Die Einführung der neuen Version vom iPhone wird aktuell in mehreren Ländern weltweit von Cyber-Kriminellen zum Verbreiten ihrer Schadprogramme genutzt. Die Sicherheitsexperten der PandaLabs, der Labore des IT-Sicherheitsanbieters Panda Security, sind einem neuen Pharming-Angriff auf die Spur gekommen, bei dem der Trojaner Banker.LKCTrojan als iPhone-Video getarnt sicherheitsrelevante Zugangsdaten zum Online-Banking stiehlt.
Pharming-Attacken beschreiben eine ausgeklügelte Betrugsmethode, bei der DNS-Anfragen durch die Konfiguration eines TCP/IP Protokolls oder des Host Files manipuliert werden. Veränderte Einträge des DNS-Servers bewirken, dass der Anwender beim Besuch von legitimen Internetadressen unbemerkt auf eine gefälschte Seite gelenkt wird, die von der Original-Seite nicht zu unterscheiden ist.
In diesem Fall ist die Schadstoff-Software Banker.LKCTrojan für die veränderte DNS verantwortlich. Sie schleust sich als VideoPhone[1]_exe-Datei in das System ein. Beim Download öffnet sich eine Webseite, auf der das iPhone zum Kauf angeboten wird. (http://www.flickr.com/photos/panda_security/2884457259). Während der ahnungslose User die Seite liest, wird die Host Datei seines Rechners mit Hilfe des Trojaners so verändert, dass er mit gefälschten Webseiten bestimmter Banken und Firmen verlinkt wird. Auf diese Weise versuchen die Programmierer der Malware, vertrauliche Daten des Anwenders wie Passwörter und Benutzernamen zu stehlen.
Die Manipulation dient allein dem Identitätsdiebstahl und hinterlässt keine Schäden im Betriebssystem. Mit nur einem Klick auf die Internet-Seite der jeweiligen Bank oder Firma gelangen die Anwender in die Schusslinie der Online-Kriminellen und können einer Pharming-Attacke zum Opfer fallen. „Online-Kriminelle zielen ganz offensichtlich darauf ab, in die Accounts von Computer-Nutzern einzudringen“, erklärt Luis Corrons, der technische Direktor der PandaLabs. „Das iPhone dient in diesem Fall als Köder, um User zum Download zu animieren, mit dem sie sich den Schädling ins System schleusen“, ergänzt er.
Tipps zum Schutz vor Pharming-Attacken:
- Beim Besuch von Webseiten, die vertrauliche Daten abfragen, sollte die angezeigte URL noch einmal genau mit der eingegebenen abgeglichen werden. Jedes zusätzliche Symbol könnte auf eine Manipulation der DNS hinweisen.
- Das Sicherheitszertifikat der Webseite, auf der die persönlichen Daten eingeben werden, sollte stets anhand des Schloss-Symbols in der unteren Leiste des Browserfensters überprüft werden. Dort wird das Sicherheitszertifikat der Webseite angezeigt. Treten beim Vergleich der Angaben Unregelmäßigkeiten auf, könnte dies als Indiz für eine Fälschung gelten.
- Der Computer sollte stets mit einer effizienten, aktualisierten Version einer Sicherheitslösung ausgestattet sein, denn DNS-Manipulationen werden meist von Schadprogrammen verursacht.