 Euro zu haben sind, sollte die Investition in einen Multifunktions-Laserdrucker schon etwas besser überlegt sein. Wir sagen Ihnen, welcher Laser sich besonders für welchen Zweck lohnt.
Cisco zurück auf Wachstumskurs
Cisco ist zurück auf der Überholspur. Nach einem radikalen Stellenabbau und einer stärkeren Fokussierung hat der Netzwerkriese im zurückliegenden Quartal sowohl Umsatz als auch Gewinn deutlich ausgebaut.
» Bilderstrecken
» Meistgelesene News
Google bessert bei Betriebssystem nach
Google hat in den USA mit dem Verteilen eines neuen Updates von Android 4.0 begonnen. Ob die neue Version 4.0.4 auch in Deutschland erscheint, ist unklar.
Infor bringt Software für mobile Lösungen auf den Markt
Der amerikanische Softwarehersteller Infor verschafft mit einer Cloud-Plattform nun auch unterwegs Zugang zu seinen betriebswirtschaftlichen Back-End-Lösungen. Außerdem gibt es dazu passende mobile Applikationen.
» Bundesliga-Tippspiel 2011
