Wer oder was ist Rock Phish?

Diskutiere Wer oder was ist Rock Phish? im IT-News Forum im Bereich IT-News; Hinter einem großen Teil der Phishing-Angriffe auf Banken und deren Kunden stecken wahrscheinlich stets dieselben Täter. Über Rock Phish ist...
#1
Eric-Cartman

Eric-Cartman

Moderator
Threadstarter
Team
Dabei seit
22.06.2005
Beiträge
8.628
Alter
38
Ort
In Windows Nr. 10


Hinter einem großen Teil der Phishing-Angriffe auf Banken und deren Kunden stecken wahrscheinlich stets dieselben Täter. Über Rock Phish ist jedoch nur wenig bekannt, die Täter arbeiten jedoch mit immer wieder neuen Tricks.

Das so genannte " Rock Phish Kit "ist ein Bausatz für Phishing-Websites, mit dem auf ein und demselben Web-Server etliche gefälschte Banken-Websites betrieben werden können. Es kann recht schnell und mit wenigen Anpassungen auf immer wieder neuen Servern installiert und in Betrieb genommen werden. Mit einer neuen Welle von Phishing-Mails werden dann die Links zu den nachgeahmten Banken-Websites Spam-artig verbreitet.

Darüber, wer hinter dem Rock Phish Kit steckt, ist kaum etwas bekannt. Vermutlich handelt es sich nicht um eine einzelne Person sondern um eine mehr oder minder organisierte Gruppe. Diese Täter sollen nach Schätzungen von Sicherheitsfachleuten für ein Drittel bis die Hälfte aller Phishing-Angriffe weltweit verantwortlich sein.

Die ersten Versionen des Rock Phish Kits lieferten den Grund für dessen Namen, denn die gefälschten Web-Seiten waren stets in einem Unterverzeichnis namens "rock" abgelegt. In späteren Version wurde dies auf "r1" oder auch "r11" abgeändert, aktuelle Versionen arbeiten nicht mit solchen einheitlichen Verzeichnisnamen. Der bis etwa März dieses Jahres im Rock Phish Kit enthaltene Javascript-Code zur Darstellung einer manipulierten Adresszeile im Internet Explorer ist seitdem ebenfalls verschwunden. Er wurde von Virenscannern zum Teil als " JS/Stealus " erkannt.

Die derzeit in Phishing-Mails enthaltenen Links enthalten scheinbar nur jeweils einmal verwendete Kennungen, die als Sub-Domain in der URL enthalten sind. So lautet der Link auf aktuelle Volksbank-Plagiate zum Beispiel "www.volksbank.de.networld.onlineid4033508.DOMAIN/kunde.html". Mit dieser neuen Masche sollen offenbar Phishing-Filter in Web-Browsern wie Firefox ausgetrickst werden, die auf Listen bekannter Phishing-Sites basieren.

Das gezeigte Beispiel legt jedoch auch nahe, wie ein solcher URL-Filter verbessert werden kann. Die Einbeziehung von IP-Adressen und so genannten "Wildcards" (Platzhaltern) würde diesen Trick der Phisher ins Leere laufen lassen. Verdächtig muss an sich schon jede URL sein, bei der nach (in diesem Beispiel) "www.volksbank.de" noch ein weiterer Punkt (wie in "www.volksbank.de.networld.") folgt.

Die Rock-Phish-Gruppe scheint jedenfalls recht innovationsfreudig zu sein. So gehören deren Mails auch zu den Vorreitern des so genannten "Image Spam", bei dem statt leicht filterbarem Text Bilddateien die Botschaft an potenzielle Opfer enthielten. Der bisherige Gesamtschaden, den Rock Phish angerichtet hat, wird auf mehr als 100 Millionen US-Dollar geschätzt.

Quelle:IDG Magazine Verlag GmbH/PC-WELT Online
 
#2
DerZong

DerZong

MODERATOR/FAQ-Team
Team
Dabei seit
12.10.2004
Beiträge
4.661
Alter
40
Also wer bei einer solchen verlinkten Adresse den Braten noch nicht riecht, der ist selber schuld.


Aber noch ein Tip meinerseits, wenn man sich bei den Links nicht immer ganz sicher ist:

Bei verlinkten Internet-Adressen immer von hinten nach vorne lesen, dann kann eigentlich wenig schiefgehen. Und am Beispiel der hier gezeigten Abbildung wäre das die folgende - ich habe die tatsächliche Domain, zu der der Link führt mal extra kenntlich gemacht:

http://www.volksbank.de.networld.onlineid4033508.hiclbac.biz/kunde.html

Das ist mit Sicherheit nicht die Volksbank ;)
 
#3
the doctor

the doctor

Dabei seit
09.06.2006
Beiträge
4.921
Alter
28
Ort
Harpstedt
immer erst nachdenken, bevor man in einer email etwas anklickt, und ggf. bei der bank nachfragen
 
#4
DiableNoir

DiableNoir

Dabei seit
18.01.2004
Beiträge
6.069
Eines muss man denen aber lassen...einfallsreich sind sie. Es gibt sicher genug Leute die dumm genug sind trotz der ganzen Warnungen die man so hört da ihre Daten einzugeben. Ich glaube nur eine Phising-Warnung vom Programm kann solche Leute noch zurückhalten.

BTW: Der Text des Links enthält auch einen / statt einen . vor dem networld-Segment. Denke mal wer nicht bereits bei dieser Meldung misstrauisch geworden ist wird wohl den Unterschied auch nicht merken.:sleepy



Ein seltsames Phänomen ist es allerdings schon, dass manche denken, ihre Bank wüsste ihre Zugangsdaten nicht mehr....wie sollte das denn dann auch von der Bank verifiziert werden?

Eigentlich sollte ja eine natürliche Reaktion auf so eine Mail von einer Bank (wäre sie wirklich echt) eine Auflösung sämtlicher Konten,... dort sein. Einem sein sauer verdientes Geld anvertrauen der schon mit den Kundendaten Poker spielt,...tz tz tz :blink
 
#6
W

Wappla99

Dabei seit
13.09.2006
Beiträge
177
Alter
37
Hi allerseits,

@DerZong

habe mal deine oben gekenntzeichnete Domain im firefox 2.0 einegegeben.
Und siehe da, habe eine benachrichtigung bekommen dass das eine Fishing website ist.

der IE7 ließ mich weiter Surfen.

:thumbdown :thumbdown
 
#7
Fireblade

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
Das ist mit Sicherheit nicht die Volksbank
Genau,bin auch gar nicht Volksbank Kunde.:thumbdown
Ich hab genau die gleiche Mail gestern 8 mal bekommen.
Siehe dazu mein Thread betr.Volksbanken/Raiffeisenbanken.

Danke noch für die News hier @Eric:up
War interessant zu lesen.
 
#8
Cyron

Cyron

SPONSOREN
Dabei seit
25.12.2004
Beiträge
3.280
Alter
29
Ort
far beyond /dev/null
Seltsam das es immer die gleichen Banken sind, von der Sparkasse z.B. hab ich noch nichts gehört ... vielleicht liegt es aber auch daran das jede von denen den Ortsnamen im Eigennamen trägt, daher haben die Pisher es da schwierig ;)


Greetz Cyron
 
#9
S

SuperTux

Gast
Cyron, da hast du wohl den genialsten Phishing-Schutz entdeckt! Sollten mal alle Banken machen, dann wäre das Problem sicher ganz schnell gegessen!

Sowas wie www.volksbank.de/stadtname/index.php würde ja reichen! Wenn den Usern ein falscher Ortsname nicht auffällt, sind sie selber schuld!
 
#10
the doctor

the doctor

Dabei seit
09.06.2006
Beiträge
4.921
Alter
28
Ort
Harpstedt
wenn meine bank die meine Daten per email fordert, geh ich eben rüber (die paar meter) und frag mal eben nach :D
 
#12
Bullayer

Bullayer

Schwergewicht
Dabei seit
19.07.2006
Beiträge
24.134
Ort
DE-RLP-COC
@Lenny: Es wird immer wieder Leute geben, bei denen die Neugier siegt. Und die öffnen solche Mails. Und wenn dann noch ein schönes buntes Logo der Bank im Mailkopf zu sehen ist, sind alle Bedenken wie weggeblasen.
 
#13
S

seppjo

Gast
@bullayer,
es gibt bestimmt auch Leute die durch unwissen diesen Link öffnen. Das hat glaube ich nicht wirklich mit Neugier zu tun. Was Wappla99 macht hat mit Neugier zu tun. ;) Sind ja nicht alle Computerfreaks.

Achso auf der Seite von einem Rock Phish kommt dann ein Rockmusik mp3.
 
#14
Fireblade

Fireblade

Grüßt die Winboarder
Dabei seit
10.12.2004
Beiträge
19.623
wenn meine bank die meine Daten per email fordert, geh ich eben rüber (die paar meter) und frag mal eben nach
Da hast es ja gut,ich muß dafür ein paar Km fahren.
Meine Bankgeschäfte erledige ich auch lieber persönlich,da mach ich schon einige Zeit nichts mehr über Internet.
 
Thema:

Wer oder was ist Rock Phish?

Wer oder was ist Rock Phish? - Ähnliche Themen

  • Wer kann helfen? Wie bekomme ich diese ständige Meldung weg un Windows Update ?

    Wer kann helfen? Wie bekomme ich diese ständige Meldung weg un Windows Update ?: Ich kann nichts damit anfangen.Finde auch nichts darüber. Danke für die Hilfe.
  • Fehlermeldung 5 kann wer helfen ?

    Fehlermeldung 5 kann wer helfen ?: Also es begann vor ein paar tagen als ich programme von Steam haben wollte kamen immerwieder fehlermeldungen mal andere aber auch die...
  • wer kann mir helfen ? :(

    wer kann mir helfen ? :(: ich habe eine externe Festplatte in eine USB Anschluß in meinen Laptop gesteckt, allerdings wird die Externe nicht in der Liste aufgeführt. Unter...
  • Fehlermeldung 5 kann wer helfen ?

    Fehlermeldung 5 kann wer helfen ?: Also es begann vor ein paar tagen als ich programme von Steam haben wollte kamen immerwieder fehlermeldungen mal andere aber auch die...
  • Wer hat Erfahrung mit Surface Go Zusatzversicherung?

    Wer hat Erfahrung mit Surface Go Zusatzversicherung?: Microsoft bietet Software Support für 2 Jahre , 45 Tage nach Kauf an. Wie nutze ich dann diesen Support und wie schnell ist er in deutscher...
  • Ähnliche Themen

    Oben