Von Geldeseln und Cyber-Kriminellen
27.10.2008
Das Geld, das Banken und ihre Kunden nicht selbst in riskante Anlagen stecken, ist zunehmend von Online-Kriminellen bedroht. Zu diesem Fazit kommt Roel Schouwenberg, Senior Research Engineer beim russischen Sicherheitsexperten Kaspersky Lab in seiner Analyse "Angriffe auf Banken und deren Kunden".
Schouwenberg nennt die üblichen Hilfsmittel der Betrüger, die da heißen, Social Engineering, Phishing und Trojan-Downloader und analysiert deren Einsatz. Der Trend gehe dabei in Richtung Spezialisierung: Statt universeller Schadprogramme entwickeln die Angreifer maßgeschneiderte Lösungen für eine bestimmte Bank einer Region. Ideales Ziel sind Banken mit großem Kundenstamm und schwachen Sicherheitsvorkehrungen. "Banken, die eine Ein-Faktor-Authentifizierung verwenden, etwa einen statischen Benutzernamen mit Passwort, sind schon durch relativ einfach gestrickte Attacken angreifbar", erläutert der Experte.
Als bevorzugter Transportweg hat sich inzwischen das Internet durchgesetzt. Die Verschickung von Schadprogrammen per Mail sei rückläufig. Das habe mehrere Gründe, einer davon ist die größere Gefahr der Entdeckung im Postfach, ein anderer besteht im Vorteil des auf einem Server gehosteten Schädling, der - bleibt er unentdeckt - bei Bedarf modifiziert werden kann. "Ein Drive-by-Download unter Verwendung von Exploits ist deshalb ganz sicher eine bevorzugte Infektionsmethode" folgert Schouwenberg. Doch auch die Phishing-Angriffe sind nicht aus der Mode gekommen. Es gäbe immer noch zu viele Benutzer, die über diese Methode nicht informiert seien.
Der sichere Abtransport der Beute ist ebenfalls ein großes Feld. Die Akquise von so genannten Money-Mules geht dabei mit der Verbreitung der Finanzschädlinge einher: Über "Stellenangebote" geködert, mache dieser Geldesel sein Konto für Transaktionen zugänglich und überweise zwischen 85 und 90 Prozent des erhaltenen Geldes mit Diensten wie MoneyGram und E-Gold an die Online-Kriminellen, schreibt Schouwenberg. Indem Kriminelle mit mehreren Money-Mules zusammenarbeiten, lassen sich Beträge aufteilen und anstelle einer Transaktion von 50.000 Dollar zehn unverdächtigeren Zahlungen von jeweils 5.000 Dollar in Auftrag geben. Die komplette Analyse von Schouwensberg ist online nachzulesen.
(Ulrich Bantle)
| Whitepaper |
|---|
|
Mythos und Wahrheit über Open-Source-Sicherheit
Ist es riskant, Open-Source-Software in geschäftskritischen Infrastrukturen einzusetzen? Warum sollten wir für einen Open-Source-Anbieter zahlen, wenn es sich doch um "freie" Software handelt? Bedeutet der Wechsel zu Open Source, dass die Komplexität der IT-Infrastruktur zunimmt? Dieses Whitepaper von Astaro räumt mit Mythen über Open-Source-Sicherheit auf.
Download PDF (Registrierung erforderlich)
|
|
Service Level Agreements - Der Unterschied liegt im Kleingedruckten
Wenn es um die Verfügbarkeit von Hostingprodukten geht, scheidet sich die Spreu vom Weizen unter den Internet Providern. Wer wissen will, wie verfügbar sein Hostingprodukt wirklich ist, sollte daher die Service Level Agreements seines Providers genauer studieren.
Download PDF (Registrierung erforderlich)
|
|
SWSoft
Dieses SWsoft White Paper soll Ihnen als eine Entscheidungshilfe bei der Auswahl einer Servervirtualisierungslösung dienen. Es gibt einen Überblick über die drei typischen Virtualisierungstechnologien die heute verfügbar sind: Hardware-Virtualisierung, Para-Virtualisierung und Betriebssystem-(OS)-Virtualisierung. Erläutert werden die grundlegenden Konzepte der verschiedenen Ansätze. In einer ausführlichen Übersicht finden Sie die zehn Hauptüberlegungen, die Sie in Betracht ziehen sollten, wenn die Entscheidung für die Einführung und Nutzung einer Virtualisierungstechnologie im Unternehmen ansteht. Im praktischen Arbeitsblatt können Sie abschliessend die für Sie wichtigen Faktoren zusammenfassen und so auf einen Blick die verschiedenen Lösungen vergleichen bzw. Funktionalitäten bewerten.
|
|
