AVG, AVIRA & WhatsApp: Opfer einer Spear Phishing-Attacke?

Kaum hatten wir unseren Beitrag zum DNS-Hijacking-Vorfall gegen LeaseWeb gepostet, erreichte uns die Nachricht, dass noch weitere High Profile-Webseiten durch das KdmsTeam “entführt” wurden:

“It appears that our account used to manage the DNS records registered at Network Solutions has received a fake password-reset request not being initiated by anyone at Avira,” Sorin Mustaca explained. “Network Solutions appears to have honored this request and allowed a 3rd party to assume control of our DNS. Using the new credentials the cybercriminals have been able to change the entries to point to their DNS servers.” – via Softpedia

Der Söldner-Truppe ist es demnach über eine “Spear Phishing”-Attacke gelungen, Mitarbeitern der Network Solutions zu einem Passwort-Reset zu bewegen, und so Zugriff auf die Domain-Einstellungen der Unternehmenspräsenzen von AVG, AVIRA & WhatsApp zu erlangen. Ob Kdms die Webseiten des Statistikdiensts Alexa.com, der Erotikseite RedTube und des Hoster LeaseWeb ebenfalls so übernommen hat, ist unklar.

Dieser Fehler hätte weitreichendere Folgen haben können!

Hat man das DNS einer Domain erstmal unter seine Kontrolle gebracht, kann man jede x-beliebige Subdomain “umlenken” und mit eigenem Content befüllen. Die Hackergruppe KDMS hat sich für eine politische Botschaft entschieden: “Palestinian people has the right to live in peace”, schreiben die Hacker. “We want to tell you that there is a land called Palestine on the this earth. This land has been stolen by Zionist. Do you know it?” und damit eigentlich eine recht harmlose Variante gewählt.

Angenommen Hacker hätten Server ersetzt, die für die Authentifizierung am Messengerdienst “WhatsApp” oder für Signatur-Updates der Antiviren-Hersteller AVG oder AVIRA eingesetzt würden, dann wäre im Falle von WhatsApp’s eine “Phishing-Attacke ohne Phishing-Kampagne” möglich gewesen, und bei den AV-Produkt-Anbietern rein-theoretisch eine “Masseninfektion durch Signatur-Update”.

Spear-Phishing – was ist das?

Spear-Phishing (“Speer-Fischen”) ist ein verfeinertes Phishing mit einem gezielteren persönlichen Ansatz. Bei diesem Phishing-Ansatz kann der Spear-Phisher das Vertrauen zu seiner Zielperson aufbauen. In der folgenden Phase senden sie dem Opfer E-Mails und entwickeln dabei alle erdenklichen Szenarien, mit der Bitte, ihnen kurzfristig persönliche Daten zu übermitteln. Die Betrugs-Kreativität der Spear-Phisher entwickelt dabei ständig verfeinerte Modelle.

Bleiben Sie auf dem Laufenden: Folgen Sie dem Autor & uns auf Twitter / Facebook. 

1 thought on “AVG, AVIRA & WhatsApp: Opfer einer Spear Phishing-Attacke?”

  1. imho typische grätsche zwischen kundenauthentifizierung und kundenservice, bzw. transparenz warum wie weshalb div. mechanismen für den auth am telefon notwendig sind. Einen Aufwand ala TAN will ja keiner Treiben.

Kommentare sind geschlossen.