Wer oder was ist Rock Phish?

Hinter einem großen Teil der Phishing-Angriffe auf Banken und deren Kunden stecken wahrscheinlich stets dieselben Täter. Über Rock Phish ist nur wenig bekannt, die Täter arbeiten jedoch mit immer wieder neuen Tricks.

Das so genannte "Rock Phish Kit"ist ein Bausatz für Phishing-Websites, mit dem auf ein und demselben Webserver etliche gefälschte Banken-Websites betrieben werden können. Es kann recht schnell und mit wenigen Anpassungen auf immer wieder neuen Servern installiert und in Betrieb genommen werden. Mit einer neuen Welle von Phishing-Mails werden dann die Links zu den nachgeahmten Banken-Websites Spam-artig verbreitet.

Darüber, wer hinter dem Rock-Phish-Kit steckt, ist kaum etwas bekannt. Vermutlich handelt es sich nicht um eine einzelne Person, sondern um eine mehr oder minder organisierte Gruppe. Diese Täter sollen nach Schätzungen von Sicherheitsfachleuten für ein Drittel bis die Hälfte aller Phishing-Angriffe weltweit verantwortlich sein.

Die ersten Versionen des Rock-Phish-Kits lieferten den Grund für dessen Namen, denn die gefälschten Webseiten waren stets in einem Unterverzeichnis namens "rock" abgelegt. In späteren Version wurde dies auf "r1" oder auch "r11" abgeändert, aktuelle Versionen arbeiten nicht mit solch einheitlichen Verzeichnisnamen. Der bis etwa März dieses Jahres im Rock-Phish-Kit enthaltene Javascript-Code zur Darstellung einer manipulierten Adresszeile im Internet Explorer ist seitdem ebenfalls verschwunden. Er wurde von Virenscannern zum Teil als "JS/Stealus" erkannt.

Die derzeit in Phishing-Mails enthaltenen Links enthalten scheinbar nur jeweils einmal verwendete Kennungen, die als Sub-Domain in der URL enthalten sind. So lautet der Link auf aktuelle Volksbank-Plagiate zum Beispiel "www.volksbank.de.networld.onlineid4033508.DOMAIN/kunde.html". Mit dieser neuen Masche sollen offenbar Phishing-Filter in Webbrowsern wie Firefox ausgetrickst werden, die auf Listen bekannter Phishing-Sites basieren.

Das gezeigte Beispiel legt jedoch auch nahe, wie ein solcher URL-Filter verbessert werden kann. Die Einbeziehung von IP-Adressen und so genannten "Wildcards" (Platzhaltern) würde diesen Trick der Phisher ins Leere laufen lassen. Verdächtig muss an sich schon jede URL sein, bei der nach (in diesem Beispiel) "www.volksbank.de" noch ein weiterer Punkt (wie in "www.volksbank.de.networld.") folgt.

Die Rock-Phish-Gruppe scheint jedenfalls recht innovationsfreudig zu sein. So gehören deren Mails auch zu den Vorreitern des so genannten "Image Spam", bei dem statt leicht filterbarem Text Bilddateien die Botschaft an potenzielle Opfer enthielten. Der bisherige Gesamtschaden, den Rock Phish angerichtet hat, wird auf mehr als 100 Millionen US-Dollar geschätzt. (PC-Welt/mja)