Der kalifornische Security-Spezialist Websense berichtet über einen interessanten, weil gross angelegten Versuch, an die E-Banking-Daten von tausenden von Bankkunden heranzukommen.

Die Kriminellen haben dazu ein Netz von fünf Webseites, die in Deutschland, England und Estland gehostet werden, aufgebaut. Besucht jemand eine solche Seite, so checkt der Server ab, ob der Client-PC eine bestimmte, ältere Windows-Sicherheitslücke (MS06-014) noch aufweist. Ist dem so, so erscheint eine Meldung auf dem Bildschirm, der Server sei überlastet und man solle doch bitte die Firewall und Antivirus-Software ausschalten (!). Dann wird eine bösartige Software (ein so genannter Trojaner) namens "iexplorer.exe" auf den PC geschickt. Dieses File holt dann fünf gefährliche DLL-Files von einem Server in Russland und installiert diese. Damit hat der arglose (und auch etwas dumme) Benützer die Kontrolle über seinen PC verloren.

Nun beginnt der eigentliche kriminelle Akt. Besucht jemand mit seinem gekaperten PC dann eine von 50 verschiedenen E-Banking- und E-Commerce-Seiten, so wird ein gefälschtes Stück HTML-Code in den Browser geschoben. Wer dann seine Login-Daten eingibt, sendet diese nicht der Bank, sondern direkt an den räuberischen Server in Russland. Der Rest lässt sich denken...

Analog zum bekannten Begriff "Phishing" nennt man ein solches Verfahren, wo massenhaft geldwerte Identitätsdaten geklaut werden, "Pharming".

Von der räuberischen Attacke nicht betroffen sind notabene all jene PCs, deren Windows-Betriebssystem im April mit dem erwähnten Security-Bulletin von Microsoft aufdatiert worden ist.

Unterdessen haben die Hoster in England, Deutschland und Estland, auf deren Server die "Pharming"-Webseiten lagen, den Zugang dazu geschlossen, berichtet heute das britische "SC Magazine".

Trotzdem hat Websense nach eigenen Angaben bereits "Tausende" von infizierten PCs eruiert.

Und die Moral von der Gschicht: lass Deinen PC ungepatcht nicht. (Christoph Hugenschmidt)