Das berüchtigte Social-Media-Bot-Netz Koobface – ein Anagramm zu Facebook – legt nach. Das Bot-Netz, das seit 2008 hinlänglich bekannt ist und unter anderem von den IT-Sicherheitsherstellern bekämpft wird, wehrt sich immer erfolgreicher gegen Abwehrmaßnahmen.

Grund ist eine neue im Web verteilte Infrastruktur – ein Server war 2011 zumindest zeitweise in Deutschland aktiv – mit der sich der Internet-Verkehr auf verschiedenste bösartige Seiten umleiten lässt. Jeder Klick eines ahnungslosen Opfers lässt bei den Online-Gangstern die Kasse klingeln.

 

Mehr zum Thema:

Offenes Tor für Spammer?

Tarnung gegen Sicherheitspolizei

Die Anwender werden über Einträge in verschiedenen sozialen Netzwerken wie Twitter, Tumblr, Friendfeed3, FC24, Livedoor5, So-net6 oder Facebook und der Google-Blogger-Site auf die Seiten der Koobface-„Kunden“ gelockt. Selbstverständlich sind die Einträge gefälscht wie auch die Konten, von denen aus sie zusammen mit den eingebetteten Web-Adressen an die Anwender geschickt werden. Sowohl die Erzeugung der Konten als auch der Einträge erfolgt dabei vollautomatisch.

Die genaue Funktionsweise der neuen Koobface-Infrastruktur hat Trend Micro in einem Forschungsbericht analysiert und beschrieben, der hier abrufbar ist:

de.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/more_traffic__more_money-koobface_draws_more_blood.pdf

Drei Maßnahmen für mehr Sicherheit
Um die Anwender besser zu schützen, sollten die Social-Media-Betreiber ihre Sicherheitsmaßnahmen verstärken, um die automatisierten Interaktionen zwischen den Befehls- und Kontroll-Servern der Koobface-Gang und den eigenen Plattformen zu unterbinden.

Die Anwender selbst sollten höchste Vorsicht walten lassen und lieber zehnmal nachdenken, bevor sie auf eine Web-Adresse klicken. Außerdem sollten sie darüber nachdenken, die Einstellungen in ihrem Browser so zu ändern, dass nur vertrauenswürdigen Web-Seiten das Ausführen von eingebetteten Javascripts zu erlauben. Denn die Koobface-Gangster nutzen Javascript-Code, um zu messen, wie viele Anwender die von ihnen gefälschten Blog-Einträge besuchen, und um auf bösartige Web-Seiten weiterzuleiten.

Empfehlenswert ist ferner eine IT-Sicherheitslösung, die das Öffnen bösartiger Seiten unterbinden kann. Auch E-Mails mit bösartigen Web-Adressen, die von sozialen Netzwerken an die Anwender weitergeleitet werden, sollten als gefährlich erkannt und entfernt werden, noch bevor sie im Posteingang des Anwenders landen. Entsprechende IT-Sicherheitslösungen zeichnen sich durch die Nutzung so genannter Reputationsdienste aus, die die Vertrauenswürdigkeit von Web-Adressen und E-Mail-Nachrichten bewerten und auch miteinander in Beziehung setzen können. Auch der vorsichtigste Anwender wird irgendwann einmal auf die fiesen Methoden der Online-Kriminellen hereinfallen und auf eine bösartige Web-Adresse klicken – auch dann muss die eigene Sicherheitssoftware Schutz bieten.

Weitere Informationen sind im deutschen Trend Micro Blog unter blog.trendmicro.de/das-geheimnis-des-wachsenden-koobface-geschaefts-das-traffic-direction-system/ erhältlich.