Klick aus Neugier: Wie das Interesse an Bitcoin für Phishing-Attacken genutzt wird

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
bitcoin

Kommentar von Jürgen Venhorst, Director Mid Enterprise & Channel EMEA bei Proofpoint: Die Welt der Kryptowährung Bitcoin steht im krassen Gegensatz zu den streng regulierten und von Regierungsbehörden gestützen Währungssystemen mit ihren Online-Banking- und -Bezahldiensten. Bei dem länderübergreifende Zahlungssystem in Form von virtuellem Geld erfolgt die Übertragung der Beträge direkt von Teilnehmer zu Teilnehmer (Peer-to-Peer). Dadurch werden die beim herkömmlichen Bankverkehr üblichen Zwischenschritte und auch Finanzbehörden umgangen. Für Hacker stellt das unregulierte, für seine Anonymität bekannte Bitcoin ein attraktives Ziel mit einem Vermögenswert von 6,8 Milliarden US-Dollar dar.

Blockchain.info, die bekannteste Bitcoin-“Geldbörse” im Netz, hat berichtet, dass die Anzahl der Nutzer von “My Wallet” seit September 2013 um mehr als 500 Prozent – auf über 2 Millionen Anwender – gestiegen ist und dass die täglichen Transaktionen auf My Wallet sich mit nunmehr über 30.000 Transaktionen pro Tag verdreifacht haben.

Angesichts dieser Zahlen wirken die Phishing-Attackenauf das Bitcoin-System wie eine “Angeltour”. Die Cyberkriminellen konzentrieren ihre Angriffe auf Listen bekannter Bitcoin-Nutzer oder täuschen ihre Opfer mit falschen Vorstellungen über Bitcoin um ihre Erfolgsquote zu steigern.

Kurz gesagt: Auch wenn viele Leute von Bitcoins gehört haben, sind nur wenige im Besitz der virtuellen Münzen. Aus diesem Grund waren wir überrascht, eine auf Bitcoin-Anmeldedaten gerichtete Phishing-Kampagne zu entdecken,  die eine Klickrate von 2,7 Prozent aufwies – ein weit höherer Prozentsatz als der Anteil der Bitcoin-Nutzer an der gesamten Bevölkerung.

Die Kampagne bestand aus 12.000 Nachrichten, die in zwei getrennten Wellen an über 400 Organisationen verschiedenster Branchen wie Hochschulen, Finanzinstitute, Hightech-, Medien- und Produktionsunternehmen gesendet wurden.  Das breite Spektrum der Kampagne ist überraschend – zumal bei anderen Bitcoin-Phishing-Attacken meistens bekannte Bitcoin-Benutzer anvisiert worden waren.

Die Phishing-E-Mail basiert auf einer simplen Vorlage mit einer angeblichen Warnung bezüglich des Accounts, wobei die Bitcoin-Website Blockchain.info anstelle des Namens der üblichen Bank oder des Online-Bezahldienstes verwendet wird.  Der Textinhalt der Nachricht warnt den Empfänger, dass es angeblich einen fehlgeschlagenen Anmeldeversuch von China aus gegeben hat. Hierbei wird die weit verbreitete Angst vor chinesichern Hackern ausgenutzt, um den Eindruck der Dringlichkeit zu erwecken. Ebenso verleiht eine scheinbar eindeutige “Ticketnummer” der Phishing-E-Mail einen seriöseren Charakter.

 Zwei Tage lang konnte an dieser Kampagne der für moderne Phishing-Kampagnen typische Anpassungsprozess beobachtet werden. Während die Nachricht samt Inhalt unverändert blieb, variierten die Hacker ihre Taktik beim Gebrauch der URLs:

Am ersten Tag wurde für die Kampagne ein einzelner Hostname (blockchain [dot] info [dot] case975675675 [dot] xyz) innerhalb der URLs verwendet, der mit einem zur jeweiligen E-Mail passenden Parameter individuell randomisiert wurde.

Am zweiten Tag wurden die randomisierten URLs in den E-Mails durch mehrere Domains vom Typ “.com” (z. B. http://blockchain [Punkt] info [Punkt] caseid832482834 [Punkt] com) ersetzt, die zuvor generiert und registriert worden waren.

Diese Abwandlung der Domains geht wahrscheinlich auf die Tatsache zurück, dass der ursprüngliche Hostname “.xyz” schon kurz nach Beginn der Attacke in SPAM-Blockierlisten verzeichnet war. Durch die stetige Neuerstellung der Domains umgehen die Hacker auf immer wirksamere Weise die reputationsbasierte Blockierung.

Die Tatsache, dass 2,7 Prozent der Empfänger auf den Link klickten, deutet darauf hin, dass wahrscheinlich eine Kombination aus Bitcoin- und Nicht-Bitcoin-Nutzern in dieser Phishing-E-Mail geklickt haben. Durch das Klicken auf die Schaltfläche “Passwort zurücksetzen” in der Nachricht wird der Empfänger der Nachricht auf eine realistische, aber gefälschte Blockchain-Anmeldeseite geleitet:

 Alle Informationen, die der Benutzer auf dieser Seite eingibt, werden erfasst und sofort an die Phishing-Hacker gesendet, während dem Benutzer eine generische Login-Fehlermeldung angezeigt wird. Sobald die Angreifer über diese Daten verfügen, können sie sich beim echten Blockchain.info-Konto des Benutzers anmelden und Bitcoins an jede beliebige Online-Geldbörse senden. Da Bitcoin-Transaktionen von Natur aus unumkehrbar und schwer nachvollziehbar sind, hat das Opfer so gut wie keine Chance sein Geld zurückzubekommen. Außerdem gelten die Maßnahmen zum Schutz der Verbraucher vor Verlusten durch Online-Banking-Betrug nicht für Bitcoin-Nutzer. Somit ist es unwahrscheinlich, dass ein Bitcoin-Räuber mit einer Verfolgung durch die Bank rechnen muss.

Diese einfache, aber effektive Phishing-Kampagne zeigt, dass professionelle Sicherheitsexperten es sich nicht leisten können, auch nur irgendeine Phishing-E-Mail außer Acht zu lassen – auch wenn es sich scheinbar um eine verbraucherorientierte, für den Endbenutzer irrelevante Kampagne handelt. Denn eine raffinierte Aufmachung der E-Mail bringt selbst Benutzer zum Klicken, die eigentlich gar keinen Anlass dazu hätten.  Eine aufwendigere “Multivarianten”-Version dieser Kampagne könnte weit größere Auswirkungen haben: Hacker könnten damit auf einen Klick des Benutzers hin Malware, Trojaner, Phishings für den Zugang zu Unternehmensdaten, Spam und andere Bedrohungen auf deren Rechner herunterladen.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

avatar
  Abonnieren  
Benachrichtige mich bei

Andere Leser haben sich auch für die folgenden Artikel interessiert

Security-Blogger und Journalist Brian Krebs berichtet, dass der Anbieter von Zahlungstransaktionen Verifone eine interne Datenschutzverletzung innerhalb des Netzwerks untersucht. Nach bisher noch unbestätigten Angaben verschiedener Quellen soll eine Reihe von Unternehmen in Mitleidenschaft gezogen worden sein, die Point-of-Sale-Lösungen von Verifone einsetzen.

Werbung

Nichts mehr verpassen!

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.