Das berüchtigte Social-Media-Bot-Netz Koobface - ein Anagramm zu Facebook - legt nach. Das Bot-Netz, das seit 2008 hinlänglich bekannt ist und unter anderem von den IT-Sicherheitsherstellern bekämpft wird, wehrt sich immer erfolgreicher gegen Abwehrmaßnahmen.
Grund ist eine neue im Web verteilte Infrastruktur – ein Server war 2011 zumindest zeitweise in Deutschland aktiv – mit der sich der Internet-Verkehr auf verschiedenste bösartige Seiten umleiten lässt. Jeder Klick eines ahnungslosen Opfers lässt bei den Online-Gangstern die Kasse klingeln.
Tarnung gegen Sicherheitspolizei
Die Anwender werden über Einträge in verschiedenen sozialen Netzwerken wie Twitter, Tumblr, Friendfeed3, FC24, Livedoor5, So-net6 oder Facebook und der Google-Blogger-Site auf die Seiten der Koobface-„Kunden“ gelockt. Selbstverständlich sind die Einträge gefälscht wie auch die Konten, von denen aus sie zusammen mit den eingebetteten Web-Adressen an die Anwender geschickt werden. Sowohl die Erzeugung der Konten als auch der Einträge erfolgt dabei vollautomatisch.
Die genaue Funktionsweise der neuen Koobface-Infrastruktur hat Trend Micro in einem Forschungsbericht analysiert und beschrieben, der hier abrufbar ist:
Drei Maßnahmen für mehr Sicherheit
Um die Anwender besser zu schützen, sollten die Social-Media-Betreiber ihre Sicherheitsmaßnahmen verstärken, um die automatisierten Interaktionen zwischen den Befehls- und Kontroll-Servern der Koobface-Gang und den eigenen Plattformen zu unterbinden.
Die Anwender selbst sollten höchste Vorsicht walten lassen und lieber zehnmal nachdenken, bevor sie auf eine Web-Adresse klicken. Außerdem sollten sie darüber nachdenken, die Einstellungen in ihrem Browser so zu ändern, dass nur vertrauenswürdigen Web-Seiten das Ausführen von eingebetteten Javascripts zu erlauben. Denn die Koobface-Gangster nutzen Javascript-Code, um zu messen, wie viele Anwender die von ihnen gefälschten Blog-Einträge besuchen, und um auf bösartige Web-Seiten weiterzuleiten.
Empfehlenswert ist ferner eine IT-Sicherheitslösung, die das Öffnen bösartiger Seiten unterbinden kann. Auch E-Mails mit bösartigen Web-Adressen, die von sozialen Netzwerken an die Anwender weitergeleitet werden, sollten als gefährlich erkannt und entfernt werden, noch bevor sie im Posteingang des Anwenders landen. Entsprechende IT-Sicherheitslösungen zeichnen sich durch die Nutzung so genannter Reputationsdienste aus, die die Vertrauenswürdigkeit von Web-Adressen und E-Mail-Nachrichten bewerten und auch miteinander in Beziehung setzen können. Auch der vorsichtigste Anwender wird irgendwann einmal auf die fiesen Methoden der Online-Kriminellen hereinfallen und auf eine bösartige Web-Adresse klicken – auch dann muss die eigene Sicherheitssoftware Schutz bieten.
Weitere Informationen sind im deutschen Trend Micro Blog unter blog.trendmicro.de/das-geheimnis-des-wachsenden-koobface-geschaefts-das-traffic-direction-system/ erhältlich.