Angreifern gelang es, durch eine Sicherheitslücke des Online-Shop-Systems die realen Namen und die dazugehörigen E-Mail-Adressen der Einkäufer aus den Datenbanken der Shops zu stehlen, so G Data.

Angriffe auf über 100 Online-Shops

In Untergrundforen wurde die Lücke und eine entsprechende Anleitung zum Auslesen der Daten bereits Ende Dezember 2009 veröffentlicht. Laut Aussage der Angreifer wurden bereits über 100 Web-Shops erfolgreich attackiert. Nach Einschätzung von G Data ist daher von einer entsprechend großen Zahl erbeuteter Datensätze auszugehen.

Ralf Benzmüller, Leiter der G Data SecurityLabs, erklärete: „Die Verknüpfung aus gestohlenen persönlichen Daten und der realen E-Mail Adresse ist eine ganz neue Stufe im Bezug auf Phishing-Mails. Wir bezeichnen diese Form der E-Mails als „Personal Phishing" - eine Phishing-Mail mit vollständiger persönlicher Anrede, die nicht aus der E-Mail-Adresse abgeleitet oder geraten werden kann."

Bisher waren nur unpersönliche Anreden möglich

Phishing-Mails im DHL-Design sind nichts Neues. Bislang waren diese dadurch gekennzeichnet, dass die Empfänger nicht persönlich angesprochen wurden.

Typisch für Spam- und Phishing-Mails waren Anreden wie „Sehr geehrter DHL-Kunde" oder „Sehr geehrte Damen und Herren". Einige Ansätze versuchten, den Namen und Vornamen aus der E-Mail-Adresse abzuleiten. Bei Empfängern mit kryptischen Mail-Adressen oder Sammel-Adressen, wie beispielsweise info@firma.de, war dies bisher nicht möglich, und die Spam war als solche schnell beim vermeintlichen DHL-Kunden enttarnt.

Nach Einschätzung von G Data ist es den Tätern jetzt gelungen, mit den erbeuteten Daten den Bezug zwischen E-Mail-Adresse und Namen herzustellen und personalisierte Angriffe zu starten.

Professionelle, personalisierte Phishing-Mails

Die Angreifer haben sich bei der aktuellen Angriffswelle viel Mühe gegeben: Alle eingefangenen E-Mails sind im einwandfreien Deutsch verfasst und in der Aufmachung äußerst professionell. Der Blick hinter die Fassade offenbart, dass die angegebene Berliner Kontaktadresse ebenso wenig existiert, wie die kostenfreie Servicenummer.

Aufmerksame Empfänger können die Fälschung an der Endung ".to" im integrierten Link erkennen, der auf eine Domain in Tonga verweist. Die angegebene Webseite wurde inzwischen vom Betreiber gesperrt. Nach Einschätzung von G Data wird das die Täter jedoch nicht davon abhalten, mit der Seite umzuziehen und weitere Phishing-Mails zu verbreiten.

So kamen die Datendiebe an ihre Beute

Im konkreten Fall sind Kundendaten aus den Web-Shops eines bestimmten Softwareherstellers betroffen. Eindringlinge haben sich durch die Hintertür eingeschlichen, um an die Daten zu gelangen, so G Data. Sie benutzten eine SQL-Injection-Schwachstelle in der internen Datenbank.

Packstationen-Accounts dienen der Geldwäsche

Die ausgelesenen Daten, vereinzelt sogar Kreditkartendaten, wurden dann in Untergrundforen verkauft und von anderen Betrügern unter anderem für den Versand der Phishing-Mails benutzt.

Gibt ein ahnungsloser Nutzer seine Zugangsdaten für die Packstation auf der gefälschten Seite ein, haben die Betrüger vollen Zugriff auf alle ankommenden Sendungen. Accounts bei der Packstation werden im Untergrund zum Versand von Waren genutzt, die mit gestohlenen Bankdaten oder Kreditkarten bezahlt wurden. Sie dienen letztlich der Geldwäsche und sind daher begehrt.

Hersteller des gehackten Shop-Systems hat reagiert

Die Verantwortlichen der Softwarefirma, die die Shop-Plattformen entwickelt haben, haben den Fehler bereits registriert und laut eigenem Forumseintrag mit einem Update behoben. Die Dokumentation zum aktuellen Update ist jedoch auf der Homepage des Herstellers nicht sofort zu finden, sondern nur mit Hilfe von Umwegen über das Forum. Auf der Startseite wird noch auf die alte Version verwiesen.

„Bislang wurden von den gestohlenen Daten vorwiegend Kreditkarteninformationen und Zugangsdaten verwertet. Nun wird auch die Verknüpfung von Namen mit E-Mail-Adressen genutzt, um gezielt an Zugangsdaten zu gelangen. Die korrekte persönliche Anrede ist kein sicherer Hinweis mehr für die Echtheit der E-Mail. Denkbar ist auch, dass in Kürze Bank-Phishing-Mails mit korrekten Kontodaten verschickt werden", berichtet G Data Security-Experte Ralf Benzmüller.

Auch das BSI warnt vor zunehmender Phishing-Welle

Das Bundesamt für Sicherheit in der Informationstechik (BSI) warnt ebenfalls vor immer professionelleren Phishing-Attacken, v.a. im Unternehmensumfeld.

Hier werde die Gefahr zunehmend größer, jedoch oft verkannt, so das BSI. „Das Gießkannen-Prinzip wird zwar noch praktiziert, im Trend liegen aber individualisierte Angriffe auf kleinere Zielgruppen", sagt Matthias Gärtner, Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Was können Internetnutzer tun, um sich gegen Phishing-Angriffe zu schützen?

Das BSI gibt die folgenden Tipps:

• Geldinstitute und seriöse Wirtschaftsunternehmen wissen, dass E-Mails von Betrügern leicht gefälscht werden können. Daher werden sie ihre Kunden niemals per E-Mail dazu auffordern, darin angeführte Links anzuklicken und dort vertrauliche Daten einzugeben.
• Wenn Sie sich unsicher sind, ob es sich um eine Phishing-Mail handelt, sollten Sie sich telefonisch oder brieflich mit ihrem Geschäftspartner in Verbindung setzen.
• Klicken Sie generell niemals auf in E-Mails enthaltene Links, sondern tippen Sie die Internetadressen gewünschter Seiten manuell ein oder nutzen im Browser gespeicherte Lesezeichen und überprüfen Sie nach dem Laden der Seite die URL erneut. Auch durch Tippfehler können Nutzer auf eine von Betrügern registrierte Webseite gelangen.
• Nutzen Sie starke Passwörter, wechseln Sie diese in regelmäßigen Abständen und verwenden Sie für unterschiedliche Online-Anwendungen unterschiedliche Kennwörter.
• Aktive Inhalte wie zum Beispiel Javascript werden oft zu Angriffszwecken missbraucht. Schalten Sie die Funktion "Aktive Inhalte ausführen" am besten generell aus und nur bei vertrauenswürdigen Webseiten bewusst wieder an.
• Öffnen Sie E-Mails und darin enthaltene Anhänge nur dann, wenn sie aus vertrauenswürdiger Quelle stammen.
• Setzen Sie eine Firewall und Virenschutzsoftware ein und bringen Sie diese regelmäßig auf den aktuellen Stand.
• Achten Sie darauf, dass Sie auch die Softwareaktualisierungen für Ihr Betriebssystem und andere von Ihnen eingesetzte Programme laufend installieren oder nutzen Sie automatische Update-Dienste.

Quelle: G Data, Bundesamt für Sicherheit in der Informationstechnik