Malware-Markt

Panda entdeckt kostenlose Phishing-Kits

14.05.2008
Von 
Diego Wyllie hat Wirtschaftsinformatik an der TU München studiert und verbringt als Softwareentwickler und Fachautor viel Zeit mit Schreiben – entweder Programmcode für Web- und Mobile-Anwendungen oder Fachartikel rund um Softwarethemen.
Kostenpflichtige Bausätze zum Erstellen von Malware-Mustern oder gefakten Webseiten kursieren im Internet schon seit einiger Zeit. Doch nun hat Panda Security mehrere Kits für Phishing-Angriffe entdeckt, die sogar kostenfrei erhältlich sind.

Mit diesen Tools können nach Angaben der Sicherheitsexperten von Panda Security Kunden von Banken ausspioniert, E-Mail-Accounts von GMail oder Yahoo geknackt, sowie Passwörter für Online-Spiele (Xbox) und Zugangsdaten für Blogs in die Hände von Kriminellen gelangen. Luis Corrons, Technischer Direktor der PandaLabs, zeigt sich angesichts dieser Entwicklung besorgt: "Wirklich erstaunt hat uns, dass diese Phishing-Kits kostenfrei verfügbar sind. Da solche Tools einfach zu bedienen sind, werden sie auch immer öfter eingesetzt, was dazu beiträgt, dass Phishing-Attacken weiter zunehmen und das Risiko sowohl für einzelne Computer-Nutzer als auch für Unternehmen steigt".

Auf der entsprechenden Internet-Seite entscheidet sich der Nutzer für den Phishing-Bausatz seiner Wahl und kann anschließend zwei Dateien herunterladen. Mit der ersten lassen sich schädliche E-Mails erstellen, die den Anschein erwecken, von Online-Banken- oder E-Commerce-Plattformen zu stammen. Die zweite Datei dient der Erstellung betrügerischer Webseiten, die den Internet-Auftritten renommierter E-Commerce-Unternehmen gleichen. Neben den beiden Dateien, aus denen das Phishing-Konstruktions-Set besteht, wird noch ein PHP-Programm zum Versenden der E-Mails kostenlos angeboten. Der weitere Vorgang gehört zur typischen Phishing-Routine: Die gefälschte Nachricht inklusive Link zur manipulierten Webseite wird an verschiedene E-Mail-Adressen versendet. Auf der gefälschten Seite werden User dazu aufgefordert, die für den Kriminellen interessanten Daten einzugeben. Die gestohlenen Informationen werden als Textdateien auf einem Server gesammelt oder als E-Mail übermittelt. Die benötigten Adressen-Listen seien im Internet zu finden, einige sogar gratis. Es werde also immer einfacher und günstiger - in diesem Fall sogar komplett kostenfrei - einen Phishing-Angriff zu starten.