Blog für den Onlinehandel » IT-Sicherheit

Der bvh berichtet über Ausmaß von DDoS-Attacken

nicola — Thu, 22 Dec 2011 14:31:55 +0000

Je teurer sich ein zeitweiser Shop-Ausfall für einen Händler gestaltet, desto leichter wird er sich erpressen lassen – nach dieser Devise scheinen sich Schutzgelderpressungen per DDoS-Attacken im Weihnachtsgeschäft zu häufen. Gestern berichteten beispielsweise der Webhoster Mittwald von massiven Attacken, die zu Ausfällen führten und die Shops der Conrad-Kette gingen ebenfalls gestern unter aggressiven Angriffen in die Knie.

Der Bundesverband des Deutschen Versandhandel e.V. berichtet von einer Umfrage des englischen Versandhandels-Verbandes IMRG, nach der rund 20% der E-Commerce-Unternehmen unter solchen Angriffen litten.

Als beruhigend sieht der bvh allerdings an, dass bei solchen Attacken zwar der Shop von außen lahm gelegt werde. Sensible Kundendaten könnten so aber nicht gewonnen werden…

So gelassen würde ich die Sache allerdings nicht sehen. Zumal neben dem ggf. schmerzhaften Umsatzaufall vor allem auch das Vertrauen der Kunden in einen Shop massiv leiden kann, wenn dieser nicht oder nur teilweise erreichbar ist.

Wie man mit DDoS-Erpressungen am besten umgeht, haben kürzlich wir in unserem Gratis-Ratgeber “DDoS-Schutzgelderpressung – was tun?” zusammengefasst.

Herzlich aus Hürth
Nicola Straub

Akut starke und erfolgreiche Massenangriffe auf osCommerce-Shops

nicola — Thu, 28 Jul 2011 12:14:57 +0000

Besitzer von osCommerce-Shops sollten diese dringend aktuell überprüfen und besonders gut im Auge behalten: Über eine Lücke, für die es noch keinen Patch gibt – laufen seit zwei Tagen starke Angriffe auf osCommerce-Shops. Gestern Mittag waren nach Angaben von iBusiness bereits mindestens 294 deutsche Onlineshops infiziert und verbreiteten in der Folge Malware. Eventuell sind auch andere Shopsysteme wie Zen-Cart betroffen.

Klick vergrößert

Die Infizierung ist hier genau beschrieben: Infizierte Shopsysteme enthalten entweder einen eingebetteten iframe mit URL auf willysy.com oder direkt am TITLE-Tag eine Script -Einbettung mit URL von exero.eu (Abbildung von blog.armorize.com):

Bei erfolgreicher Infektion verbreiten die Seiten die Malware (’update.exe’) eines russischen Servers, wie dieses Video von Armorize.com zeigt:

Klick vergrößert

Bei nicht erfolgreicher Infektion per Script-Einbettung taucht dessen Code im Title der Shops auf (Abbildung von blog.armorize.com, dort sind noch weitere Beispiele zu sehen).

Aktuell findet Google 90.000 Seiten auf DE-Domains, die den iframe enthalten und 622, die den Script-Link enthalten! Wie ein befallener Shop gesäubert werden kann, ist leider nicht befriedigend beschrieben. Der Tipp in den Kommentaren, den Eintrag im STORE_NAME Schlüssel der Konfigurationstabelle zu korrigieren, scheint nicht bei allen befallenen Systemen zu helfen.

Herzlich aus Hürth
Nicola Straub

Immer mehr deutsche PCs in kriminellen Händen

nicola — Fri, 13 May 2011 11:36:01 +0000

In unserem kürzlich veröffentlichten Gratis-Ratgeber “Nachgefragt: DDoS-Schutzgelderpressung – was tun?” beschrieben wir, dass die Methoden von Cyberkriminellen immer ausgefeilter werden: Bislang waren DDoS-Angriffe meist von Rechnern aus typischen “Angreiferländern” ausgeführt worden, so dass oft schon ein einfaches Blockieren der entsprechenden Länder-IPs ausreichte, um Angriffen die Schärfe zu nehmen. Mittlerweile aber wird immer öfter mittels Botnetzen in Deutschland angegriffen – ein einfaches “Aussperren von Länder-IPs” verbietet sich dann als Gegenmaßnahme, denn so würde der Shop auch allen echten Kunden verschlossen.

Für Kriminelle sind verseuchte (und damit fernsteuerbare) Computer in Deutschland mithin besonders wertvoll und deutsche Botnetze zu mieten war bislang vergleichsweise teuer. Doch die Preise könnten fallen, denn immer mehr Rechner werden hierzulande verseucht und von Kriminellen übernommen, wie Microsoft laut Heise News festgestellt hat:

Während im vierten Quartal 2009 durchschnittlich 2,2 von 1000 untersuchten Rechnern in Deutschland mit Malware verseucht waren, wurde Microsoft im gleichen Zeitraum des vergangenen Jahres auf 5,3 von 1000 Rechnern fündig.

Damit hat sich die Zahl der für Angriffe oder zum Spamversand nutzbaren Computer in Deutschland mehr als verdoppelt. Der Grund für die schnelle Zunahme ist, dass Cyberkriminelle immer ausgefeilter vorgehen, schließlich bilden Botnetze die Basis ihres “Geschäftsmodells”. Aktuell wird vor allem Java als Einfallstor zur Übernahme von Computern genutzt.

Die Abwehr von DDoS-Attacken könnte also zunehmend schwierig werden, zumal die Täter auch die Art der Angriffe laufend “verbessern” – indem beispielsweise statt eines reinen TCP SYN Flooding, “saubere per TCP Handshake etablierte Verbindungen [...] die von einem Botnet zugehörigen Zombi Hosts initiiert wurden” eingesetzt werden. (Bericht von Host Europe über detektierte und abgewehrte Angriffe)

Herzlich aus Hürth
Nicola Straub

DDoS-Attacken auf Onlineshops: Gratisratgeber zum Umgang mit Schutzgelderpressungen

nicola — Tue, 12 Apr 2011 09:56:17 +0000

Gratis-Ratgeber zum Vorgehen bei Erpressungen mit DDoS-Attacken

Letzte Woche vermeldeten die Heise News eine “DDoS-Attacke auf Hoster Strato”. Die fiel so heftig aus, dass Strato knapp eineinhalb Stunden brauchte, bis es die hartnäckigen DDoS-Attacken niedergekämpft hatte.

Tatsächlich gehören DDoS-Attacken mittlerweile zum täglichen Brot von Webhostern, auch weil Websitebesitzer und vor allem Onlinehändler immer wieder mit der Androhung von DDoS-Angriffen konfrontiert werden. Dahinter stehen in der Regel Schutzgelderpressungen nach dem Motto “Zahlst Du nicht, machen wir Deinen Shop platt!”.

Das Phänomen der Schutzgelderpressung via DDoS-Androhung ist weder neu noch steht zu hoffen, dass es bald wieder verschwindet. Denn das dahinter stehende “Geschäftsmodell” ist einfach, profitabel und (noch) relativ risikoarm. Drei Gründe, warum diese Spielart der Onlinekriminalität bei Cyber-Ganoven beliebt ist – und Onlinehändler sich mit der Bedrohung auseinander setzen müssen.

Der Ablauf ist stets der selbe: Gern zum Wochenende, wenn alle Beteiligten besonders lange Reaktionszeiten haben, trudelt die Erpressermail ein und kündigt eine bevorstehende DDoS-Attacke an oder weist auf eine kurz zurückliegende Downtime des Shops hin. Gefordert wird ein mehrstelliger Betrag per Ukash, PaySafeCard o.ä.

Wer Glück hat, sitzt nur einem „Möchtegern“ auf und es folgen keine oder nur schwache Angriffe. Immer öfter aber begleiten echte und starke Attacken die Erpresser-Mails und legen die Shops zunächst nur wenige Minuten, später u.U. sogar für Stunden lahm – eine Katastrophe, weniger wegen des Umsatzausfalles, denn wegen des Vertrauensverlustes bei den Kunden. Denn verlieren die Kunden das Vertrauen in die Sicherheit eines Shops, kann sich dies existenzbedrohend auswirken!

Wie also sollten Händler reagieren, wenn sie in das Visier von Schutzgeld-Erpressern geraten sind? Für unseren neuen Gratis-Ratgeber “Nachgefragt: DDoS-Schutzgelderpressung – was tun?” haben wir die Netzwerkspezialisten dreier großer Hosting-Provider (darunter auch Strato) nach ihren Erfahrungen befragt.

Herausgekommen ist ein Ratgeber, der Shopbetreibern konkrete Tipps zum Umgang mit dieser Form der Cyber-Kriminalität gibt: So sollte der erste Schritt beim Eintreffen einer DDoS-Ankündigung immer die Information des Hosting-Providers sein. Denn auf technischer Ebene kann viel unternommen werden, um Angriffe zu erkennen, zu analysieren und abzuwehren.

Während professionelle Angreifer heute technisch deutlich ausgefeilter vorzugehen in der Lage sind, als es bei einfachen DoS-Attacken früher der Fall war, zeigt ein aktueller Erfahrungsbericht, dass das Gros der Angriffe noch immer relativ simpel gestrickt ist. Solche einfachen Attacken sind von technischer Seite aus relativ einfach beherrschbar, wenn Shophändler und Hostingprovider engagiert zusammenarbeiten.

Um dem Spuk langfristig zu begegnen hilft nur, den Verursachern ihr “Geschäftsmodell” zu vermiesen: Wenn wirklich keiner mehr auf ihre Zahlungsforderungen eingeht und zudem ihr persönliches Risiko durch konsequentes Anzeigen der Erpressungsversuche erhöht wird, könnte das gelingen.

Auch bei den Strafverfolgungsbehörden haben wir nachgefragt: Das LKA NRW vermeldet für 2010 nur eine überschaubare Zahl einschlägiger Anzeigen. Dabei sind die Polizeidienststellen mittlerweile deutlich besser auf IuK-Kriminalität vorbereitet – und es gibt vereinzelt auch Erfolge. So wurde erst kürzlich der DDoS-Erpresser “Störtebeker” vor Gericht gebracht und verurteilt – möge dies andere Erpresser abschrecken.

Zum Gratis-Ratgeber “Nachgefragt: DDoS-Schutzgelderpressung – was tun?“

Herzlich aus Hürth
Nicola Straub

DDoS als Erpressungshebel

nicola — Fri, 10 Dec 2010 14:38:36 +0000

Anlässlich des “Cyber Wars” zwischen Wikileaks-Anhängern und Paymentdiensten ist DDoS (Distributed Denial of Service) gestern durch die Nachrichtenwelt gelaufen. Dabei wurde – z.B. bei WDR2 – auch darauf hingewiesen, dass solche Angriffe eigentlich alltäglich geschehen, nämlich als Hebel mittels dessen Erpresser “Schutzgelder” von Unternehmen verlangen.

Nur werde darüber meist nicht gesprochen. Heute geht ein Onlinehändler an die Öffentlichkeit, der auf diese Weise erpresst wurde/wird:

“Hallo MediaVersand.de,

wie sie sicherlich bemerkt haben litt ihr Shop am 05.12. 16:00-18:00
unter starken DDoS Attacken.
Wenn es in ihrem Interesse liegt, dass sich diese Angriffe in der so
wichtigen Vorweihnachtszeit nicht häufen, sollten sie 200€ in Ukash oder
PaySafeCard erwerben und mir auf diese Mail antworten.

Sollte ich bis Morgen, 07.12 16 Uhr keine Antwort von ihnen erhalten haben,
werde ich ihren Server die kommenden Tage unter Beschuss setzen, solange
bis ich eine Antwort auf meine Email habe.

Mit freundlichen Grüßen
Andreas Mueller“

So lautete die Mail des Erpressers, verbreitet MediaVersand.de heute in einer Pressemitteilung. Vorangegangen sei eine DDos-Attacke, die den Server von MediaVersand.de am Sonntag zwei Stunden lang störte. MediaVersand.de werde sich nicht beugen und habe vorsorglich technisch Gegenmaßnahmen ergriffen: „Wir machen es den Hackern so schwer wie möglich!“, zeigt sich MediaVersand.de Geschäftsführer Stefan Lange unbeugsam.

Der Sachverhalt kann von hier aus natürlich schwerlich überprüft werden. Denkbar aber wäre es durchaus, dass der Onlinehandel – jetzt im Weihnachtsgeschäft besonders verwundbar – aktuell tatsächlich (verstärkt) in den Fokus solcher Erpresser gelangt ist.

Haben Sie solche Erpressungsversuche auch schon erlebt? Wie sind sie damit umgegangen? Ich wäre sehr an Erfahrungen interessiert – gern auch anonym hier per Kommentarfunktion und/oder per Mail.

Herzlich aus Hürth
Nicola Straub

Achtung: Twitter wurmschleudert derzeit

nicola — Tue, 21 Sep 2010 13:44:03 +0000

Derzeit wird weithin vor der Nutzung von twitter gewarnt, da hier ein Wurm sein Unwesen treibt und sich derzeit (trotz erster Gegenmaßnahmen twitters) weiter rasant verbreitet. Empfänglich sind offenbar ALLE Browser, die Javascript ausführen. Abhilfe kann daher das Abschalten von Javascript schaffen.

Mehr Infos gibt es u.a. bei heise Security, Golem.de und dem Standard.at.

Studie: Identitätsdiebstahl heute und morgen

nicola — Fri, 11 Jun 2010 11:06:04 +0000

Das Bundesministerium des Innern (BMI) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben eine sehr ausführliche Studie zum Identitätsdiebstahl und -missbrauch im Internet erstellen lassen. Diese beleuchtet nicht nur den Status quo aus technischer, rechtlicher und wirtschaftlicher Sicht – es werden auch Prognosen für die Zukunft erstellt. Z.B. diese:

Prognose: Alle Dienste, für die der Angreifer einen “Business Case” berechnen kann, bei dem nach Abzug aller Investitionen ein Gewinn erzielt wird, werden früher oder später Gegenstand eines Angriffs werden.

Neben der Darstellung, wie welche Angriffe erfolgen und welches Bedrohungspotential sie für welche Bereiche (E-Government, E-Business…) beinhalten, werden auch die Möglichkeiten des neuen elektronischen Passes untersucht. Interessant ist, dass die Regierung über diese Studie nun auch belegt bekommt, welchen Umfang die Bedrohung durch Identitätsdiebstahl hat. Heise.de schreibt hierzu:

“Wesentliche Erkenntnisse der Studie sind, dass neben den Daten für Online-Banking-Zugänge auch solche für E-Mail, Packstationen, Auktions- und Handelsplattformen sowie für Social-Network-Plattformen abgephisht würden, wobei die Angreifer in der Mehrzahl Trojaner benutzten. Diese gelangten über Schwachstellen in Software auf den PC und seien in der Lage, auch “fortgeschrittene aktualisierte technische Abwehrmaßnahmen” zu umgehen.”

Die Studie 415 Seiten starke Studie ist nur noch kurze Zeit kostenlos online verfügbar, danach erscheint sie als Buch.

Herzlich aus Hürth
Nicola Straub

Sicherheitsproblem bei eBay

nicola — Mon, 22 Feb 2010 11:22:33 +0000

Axel Gronen mailte uns soeben, dass bei ebay ein evtl. kritisches Sicherheitsproblem bestehe. So könnten derzeit “beliebige externe Inhalte” in die Angebotsseiten hineingeschrieben werden. Er selbst demonstriert dies anhand eines eigenen Angebotes.Hier hat er unter Ausnutzung des ungeschützten Mechanismus’ die Google-Startseite in die Artikelbeschreibung eingebunden. Das Problem liegt offenbar in einem Skript, das von ebaydesc.de geladen wird. Ebay sei bereits mehrfach verständigt worden, schreibt Gronen auf seiner Website, habe jedoch nicht reagiert.

Einen Rat, wie man seine Angebote schützen kann, gibt Gronen nicht – so bleibt derzeit wohl nur, die eigenen Angebote besonders engmaschig zu überwachen.

Herzlich aus Hürth
Nicola Straub

Datenklau durch ein Sicherheitsleck in einem Online-Shop-System

Peter — Fri, 05 Feb 2010 11:51:02 +0000

Die Experten der G Data SecurityLabs warnen vor einer neuen Form von Phishing: E-Mails mit korrekter persönlicher Anrede. Aktuell im Fokus der Onlinekriminellen sind Kunden der DHL-Packstationen. Die Personendaten stammen nach G Data-Erkenntnissen aus einem Datenleck in einem beliebten Online-Shop-System. Angreifern gelang es, durch eine Sicherheitslücke des Systems die realen Namen und die dazugehörigen E-Mail-Adressen der Einkäufer aus den Datenbanken der Shops zu stehlen. In Untergrundforen wurde die Lücke und eine entsprechende Anleitung zum Auslesen der Daten bereits Ende Dezember 2009 veröffentlicht. Laut Aussage der Angreifer wurden bereits über 100 Web-Shops erfolgreich attackiert. Nach Einschätzung von G Data ist daher von einer entsprechend großen Zahl erbeuteter Datensätze auszugehen.

Im vorliegenden Fall nutzen die Täter Datensätze, die sie durch eine Sicherheitslücke eines verbreiteten Web-Shop-Systems erbeuten konnten. Es könnten somit mehrere hunderttausend Online-Käufer betroffen sein und diese personalisierten Phishing-Mails erhalten“.

Der Shop Software-Anbieter veröffentlichte kurz nach Bekanntwerden der Lücke ein entsprechendes Sicherheitsupdate.

Weitere Infos in der Pressemitteilung von G Data

zuerst gelesen bei ibusiness.de

Phishing per Webchat, Spambots go Web 2.0

nicola — Fri, 18 Sep 2009 11:20:02 +0000

Die größte (und vielfach unterschätzte) Gefahr geht heutzutage von Botnetzen aus: Diese sind mittlerweile mächtiger denn je zuvor – und schlauer…

Vor allem ihre schlummernde Macht lehrt das Fürchten. So nennt Heise.de im Bericht über den 7. Deutschen Anti-Spam-Kongress Zahlen von Enno Cramer, Entwickler des E-Mail-Dienstleisters eleven:

"Im Verlauf eines Monats erkennen die Filter des Anbieters um die 20 Millionen IP-Adressen, die Bots zugeordnet werden können. Die Bots verhalten sich allerdings unauffällig und senden nur wenige Spam-Nachrichten für einen kurzen Zeitraum. Dann ruhen sie für eine Weile, bevor sie erneut zum Einsatz kommen. ‘In der Regel sind mehr als 80 Prozent der IP-Adressen weniger als einen Tag pro Monat aktiv.’"

Man mag gar nicht daran denken, was ist, wenn die alle für ein bestimmtest Ziel hin aktiviert werden…

Aber auch so ‘gering aktiv’ wie sie aktuell sind, sind die Spambots der Botnetze gefährlich, denn sie werden immer ’schlauer’. So werden heutzutage Daten aus Social Networks abgerast, um an Geburtsdaten und andere Informaitonen zu gelangen, mit denen Passwörter erraten, oder Passwort-Rücksetzungen aktiviert werden können. So wird die Übernahme von Mailfächern ständig optimiert.

Es geht aber auch dreister: Neben "Man in the Middle" spielten Phisher (laut Heise.de) in den USA neulich ganz offen "der Mann an Ihrer Seite": Nachdem sie Nutzer auf eine gefälschte Banking-Website gelotst hatten, öffneten sie ein Chatfenster im Browser, gaben sich als Bankmitarbeiter aus und fragten ungeniert – von Angesicht zu Angesicht – sensible Daten wie die Sicherheitsfrage etc. ab.

Herzlich aus Hürth
Nicola Straub