Vorsicht
20.01.2015, 11:32 Uhr
Tool vereinfacht E-Bankraub
Auf einer Hehler- und Schmuggler-Site ist derzeit ein Tool zu haben, mit dem Bankkonten geplündert und Kreditkartenbetrügereien vereinfacht werden können. Es hebelt nämlich ein bewährtes Mittel zur Fraud-Detection aus - das «Fingerprinting».
Webbrowser liefern eine Menge Informationen an die Seite, welche sie ansurfen, so etwa Name und Version des Betriebssystem, Zeitzone, Sprachvoreinstellungen und eine Liste verwendeter Plugins. Online-Banking-Systeme verwenden diesen «Fingerabdruck», den der Browser so hinterlässt, unter anderen Parametern wie der IP-Adresse des Anwenders, um ihre System vor Betrügern zu schützen.
Seit Kurzem steht aber auf Evolution, eine Nachfolgeplattform des Hehler-Verbunds Silk Road, mit FraudFox VM ein Tool zum Verkauf, mit dem Hacker ihrem Browser einen beliebigen Fingerabdruck geben und so Fraud-Detection-Systeme aushebeln können. Die Software ist eine spezielle Version von Windows mit einer stark veränderten Ausgabe von Firefox, die in den beiden virtuellen Umgebungen Workstation für Windows und Fusion für OSX lauffähig sind. Der Kostenpunkt für den Fingerprint-Simulator liegt bei 1,8 Bitcoins. Das entspricht gut 400 Dollar.
###BILD_49218_fullwidth###
Fraudfox vereinfacht Angriffe auf Online-Banken, in dem es mehrere bereits bekannte Hackertechniken in einem Tool zusammenfasst. Schlussendlich ist es dem Anwender möglich, den Browser eines Opfers zu imitieren, mit der Absicht, dessen Konto zu plündern oder in dessen Namen Kreditkartentransfers zu autorisieren.
Und dass Fraudfox anscheinend Betrügern das Handwerk erleichtert, zeigen die Kommentare und Bewertungen des Tools auf Evolution. So schreibt ein «Anwender», er habe Fraudfox dazu verwendet, die Sicherheitsmechanismen «Verified» und «Securecode» der Kreditkartenunternehmen Visa und Mastercard auszuhebeln und dabei eine höhere Erfolgsrate festgestellt als bisher. «Ich bin sehr zufrieden mit diesem Produkt und werde es mir bald zutun», schlussfolgert die Person, welche sich auf der dunklen Plattform als «Coin» ausgibt.
Wie wirkungsvoll Fraudfox schlussendlich ist, hänge wohl auch vom Dienst ab, gegen den das Tool angewendet werde, gibt Ken Westin von der Security-Firma Tripwire zu Bedenken. So sei es noch unklar, wie das Werkzeug mit der IP-Adresse des Anwenders umgehe. Denn ein wichtiger Baustein vieler Fraud-Detection-Systeme sei es, abzuklären, ob diese über das Anonymisiernetzwerk Tor oder über andere Proxy-Server geschlauft würden. «Es wird interessant werden zu sehen, wenn man Fraudfox gegen bestehende Fraud-Detection-Systeme in Live-Test antreten lässt», meint er.
Mehr Bedenken gegenüber Fraudfox äussert Avivah Litan, Security-Spezialistin für den Bereich Bezahldienste bei Gartner. Ihr zufolge braucht fast jede Firma, die sensible Online-Transaktionen vornimmt, Browser-Fingerprinting als Teil ihrer Schutzmassnahmen. «Wir lassen unsere Kunden immer wissen, dass sie sich nicht auf dieses Verfahren verlassen sollten», meint sie. «Tools wie Fraudfox werden dazu führen, dass Fingerprinting als Methode bald dem Tode geweiht ist», ist sie überzeugt.
Seit Kurzem steht aber auf Evolution, eine Nachfolgeplattform des Hehler-Verbunds Silk Road, mit FraudFox VM ein Tool zum Verkauf, mit dem Hacker ihrem Browser einen beliebigen Fingerabdruck geben und so Fraud-Detection-Systeme aushebeln können. Die Software ist eine spezielle Version von Windows mit einer stark veränderten Ausgabe von Firefox, die in den beiden virtuellen Umgebungen Workstation für Windows und Fusion für OSX lauffähig sind. Der Kostenpunkt für den Fingerprint-Simulator liegt bei 1,8 Bitcoins. Das entspricht gut 400 Dollar.
###BILD_49218_fullwidth###
Fraudfox vereinfacht Angriffe auf Online-Banken, in dem es mehrere bereits bekannte Hackertechniken in einem Tool zusammenfasst. Schlussendlich ist es dem Anwender möglich, den Browser eines Opfers zu imitieren, mit der Absicht, dessen Konto zu plündern oder in dessen Namen Kreditkartentransfers zu autorisieren.
Und dass Fraudfox anscheinend Betrügern das Handwerk erleichtert, zeigen die Kommentare und Bewertungen des Tools auf Evolution. So schreibt ein «Anwender», er habe Fraudfox dazu verwendet, die Sicherheitsmechanismen «Verified» und «Securecode» der Kreditkartenunternehmen Visa und Mastercard auszuhebeln und dabei eine höhere Erfolgsrate festgestellt als bisher. «Ich bin sehr zufrieden mit diesem Produkt und werde es mir bald zutun», schlussfolgert die Person, welche sich auf der dunklen Plattform als «Coin» ausgibt.
Wie wirkungsvoll Fraudfox schlussendlich ist, hänge wohl auch vom Dienst ab, gegen den das Tool angewendet werde, gibt Ken Westin von der Security-Firma Tripwire zu Bedenken. So sei es noch unklar, wie das Werkzeug mit der IP-Adresse des Anwenders umgehe. Denn ein wichtiger Baustein vieler Fraud-Detection-Systeme sei es, abzuklären, ob diese über das Anonymisiernetzwerk Tor oder über andere Proxy-Server geschlauft würden. «Es wird interessant werden zu sehen, wenn man Fraudfox gegen bestehende Fraud-Detection-Systeme in Live-Test antreten lässt», meint er.
Mehr Bedenken gegenüber Fraudfox äussert Avivah Litan, Security-Spezialistin für den Bereich Bezahldienste bei Gartner. Ihr zufolge braucht fast jede Firma, die sensible Online-Transaktionen vornimmt, Browser-Fingerprinting als Teil ihrer Schutzmassnahmen. «Wir lassen unsere Kunden immer wissen, dass sie sich nicht auf dieses Verfahren verlassen sollten», meint sie. «Tools wie Fraudfox werden dazu führen, dass Fingerprinting als Methode bald dem Tode geweiht ist», ist sie überzeugt.