18.12.2008 09:46
Keylogger unter die Lupe genommen [Update]
Ein Team um den Honeynet-Spezialisten Thorsten Holz von der Universität Mannheim hat eine Fallstudie zu Bank-Trojanern, Keyloggern und deren Datensammelstellen (Dropzones) veröffentlicht. Die Forscher haben mehrere der Schädlinge und deren Aktivitäten über einen längeren Zeitraum beobachtet und dabei mehr als 33 GByte an Logdaten von mehr als 70 unterschiedlichen datenstehlenden Schädlingen in den Dropzones gefunden.
Die Logdaten enthielten persönliche Informationen von mehr als 170.000 Opfern wie Passwörter, PINs, Benutzernamen und ähnliche Daten. Darunter fanden sich auch mehr als 10.000 Bankkontodaten inklusive PINs, mehr als 140.000 E-Mail-Passwörter und fast 80.000 Zugangsdaten zu Social-Networking-Seiten wie Facebook und Hi5.
[Update][Bei den meisten deutschen Bankkunden dürften sich die gängigen Keylogger jedoch die Zähne ausbeißen, da für Transaktionen neben der PIN eine TAN erforderlich ist. Die lässt sich zwar grundsätzlich ebenfalls mitloggen, neuere TAN-Verfahren verhindern aber, dass Kriminelle eine gestohlene TAN für betrügerische Aktionen verwenden können. Weiteres dazu ist auch im Artikel "Zahl oder Karte - Sicherer Zugriff aufs Online-Konto" auf heise Online zu finden. [/Update]
Den Keylogger Limbo hat das Team einer näheren Analyse unterzogen. Insgesamt beobachteten sie rund 164.000 Infektionen mit dem Schädling, wobei der Keylogger den größten Teil der gesammelten Daten in zwei chinesischen Dropzones hinterlegte. 16 Prozent der Infektionen waren Russland zuzuordnen, 14 Prozent den USA, 13 Prozent Spanien, 12 Prozent Großbritannien und immerhin rund 7 Prozent Deutschland.
In seiner 22-seitigen Studie gehen die Forscher auch auf die Werte der gestohlenen Daten ein. Je nach Liquidität ist ein Bankkonto für 10 bis 1000 US-Dollar zu haben. Kreditkarten scheinen langsam zu Ramschware zu verkommen: Bereits für 40 US-Cent kann man die Daten einer Karte kaufen. E-Mail-Passwörter nehmen an Wert zu und kosten zwischen 4 und 30 US-Dollar. Der komplette Bericht "Learning More About the Underground Economy: A Case-Study of Keyloggers and Dropzones" steht zum Download bereit.
Im Anschluss an die Studie hat das Team alle Logdaten an das australische CERT (AusCert) übergeben, die über ein System verfügen, die Informationen an Banken und andere Institutionen weiterzuleiten. Diese können dann die Opfer informieren und weitere Maßnahmen einleiten. (Daniel Bachfeld)
/
(dab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
