[datensicherheit.de, 17.05.2019] Derzeit finden wieder besonders perfide Phishing-Attacken statt – im Visier von Cyberkriminellen dieses Mal: die Internetriesen eBay und WordPress. Die Betrüger versuchen mit gefälschten E-Mails Anmeldedaten abzugreifen. „Firmenlogos, Layouts und Schriftarten der gefälschten E-Mails sehen täuschend echt aus, so dass sie beim Opfer keinen Verdacht auslösen. Klickt das Opfer jedoch auf den darin enthaltenen, präparierten Link, wird es zu einer gefälschten Login-Seite geführt. Werden dort persönliche oder finanzielle Daten eingegeben, landen diese direkt bei den Betrügern. Und dann sind Kontoplünderungen genauso denkbar wie anderweitiger Schaden“, warnt Christian Heutger, CTO der PSW GROUP.

© PSW Group

Christian Heutger, CTO der PSW GROUP

Phishing-Alarm bei eBay

Im Falle von eBay erhalten die Opfer eine Mail, aus der hervorgeht, Kunden hätten den Artikel bezahlt oder wollten eine Rückabwicklung. Nutzer, die den Link klicken, landen jedoch nicht etwa bei eBay, sondern auf einer gefälschten Anmeldeseite. Das perfide: Sie liegt unter der eBay-Domain “ebaydesc.com”. „Zum Teil ist diese Site mit HTTPS und einem gültigen SSL-Zertifikat geladen. Jedoch sendet das auszufüllende Formular die Daten keinesfalls an eBay, sondern an einen Server. Hier brauchen die Betrüger die Daten nur noch entgegenzunehmen“, informiert der IT-Sicherheitsexperte.

An diesen typischen Merkmalen erkennen Nutzer einen Betrug:

• Betreffzeile: Häufig sind die Nachrichten mit Betreffzeilen wie „Ihr Handeln ist erforderlich: Datenschutz-Aktualisierung“ oder „Ihre Mithilfe ist erforderlich: Neuer eBay Datenschutz“ versehen.
• Absender: Die E-Mails stammen oft von der Mail-Adresse „Ebay Kundenservice “.
• Inhalt: Im Text der E-Mail wird das Opfer aufgefordert, seine Daten aufgrund von neuen Datenschutzrechten aktuell zu halten. Dafür soll es einen Link anklicken, der zum Verifizierungsprozess führen würde. Es wird noch darauf hingewiesen, dass der Kunde von eBay ausgeschlossen wird, falls er mit dieser Prozedur nicht einverstanden sei.

eBay-Kunden müssen und können sich vor dieser neuen eBay-Phishing Attacke schützen, wenn sie aufmerksam sind. „Das Wichtigste ist, sich ausschließlich über die Domain “signin.ebay.de” anmelden. Keinesfalls sollte ein Link aus einer E-Mail angeklickt werden, sondern die Login-Site nur über die Lesezeichen im Webbrowser geöffnet werden“, rät Christian Heutger und ergänzt: „Alle E-Mails, die eBay tatsächlich versendet hat, finden sich außerdem im Nachrichten-Bereich.“ Wer eine Phishing-Mail erhalten hat oder ein Artikel verdächtig erscheint, sollte es direkt an eBay melden. Dafür steht die E-Mail-Adresse spoof [at] eBay [dot] de zur Verfügung. Wer befürchtet, dass seine Daten bereits abgegriffen wurden, sollte umgehend sein Passwort ändern.

WordPress: Phishing durch die Hintertür

In den vergangenen Monaten wurden zudem mehrere hunderte Seiten entdeckt, die auf die Content Management Systeme (CMS) WordPress und Joomla setzen. Auf den Sites wurden Ransomware, Redirectors und Backdoors entdeckt, die wiederum auf verschiedene Phishing-Seiten umleiten. „Zustandekommen kann dies durch Schwachstellen in den CMS, die durch Plugins, aber auch Erweiterungen und Themes ausgenutzt werden können“, erklärt Heutger. Er ergänzt: „Kompromittierte WordPress-Seiten basieren auf den Versionen 4.8.9 bis 5.1.1. Meist sind sie durch SSL-Zertifikate geschützt. Es ist davon auszugehen, dass betroffene Seiten veraltete Plugins oder Themes nutzen oder aber serverseitig Software beinhalten, die die Kompromittierung möglich gemacht hat.

Auch WordPress-Phishing können Anwender anhand verschiedener Kriterien erkennen:

•  Zahlen oder andere Seltsamkeiten in der URL der Site weisen auf eine Phishing-Site hin. Auf die Eingabe der persönlichen Daten sollte verzichtet werden.
• Zwar werden Phishing-Mails und -Sites immer perfekter, dennoch finden sich viele Rechtschreibfehler in entsprechenden E-Mails oder auf den gefälschten Websites.
• Auch bei WordPress-Phishing-Mails ist der Betreff oft auffällig und fordert das Opfer zu einer aktiven Handlung auf. Angreifer verwenden beispielsweise den Betreff “Wordpress database upgrade required!”.
• „Auf alle Fälle sollte die Empfänger-Adresse der E-Mail geprüft werden. Wer beispielsweise mit einer Gmail-Adresse bei WordPress angemeldet ist, die E-Mail jedoch auf eine andere E-Mail-Adresse erhält, muss schon skeptisch sein. Wer zudem nicht der alleinige Empfänger der Mail ist, sollte diese erst gar nicht öffnen“, mahnt Heutger.

Administratoren können zudem aktiv WordPress-Phishing verhindern und die Betrugsmasche auf ihrem CMS unterbinden. So sollten sie etwa nicht mehr benötigte Verzeichnisse löschen, um Angreifern die Möglichkeit zu nehmen, darin Schadcode oder Phishing-Seiten zu verstecken. Insbesondere sollte das Verzeichnis “/.well-known/” geprüft werden, denn dieses nutzen Angreifer gern, um darin Ransomware oder Phishing-Seiten zu verstecken. Dieses Verzeichnis wird eigentlich dazu genutzt, den Domain-Besitz nachzuweisen. „Websites lassen sich auf verschiedenen Ebenen angreifen – auch auf Server-Ebene. Fast die Hälfte aller Hacks geschehen durch unsichere Server, weshalb auch dieser rundum abgesichert sein muss“, macht Heutger aufmerksam und mahnt, Sicherheits-Updates grundsätzlich zügig einspielen – nicht nur von WordPress selbst, sondern auch von PHP, MySQL und Apache/Ngnix. „Anstelle Dateien einfach per FTP auf den Server zu schieben, sollten Administratoren auf SFTP setzen. Das FTP-Passwort kann bei einer unverschlüsselten FTP-Verbindung abgehört werden“, lautet ein Tipp des IT-Sicherheitsexperten.

Weitere Informationen zum Thema:

PSW GROUP
Hacker mit selbstlernenden Technologien und künstlicher Intelligenz ausbremsen

datensicherheit.de, 23.04.2019
Sicherheitsforschern gelang Hacker-Angriff auf Klärwerk

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

[datensicherheit.de, 07.04.2019] Sicherheitsforscher des „Zscaler-ThreatLabZ“ haben nach eigenen Angaben in den letzten Monaten mehrere hundert „WordPress“- und „Joomla“-Sites entdeckt, die „Shade/Troldesh“-Ransomware, „Backdoors“, sowie „Redirectors“ beherbergten und auf unterschiedliche Phishing-Seiten umleiteten. Die durch diese „Content Management Systeme“ (CMS) verbreiteten Bedrohungen basierten auf Schwachstellen, die durch Plugins, Themen und Erweiterungen eingeschleust würden.

Kompromittierte „WordPress“-Sites beruhen auf Versionen 4.8.9 bis 5.1.1.

Die von Zscaler-Forschern entdeckten, kompromittierten „WordPress“-Sites beruhten auf den Versionen 4.8.9 bis 5.1.1. Sie verwenden demnach SSL-Zertifikate, die von den „Automatic Certificate Management Environment“-gesteuerten Zertifizierungsstellen, wie „Let’s Encrypt“, „GlobalSign“, „cPanel“ und „DigiCert“, ausgestellt wurden.
Diese kompromittierten „WordPress“-Seiten könnten veraltete CMS-Plugins/Themen oder serverseitige Software beinhalten, die möglicherweise der Grund für die Kompromittierung sein könnten.

Malware- und Phishing-Seiten vor Administratoren versteckt

Die Angreifer bevorzugten ein bekanntes, aber verstecktes Verzeichnis auf der HTTPS-Website, um Shade-Ransomware- und Phishing-Seiten zu verbreiten. Das versteckte Verzeichnis „/.well-known/“ in einer Website sei ein URI-Präfix für bekannte Standorte, das von der IETF definiert worden sei und häufig verwendet werde, um den Besitz einer Domain nachzuweisen.
Die Administratoren von HTTPS-Websites, die ACME zur Verwaltung von SSL-Zertifikaten verwenden, platzierten ein eindeutiges Token in den Verzeichnissen „/.well-known/acme-challenge/“ oder „/.well-known/pki-validation/“, um der Zertifizierungsstelle (CA) zu zeigen, dass sie die Domain kontrollierten. Die CA sende ihnen einen spezifischen Code für eine HTML-Seite, die sich in diesem speziellen Verzeichnis befinden müsse. Die CA suche dann nach diesem Code, um die Domäne zu validieren. Die Angreifer nutzten diese Orte, um Malware- und Phishing-Seiten vor den Administratoren zu verstecken.

Erscheinungsbild von bekannten Websites nachgeahmt

Diese Taktik sei effektiv, da dieses bereits auf den meisten HTTPS-Sites vorhandene Verzeichnis gut versteckt sei, so dass die Lebensdauer des bösartigen Inhalts auf der infizierten Website verlängert werde. Beispiele für Phishing-Webseiten, die bisher nach Angaben von Zscaler entdeckt wurden, ahmten unter anderem das Erscheinungsbild von „Office 365“, „Microsoft OneDrive“, „Dropbox“, „Yahoo“ und „Gmail“ nach.
„Wie wir an den Beispielen sehen, wird es für den Anwender immer schwieriger zu erkennen, ob er sich noch auf der korrekten Seite oder auf einer nachgemachten Kopie befindet. Eine sichere Alternative zum Aufrufen einer wirklich gewünschten Webseite ist mit einem gewissen Aufwand verbunden, kann sich aber aus Sicht der Internet-Sicherheit auszahlen. Durch Schutzmechanismen innerhalb geeigneter Security-Plattformen, die auch Sandbox-Funktionalität enthalten, kann dieser eigene Schutz wirkungsvoll ergänzt werden“, erläutert Rainer Rehm, „CISO EMEA Central“ bei Zscaler.

Foto: Zscaler

Rainer Rehm: Schutzmechanismen mit Sandbox-Funktionalität!

Abbildung: Zscaler

Beispiel Phishing-Webseite im Yahoo-Stil

Weitere Informationen zum Thema:

zscaler, Mohd Sadique, 26.03.2019
Abuse of hidden “well-known” directory in HTTPS sites / Compromised CMS sites leading to ransomware and phishing pages

datensicherheit.de, 16.03.2019
Zscaler meldet Aufdeckung aktueller Scamming-Kampagnen

datensicherheit.de, 11.03.2019
Warum ein CISO auch als Data Privacy Officer tätig wird

datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

datensicherheit.de, 12.021.2019
Valentinstag am 14. Februar: Wieder droht Love Scam

datensicherheit.de, 28.01.2019
Zscaler: Statement zum Data Privacy Day 2019

[datensicherheit.de, 19.06.2013] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Studie zur Sicherheit von Content Management Systemen (CMS) veröffentlicht. Diese beleuchtet relevante Bedrohungslagen und Schwachstellen der weit verbreiteten Open-Source-CMS Drupal, Joomla!, Plone, TYPO3 und WordPress, die sowohl im professionellen Bereich als auch von Privatanwendern genutzt werden, um Webseiten aufzubauen und zu pflegen.

Die Studie zeigt, dass die untersuchten CMS ein angemessenes Sicherheitsniveau bieten und einen hinreichenden Sicherheitsprozess zur Behebung von Schwachstellen implementiert haben. Um einen sicheren Betrieb einer Webseite zu gewährleisten, reicht es jedoch nicht aus, die untersuchten Lösungen in der Standardinstallation einzusetzen und zu betreiben. Vielmehr bedürfen die CMS einer sachgemäßen Konfiguration und kontinuierlichen Pflege, denn nur ein angemessenes Systemmanagement und ein umsichtiges Verwenden von Erweiterungen kann das Risiko unentdeckter Schwachstellen minimieren. Die Betreiber und Administratoren der Webseite sollten daher ein besonderes Augenmerk auf die tägliche Pflege des Systems und die Information zu möglichen Sicherheitsupdates legen und die dafür notwendige Zeit einplanen.

Handlungsempfehlungen anhand praxisnaher Anwendungsszenarien

Die Studie bietet unter anderem eine Analyse der Schwachstellen der untersuchten CMS. Zudem werden die Entwicklungsprozesse der Systeme mit dem Fokus auf Sicherheit untersucht und bewertet. Darüber hinaus ermöglicht die Studie eine verlässliche sicherheitstechnische Beurteilung von CMS im Rahmen der Planung und Beschaffung. Dazu werden exemplarisch wichtige Aspekte zur Absicherung der Software anhand von vier typischen Anwendungsszenarien beleuchtet: „Private Event Site“ zum Aufbau einer privaten Webseite, „Bürgerbüro einer kleinen Gemeinde“, „Open Government Site einer Kleinstadt“ und „Mittelständisches Unternehmen mit mehreren Standorten“.

Content Management Systeme werden zur Erstellung und Pflege von Internetauftritten im privaten Umfeld ebenso eingesetzt wie in Verwaltungen und Unternehmen. Immer wieder bieten diese Systeme jedoch Angriffsflächen für Hacker und Schadprogramme. Denn schon durch kleine Sicherheitslücken oder Fehlkonfigurationen können sich unerlaubte Zugänge zu Online-Anwendungen, IT-Infrastrukturen und sensiblen Daten öffnen. Die mangelhafte Pflege von Content Management Systemen kann auch dazu führen, dass Online-Kriminelle den Rechner oder Webserver des Anwenders übernehmen, diesen zum Teil eines Botnetzes machen und den Rechner so beispielsweise für DDoS-Angriffe missbrauchen. Schwachstellen in Content Management Systemen, die aufgrund von mangelhafter Pflege nicht geschlossen wurden, waren beispielsweise eine Ursache für die in den letzten Monaten bekannt gewordenen DDoS-Angriffe gegen US-Finanzinstitutionen.

Mit der Durchführung der Studie hatte das BSI die ]init[ AG für digitale Kommunikation und das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) beauftragt.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Content Management System (CMS)

[datensicherheit.de, 22.03.2012] Trend Micro warnt vor einer aktuellen Spam-Attacke, die zu einer Infektion mit einem Trojaner-Schädling führt. Die Empfänger werden im ersten Schritt über E-Mails, die scheinbar von legitimen Absendern wie zum Beispiel von dem beliebten sozialen Netzwerk LinkedIn stammen, auf infizierte WordPress-Seiten gelockt. Weil auch dieser Blogging-Dienst weit verbreitet und beliebt ist, dürfte die Rate derer, die auf die bösartige Webadresse in der E-Mail klicken, recht hoch sein.
Wer dieser Taktik zum Opfer fällt, lädt und installiert auf seinem Rechner einen Trojaner, der zu diesem Zweck bekannte Sicherheitslücken ausnützt. Der Schädling ist in der Lage, Programmcode auszuführen, Dateien oder Verzeichnisse zu löschen sowie auf dem infizierten System gespeicherte Zertifikate zu stehlen. Außerdem erzeugt diese Schadsoftware neue Webadressen nach dem Zufallsprinzip. Dadurch ist es für Strafverfolgungsbehörden viel schwerer, die Befehls- und Kontrollserver zur Steuerung der Schadsoftware zu lokalisieren und gegebenenfalls abzuschalten.

Drei Tipps für mehr Sicherheit

Trend Micro rät daher den Anwendern dringend, Nachrichten auch von legitimen Absendern genauestens zu prüfen und sie beim geringsten Zweifel an der Echtheit des Absenders zu löschen. Auf keinen Fall sollte auf eingebettete Webadressen geklickt werden, ohne diese vorher zu prüfen. Ferner und mindestens ebenso wichtig sind regelmäßige Aktualisierungen des Systems und der darauf befindlichen Anwendungen. Cyberkriminelle, die wie in diesem Fall bekannte Sicherheitslücken ausnutzen, haben so praktisch keine Chance. Und drittens sollten Anwender Sicherheitslösungen installieren, die Webadressen, Dateien und E-Mails bewerten und für diese Bewertung miteinander korrelieren können. Erst dadurch können nicht infizierte E-Mail-Nachrichten, die eine Webadresse enthalten und auf eine bösartige Webseite leiten, aussortiert werden, bevor sie den Empfänger erreichen.

Weitere Informationen zum Thema unter:

blog.trendmicro.de
Kompromittierte WordPress-Sites führen zu Blackhole Exploit Kit

Auf der Sicherheitskonferenz „Black Hat“ in Las Vegas sei eine interessante Studie vorgestellt worden – gut eine Million Websites seien mit der Software „Blind Elephant“ untersucht worden, meldete WordPress Deutschland am 03.08.2010:
100 Prozent aller Websites mit phpBB enthielten kritische Sicherheitslücken, aber bei WordPress seien es nur vier Prozent.

Quelle: WordPress Deutschland, 03.08.2010
Originalartikel unter: WordPress vergleichsweise sicher

Weitere Informationen zum Thema:

perun.net, 04.08.2010
WordPress sicherer als vermutet

Netzgeist V3.1, 03.08.2010
Schwere Sicherheitsmängel in Web-Applikationen

Qualys Community, 29.07.2010
BlindElephant – BlackHatUSA2010 – Slides (Version 2)