[swissboy]

Sunbelt meldet FBI massiven Datendiebstahl

Zitat

Der Hersteller von Sicherheitssoftware Sunbelt macht mit einer außergewöhnlichen Entdeckung auf sich aufmerksam: Bei der Untersuchung einer Spyware mit dem Namen CoolWebSearch bemerkte ihr Experte Patrick Jordan nach Meldungen der Webseiten des Unternehmens, dass das Testgerät eine große Menge Spam produzierte und Verbindung mit einem dezentralen Server aufnahm. Jordan kontaktierte diesen Server und fand dort Unmengen an geklauten persönlichen Daten. 

Nach Beobachtungen von Sunbelt nehmen täglich Tausende von Maschinen Kontakt mit diesem Server auf. Das Unternehmen konnte offensichtlich vertrauliche Daten unterschiedlichsten Charakters auf ihm identifizieren, wie Informationen über eBay oder Bankkonten, Login-IDs und Passwörter oder Log-Daten von Instant Messaging-Sitzungen.

Umfang und Detailliertheit der Daten hat die Sunbelt-Mitarbeiter derart erschüttert, dass sie einige Betroffene direkt informierten. Darunter sei beispielsweise ein Familie in Alabama gewesen, in der der Ehemann gerade eine Herzoperation hinter sich hatte. Hier bestand die Gefahr, dass die Familie durch Missbrauch der gestohlenen Daten ihr bescheidenes Vermögen verliert. Sunbelt hat das FBI unterrichtet, das inzwischen ermittle.

Quelle heise online

Dieser Beitrag wurde von swissboy bearbeitet: 12. August 2005 - 12:28

[shogun03]

es war ja schon seit längerer zeit klar das die gefährlichkeit von spyware immer mehr zunimmt .

[swissboy]

Web-Server mit ausspionierten Daten entdeckt
Ausgespähte Passwörter und Buchungsdaten deutscher Internet-Nutzer liegen zurzeit ungeschützt im Web.

Zitat

Der weitere Verlauf der Recherchen im "Fall Opodo" (PC-Welt berichtete) führte zu einer zunächst nur interessanten, dann jedoch alarmierenden Entdeckung. Zunächst entstand die Vermutung, dass es eine Verbindung zu dem von Sunbelt gemeldeten Fall eines mit Hilfe der Spyware CWS verbreiteten Key-Loggers (PC-Welt berichtete) geben könnte. Dieser Anfangsverdacht bestätigte sich schnell. Die eingesetzten Schädlinge sind in beiden Fällen zumindest teilweise identisch.

Das Trojanische Pferd aus den Opodo- und Telekom-Mails installiert mehrere Schadprogramme, die es von verschiedenen Servern herunter lädt. Eines davon ist, vorsichtig ausgedrückt, Spyware. Dieses Programm spioniert unter anderem Daten aus den im Internet Explorer gespeicherten Formulardaten (Funktion "AutoVervollständigen") aus - Daten, die der Benutzer in den letzten Wochen und Monaten auf diversen Websites eingegeben hat. Das sind etwa der volle Name, Benutzernamen, Passwörter, Adressen, Telefonnummern, Geburtsdaten, Auktionsgebote oder Mail-Adressen.

Das Programm installiert im Internet Explorer ein BHO (Browser Helper Object), ähnlich wie diverse Toolbars, nur dass dieses nicht sichtbar ist. Dieses BHO fängt alle Daten ab, die über verschlüsselte Verbindungen (https://) gesendet werden - bevor sie verschlüsselt werden. Ferner erzeugt es nach Eingabe einer TAN ein Popup-Fenster, das zur Eingabe einer weiteren TAN auffordert. Die sendet es zusammen mit den anderen Daten an einen Server in den USA. Auf diesem Server befindet sich im Moment eine mehrere Megabyte grosse Datei mit Daten von mehreren hundert Internet-Nutzern, darunter auch viele Deutsche.

Unter den ausgespähten Informationen sind beispielsweise Online-Buchungen bei Fluglinien, Bestellungen bei Versandhäusern, Zugangsdaten zu Web-Mail-Providern und anderen Web-Diensten sowie auch alles, was zum Online-Banking gehört (Kontonummer, PIN, TAN) und so weiter, dazu die jeweils aktuelle IP-Adresse des PC.

Diese Daten liegen völlig ungeschützt in einer Datei auf dem Server eines US-Providers, der schon in den letzten Wochen und Monaten häufig als Heimstatt für Phishing-Server diente und noch dient. Es kommen auf diesem Server nach wie vor frische Daten hinzu. Die Datei wird in regelmäßigen Intervallen abgerufen, gelöscht und neu angelegt.

Eine weiteres installiertes Programm verwandelt den PC in einen fernsteuerbaren "Zombie", der für weitere kriminelle Zwecke missbraucht werden kann. Auf dem entdeckten Server findet sich auch eine Web-basierte Fernsteuerung für diese Zombies - schön sortiert und auswählbar nach dem Ländern, in denen die gekaperten Computer stehen, die gerade online sind. Dieser "Botnet Controller" erlaubt das Absetzen von Kommandos, das Senden und Ausführen von Programmen oder das Speichern von Screen-Shots. Es gibt schätzungsweise weit über 1000 solcher Daten- und Kontroll-Server weltweit, die derzeit aktiv sind.

Wenn Sie in den letzten Tagen Mails mit unverhofften (angeblichen) Rechnungen erhalten und diese nicht ungeöffnet gelöscht haben, sollte Sie Ihren PC unbedingt mit einem zuvor aktualisierten Virenscanner komplett überprüfen. Inzwischen erkennen fast alle üblichen Virenscanner das Trojanische Pferd aus dem Mail-Anhang und auch die meisten der nachgeladenen Schädlinge. Findet Ihr Virenscanner etwas, ändern Sie schnellstmöglich alle Passwörter - sowohl für den PC selbst als auch für Internet-Dienste wie Online-Banking, Ebay, Paypal, Mail, Web-Shops und so fort.

Grundsätzlich muss stets davon ausgegangen werden, dass vermeintlich sicher (weil verschlüsselt) ins Internet übertragene Daten durch ein eingeschleustes Programm auf dem eigenen PC unverschlüsselt abgefangen werden können. Wenn Sie den Internet Explorer für vertrauliche Zwecke einsetzen, sind aktuelle Sicherheits-Updates, Virenscanner und Desktop Firewall das Mindeste, was Sie installiert haben sollten. Speichern Sie keinerlei Daten, die Sie regelmäßig in Formulare eintippen müssen, im Browser.

Quelle PC-Welt

[swissboy]

Identitätsdiebstahl: Entdecker veröffentlichen gratis Schutzprogramm

Zitat

Diese Woche wurde ein extremer Fall von Identitätsdiebstahl bekannt. Ein Verbrecherring spionierte persönliche Daten von tausenden Anwendern aus. Er nutzte dazu ein Spyware-Programm, das auf den Rechnern der Opfer heimlich Tastatureingaben aufzeichnete und an einen Server weiterleitete. Aufgedeckt wurde die Gaunerei vom US-Sicherheitsunternehmen Sunbelt Software. Es stiess bei der Untersuchung einer Variante des Spyware-Programms CoolWebSearch auf die Datendiebe. Sunbelt Software hat dem neuen Schädling den Namen Srv.SSA-KeyLogger gegeben. Das Programm registriert Tastatureingaben, wenn sich Nutzer ins Interneteinwählen. Es soll zur Familie der Dumaru-Trojaner gehören. Sunbelt Software hat mittlerweile ein kostenloses Programm veröffentlicht, das die Festplatte nach Srv.SSA-KeyLogger scannt und den Schädling vernichtet. Laut Hersteller lohnt es sich nur unter Windows XP, 2000 und Server 2003, die Software zu installieren. Der Tastaturspion kann nämlich nur auf diesen Systemen Schaden anrichten.

Quelle PC-Tipp

Infos und Download SSA-KeyLogger Clean: research.sunbelt-software.com
Direkt-Download SSA-KeyLogger Clean (336KB): SSACleaner.exe

Dieser Beitrag wurde von swissboy bearbeitet: 12. August 2005 - 12:29