07.09.2021 - Das NCSC verzeichnete für die vergangene Woche einen mittleren Meldeeingang. Beschäftigt hat das NCSC die Wiederauferstehung von gelöscht geglaubten Webseiten. Und auch eine bereits bekannte Erpressung mit gelöschten Datenbanken wurde erneut gemeldet.
Auferstandene Websites machen Werbung für Online-Casinos
Letzte Woche gingen beim NCSC gleich zwei Hinweise mit einem ähnlichen Sachverhalt ein. Beide Male ging es um Domänennamen, also um die Internet-Adresse der Website, sowie um den dazugehörigen Webseitenauftritt, welcher durch den ursprünglichen Besitzer aufgegeben und gelöscht wurde. Dieser Webauftritt wurden aber dann plötzlich mit dem ursprünglichen Inhalt und der ursprünglichen Domäne wieder aufgeschaltet. Einziger feststellbarer Unterschied war, dass die auferstandenen Websites nun mehr oder weniger dezent auch noch Werbung für Online-Casinos machten, welche in der Schweiz verboten sind.
Das Phänomen ist dem NCSC bereits aus älteren Fällen bekannt. Vielfach werden hierzu Websites missbraucht, welche zwar über einen kleinen, aber dennoch für Angreifer interessanten Besucherkreis verfügen. Dabei wird vom Angreifer das von der originalen Website aufgebaute Ranking in den Suchmaschinen ausgenutzt. Falls ein entsprechender Suchbegriff eingegeben wird, taucht dann nicht die ursprüngliche, sondern eben die wiederauferstandene, vom Angreifer neu gelöste Domäne und deren Inhalte an der alten Position auf. Für den Angreifer sind dann auch vor allem diejenigen Websites lukrativ, welche mit einem bestimmten Suchbegriff als erste Treffer bei den Suchmaschinen erscheinen. Die alten Inhalte der Websites holen die Angreifer aus sogenannten Archivdiensten, welche frühere Versionen von Websites speichern und zugänglich machen – das Internet vergisst ja bekanntlich nichts. Im Visier sind dabei sowohl Firmen, als auch private Webseiten. Aber auch Vereins- und Gemeinde-Websites, welche beispielsweise nach einer Fusion nicht mehr benötigt werden, sind beliebte Ziele.
Neben der beobachteten Werbung für Online-Casinos, werden auf aufgegebenen Domänen häufig betrügerische Webshops eingerichtet. Es scheint sich für einen Angreifer somit zu lohnen, für ein entsprechendes Ranking in den Suchmaschinen die kleine Gebühr für die Registrierung einer ausgedienten Website zu bezahlen und diese zum eigenen Zweck zu reaktivieren.
- Seien Sie sich bewusst, dass eine aufgegebene Domäne (der registrierte Name der Webseite) von anderen reserviert und allenfalls betrügerisch verwendet werden kann.
- Falls Sie eine Domäne aufgeben wollen, prüfen Sie, ob diese ein gewisses Ranking in den Suchmaschinen erreicht. Falls Sie die Domäne noch einige Zeit behalten, aber sich kein Inhalt mehr darauf befindet, verliert diese automatisch ihr Ranking und wird dadurch unattraktiv.
Online verfügbare Datenbank gelöscht
Letzte Woche erhielt das NCSC eine Meldung über einen Angriff auf eine vom Internet her zugängliche Datenbank, welche von Betrügern gelöscht wurde. An deren Stelle wurde ein Erpresserschreiben hinterlegt mit der Drohung, den Vorfall den Datenschutzbehörden zu melden, falls nicht 0.02 Bitcoin bezahlt würden. Es seien nämlich in den Datenbanken Personendaten gefunden wurden und diese seien nach dem Datenschutzgesetz widerrechtlich öffentlich zugänglich gewesen. Es drohe daher eine Strafanzeige. Aus den vorliegenden Logdaten geht allerdings hervor, dass die Datenbank nicht kopiert respektive gelesen, sondern lediglich gelöscht wurde. Es dürfte sich deshalb um einen Bluff handeln
Diese Masche wird von Angreifern offenbar seit 2016 verwendet und betrifft vor allem MongoDB-Installationen, welche über das Netz zugänglich sind. Letztes Jahr wurden weltweit über 23'000 derartige Vorfälle bekannt.
- Prüfen Sie, ob Ihre Datenbank über das Internet zugänglich sein muss.
- Schützen Sie die Datenbank mit einer Firewall und lassen Sie nur die absolut notwendigsten Netzwerk-Ports offen. Schränken Sie die Services auf das absolute Minimum ein.
- Richten Sie eine starke Authentisierung ein, beispielsweise mit einem zweiten Faktor.
- Bezahlen Sie nie Geld an Erpresser.
Aktuelle Statistiken
Letzte Änderung 07.09.2021