In der Schweiz waren gemäss einer MELANI-Mitteilung rund 150 Internetseiten betroffen. 130 von ihnen waren bereits mit schädlicher Software – sogenannter Malware – infiziert, wie MELANI-Leiter Pascal Lamia am Montag auf Anfrage erklärte. Auch von den Internetseiten im Ausland seien viele bereits befallen gewesen.
«Swiss Security Blogs abuse.ch» deckt Missbrauch auf
MELANI war von einer Privatperson auf die Daten aufmerksam gemacht worden. Der Betreiber des Blogs «Swiss Security Blogs abuse.ch» habe die Daten bei seinen Missbrauchs-Recherchen im Internet entdeckt und an MELANI weitergeleitet, erklärte Lamia. Konkret handelt es sich um die Zugangsdaten für FTP-Konten. Über diese Adressen können die Eigentümer und Betreiber einer Internetseite die Inhalte ihrer Webseite verändern.
FTP-Konten im Visier
Um Daten auf einen Webserver zu laden, benutzen die Inhaber einer Website in der Regel ein sogenanntes FTP-Konto bei einem Hostingprovider, wie das Generalsekretariat des Eidgenössischen Finanzdepartements am Montag mitteilte. Die Zugangsdaten zu rund 100’000 solcher FTP-Konten wurden MELANI vom Betreiber des Swiss Security Blogs abuse.ch zugespielt. Dieser hatte die Daten auf seinem Honeynet-System gesammelt. Honeynet-Systeme sind Rechner, die man kontrolliert mit schädlicher Software (Malware) infizieren und in ein Botnetz einbinden lässt, um die von Kriminellen eingesetzten Methoden zu analysieren und zu bekämpfen.
Computer heimlich ferngesteuert
Mit einem Botnetz kann ein Computer heimlich ferngesteuert werden. Kriminelle können so ihre Aktivitäten kaschieren, indem sie die Computer von Dritten als Vehikel für ihre Verbrechen nutzen. Die Angreifer und Betreiber des betreffenden Botnetzes beschafften sich auf diese Weise die Zugangsdaten der FTP-Konten. Mit den Zugangsdaten wollten sie laut MELANI-Mitteilung vermutlich auf die fremden Webserver zugreifen und die dort betriebenen Websites mit Malware versehen.
Drive-by-Infektionen
Diese infizierten Websites sollten wiederum durch sogenannte Drive-by-Infektionen die Rechner der Besucherinnen und Besucher schädigen. Bei einer Drive-by-Infektion genügt das alleinige Ansurfen einer Website, um das Endgerät mit der Malware zu infizieren. Die Angreifer versuchen damit, etwa an Kontoinformationen von Banken zu kommen, um sich so finanziell zu bereichern. MELANI analysierte die Daten und verständigte die Konteninhaber über die zuständigen Hostingprovider in der Schweiz oder über die zuständigen Stellen im Ausland.
Betroffene Konteninhaber informiert
Die Meldestelle MELANI habe die Daten geprüft und danach über die Provider die betroffenen Konteninhaber im In- und Ausland informiert und so vor weiterem Schaden bewahrt, sagte Lamia weiter. Die Cyber-Kriminellen, die die Daten gesammelt hatten, versuchen dank dem Installieren von Malware Computer von weiteren Internetnutzern zu infizieren. Ihr eigentliches Ziel ist es, dank der Malware an wichtige Informationen wie beispielswiese Kontoinformationen des Zahlungsverkehrs zu gelangen, um sich so finanziell zu bereichern. (awp/mc/ps/23)
