Kostenpflichtige Bausätze zum Erstellen von Malware-Mustern oder gefakten Webseiten kursieren schon seit einiger Zeit im Internet. Doch nun haben die Experten in den Panda Security Laboren mehrere Kits für Phishing-Angriffe entdeckt, die kostenfrei erhältlich sind. Mit diesen Tools können Kunden von Banken ausspioniert, E-Mail Accounts von GMail oder Yahoo! geknackt sowie Passwörter für Online-Spiele (Xbox) und Zugangsdaten für Blogs (Fotoblog) in die Hände von Kriminellen gelangen.
Luis Corrons, Technischer Direktor der PandaLabs, zeigt sich angesichts dieser Entwicklung besorgt: „Wirklich erstaunt hat uns, dass diese Phishing-Kits kostenfrei verfügbar sind. Da solche Tools einfach zu bedienen sind, werden sie auch immer öfter eingesetzt, was dazu beiträgt, dass Phishing-Attacken weiter zunehmen und das Risiko sowohl für einzelne Computer-Nutzer als auch für Unternehmen Opfer eines Phishing-Angriffs zu werden steigt. Einer Gartner Studie zufolge haben allein in den USA im Jahr 2007 Computer-Nutzer einen finanziellen Schaden von insgesamt 3,2 Milliarden Dollar erlitten.“
Auf der entsprechenden Internetseite entscheidet sich der Nutzer für den Phishing-Bausatz seiner Wahl und kann anschließend zwei Dateien herunterladen: Mit der ersten lassen sich schädliche Mails erstellen, die den Anschein erwecken von Online-Banken oder E-Commerce Plattformen zu stammen. Die zweite Datei dient der Erstellung betrügerischer Webseiten, die den Internetauftritten renommierter E-Commerce Unternehmen gleichen.
Zusätzlich zu den beiden Dateien, aus denen das Phishing-Konstruktions-Set besteht, wird noch ein PHP Programm zum Versendem der E-Mails kostenfrei angeboten. Der weitere Vorgang gehört zur typischen Phishing-Routine: Die gefälschte Nachricht inklusive Link zur manipulierten Webseite wird an verschiedene E-Mail Adressen versendet. Auf der gefälschten Seite werden User dazu aufgefordert, die für den Kriminellen interessanten Daten einzugeben.
„Die benötigten Adressen-Listen sind im Internet zu finden – einige sogar gratis. Es wird also immer einfacher und günstiger, in diesem Fall sogar komplett kostenfrei, einen Phishing-Angriff zu starten“, so Corrons.
Die gestohlenen Daten werden als TXT Dateien auf einem Server gesammelt oder als E-Mail übermittelt.