Unerwünschter Zugriff Web-Server mit ausspionierten Daten entdeckt

Ausgespähte Passwörter und Buchungsdaten deutscher Internet-Nutzer liegen zurzeit ungeschützt im Web

Von Frank Ziemann

Der weitere Verlauf der Recherchen im "Fall Opodo" führte zu einer zunächst nur interessanten, dann jedoch alarmierenden Entdeckung. Zunächst entstand die Vermutung, dass es eine Verbindung zu dem von Sunbelt gemeldeten Fall eines mit Hilfe der Spyware CWS verbreiteten Key-Loggers geben könnte. Dieser Anfangsverdacht bestätigte sich schnell. Die eingesetzten Schädlinge sind in beiden Fällen zumindest teilweise identisch.

In Kooperation mit  PC-Welt

Das Trojanische Pferd aus den Opodo- und Telekom-Mails installiert mehrere Schadprogramme, die es von verschiedenen Servern herunter lädt. Eines davon ist, vorsichtig ausgedrückt, Spyware. Dieses Programm spioniert unter anderem Daten aus den im Internet Explorer gespeicherten Formulardaten (Funktion "AutoVervollständigen") aus - Daten, die der Benutzer in den letzten Wochen und Monaten auf diversen Websites eingegeben hat. Das sind etwa der volle Name, Benutzernamen, Passwörter, Adressen, Telefonnummern, Geburtsdaten, Auktionsgebote oder Mail-Adressen.

Das Programm installiert im Internet Explorer ein BHO (Browser Helper Object), ähnlich wie diverse Toolbars, nur dass dieses nicht sichtbar ist. Dieses BHO fängt alle Daten ab, die über verschlüsselte Verbindungen (https://) gesendet werden - bevor sie verschlüsselt werden. Ferner erzeugt es nach Eingabe einer TAN ein Popup-Fenster, das zur Eingabe einer weiteren TAN auffordert. Die sendet es zusammen mit den anderen Daten an einen Server in den USA. Auf diesem Server befindet sich im Moment eine mehrere Megabyte grosse Datei mit Daten von mehreren hundert Internet-Nutzern, darunter auch viele Deutsche.

Unter den ausgespähten Informationen sind beispielsweise Online-Buchungen bei Fluglinien, Bestellungen bei Versandhäusern, Zugangsdaten zu Web-Mail-Providern und anderen Web-Diensten sowie auch alles, was zum Online-Banking gehört (Kontonummer, PIN, TAN) und so weiter, dazu die jeweils aktuelle IP-Adresse des PC.

Diese Daten liegen völlig ungeschützt in einer Datei auf dem Server eines US-Providers, der schon in den letzten Wochen und Monaten häufig als Heimstatt für Phishing-Server diente und noch dient. Es kommen auf diesem Server nach wie vor frische Daten hinzu. Die Datei wird in regelmäßigen Intervallen abgerufen, gelöscht und neu angelegt.

Eine weiteres installiertes Programm verwandelt den PC in einen fernsteuerbaren "Zombie", der für weitere kriminelle Zwecke missbraucht werden kann. Auf dem entdeckten Server findet sich auch eine Web-basierte Fernsteuerung für diese Zombies - schön sortiert und auswählbar nach dem Ländern, in denen die gekaperten Computer stehen, die gerade online sind. Dieser "Botnet Controller" erlaubt das Absetzen von Kommandos, das Senden und Ausführen von Programmen oder das Speichern von Screen-Shots. Es gibt schätzungsweise weit über 1000 solcher Daten- und Kontroll-Server weltweit, die derzeit aktiv sind.

Wenn Sie in den letzten Tagen Mails mit unverhofften (angeblichen) Rechnungen erhalten und diese nicht ungeöffnet gelöscht haben, sollte Sie Ihren PC unbedingt mit einem zuvor aktualisierten Virenscanner komplett überprüfen. Inzwischen erkennen fast alle üblichen Virenscanner das Trojanische Pferd aus dem Mail-Anhang und auch die meisten der nachgeladenen Schädlinge. Findet Ihr Virenscanner etwas, ändern Sie schnellstmöglich alle Passwörter - sowohl für den PC selbst als auch für Internet-Dienste wie Online-Banking, Ebay, Paypal, Mail, Web-Shops und so fort.

Grundsätzlich muss stets davon ausgegangen werden, dass vermeintlich sicher (weil verschlüsselt) ins Internet übertragene Daten durch ein eingeschleustes Programm auf dem eigenen PC unverschlüsselt abgefangen werden können. Wenn Sie den Internet Explorer für vertrauliche Zwecke einsetzen, sind aktuelle Sicherheits-Updates, Virenscanner und Desktop Firewall das Mindeste, was Sie installiert haben sollten. Speichern Sie keinerlei Daten, die Sie regelmäßig in Formulare eintippen müssen, im Browser.