Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Social Engineers

Наследники О. Бендера

Andere Ausgaben dieser Rubrik (3)
  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

Aufgepasst: Falle für Unaufmerksame

Gelesen: 380 Kommentare: 11 Rating: 13

Montag, 10. August 2020

Wir berichteten bereits, dass Cyberkriminelle ihre Ressourcen nach Namen benennen können, die Namen harmloser Ressourcen ähneln. Sagen Sie zum Beispiel, welcher Name richtig ist: drweb.com oder drwеb.com. Die beiden Namen sehen gleich aus, aber der zweite Link führt nicht zu unserer Website. Leider können noch viele ähnliche Namen geschaffen und problemlos registriert werden. Dies nutzen Betrüger aus. Sie ändern Adressen harmloser Websites unauffällig und senden potenziellen Opfern Links zu bösartigen Ressourcen.

Es gibt sogar einen Internetservice zur Suche nach ähnlichen Ressourcennamen.

Diese Technik nennt man Typosquatting:

Typosquatting (zu engl.: squat = besetztes Haus[1], dt. Lehnübertragung: Tippfehlerdomain) ist eine Form von Cybersquatting, die darauf beruht, dass eine Person einen Uniform Resource Identifier (URI, also die Adresse der Website) in einem Webbrowser versehentlich falsch eintippt und dann auf eine alternative Seite geführt wird, die dem Typosquatter gehört.

Quelle

Das Verfahren kann nicht nur für Domains verwendet werden. Millionen von Anwendungen werden kostenlos und in App-Stores angeboten: Ein Tippfehler passiert schnell.

ReversingLabs veröffentlichte die Ergebnisse einer Analyse der Verwendung dieses Verfahrens im Repository RubyGems. Bei der Analyse wurden über 700 Pakete entdeckt, deren Namen bekannten Paketen ähnelten und sich von diesen nur durch kleine Details unterschieden. In manchen Fällen wurde ein Buchstabe durch einen ähnlichen Buchstaben ersetzt oder ein Unterstrich wurde anstelle eines Bindestrichs gebraucht.

Der Inhalt der Pakete war alles andere als harmlos:

In mehr als 400 Paketen wurden verdächtige Komponenten erkannt.

Inwieweit sind Nutzer unaufmerksam?

Das Paket wurde 2100 Mal heruntergeladen. Das entsprechende originale Paket wurde 6496 Mal heruntergeladen, d.h. Nutzer vertippten sich in 25 % der Fälle.

Jeder Vierte prüft nicht, was er eintippt!

Interessant ist, dass der bösartige Code als Bild getarnt wurde (wir berichteten bereits über dieses Verfahren). Die Tarnung war minimal:

In die bösartigen Dateien wurde eine PNG-Datei integriert, die eine ausführbare Datei für Windows anstelle eines Bildes enthielt.

Bei der Installation des Pakets wurde die PNG-Datei in die EXE-Datei umbenannt und gestartet.

Quelle

Dies ist kein neues Phänomen. Hier ist ein Artikel aus dem Jahr 2016:

Um die Wirksamkeit des Typosquatting-Verfahrens zu prüfen, wurden 214 falsche Pakete in die Repositorys PyPI (Python), Npmjs.com (Node.js) und rubygems.org (Ruby) integriert. Die Namen wurden anhand von drei Hauptkriterien gewählt: Tippfehler (z.B. coffe-script statt coffee-script), unregistrierte Namensvarianten aus der Standardbibliothek (z.B. urllib2) und mithilfe von Algorithmen zur Auswertung der Namensähnlichkeit generierte Namen (z.B. req7est statt request).

Das Ergebnis übertraf alle Erwartungen: Auf dem Server wurden 45334 Anfragen von 17289 Hosts erfasst. D.h. wäre das Verfahren zur Organisation eines Angriffs verwendet worden, wäre die Kontrolle über mehr als 17 Tausend Computer übernommen worden. Dies ist mehr als genug, um ein Botnet zu schaffen. Darüber hinaus besaßen 43,6% der Nutzer (8552 Hosts) Administratorrechte, was es ermöglicht, das gesamte Betriebssystem vollständig zu verwalten.

Quelle

#Internet #App_Stores #Betrug #Tippfehler #Internetadresse

„Die komplette Wahrheit über Viren & Co.“ empfiehlt

  1. Seien Sie aufmerksam!
  2. Überprüfen Sie Ihre Eingaben auf Tippfehler.
  3. Nutzen Sie ein Virenschutzprogramm. Oft schätzen Softwareentwickler den Virenschutz gering und denken, dass sie eine Bedrohung selbst erkennen können. Die oben angeführten Statistiken beweisen das Gegenteil.

[Twitter]

Aufgrund von technischen Einschränkungen von VK und Facebook können wir keine Dr.Web Punkte vergeben.

Ihre Meinung ist uns wichtig

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.

Kommentare der Teilnehmer