Cybercrime: Gehackt und geklont

Internetkrimininalität nimmt laufend zu. Jetzt werden sogar komplette Webseiten geklont – Erfahrungen, die auch Unsere Zeitung machen musste. Doch die kann sich wehren.

Von R. Manoutschehri & F. Fuchsbauer

Während die Kriminalitätsrate im deutschsprachigen Mitteleuropa von Jahr zu Jahr sinkt, steigt ein Bereich zu immer neuen „Rekorden“ auf – die Cyberkriminalität.

Internet-Betrugsdelikte, Hacking zum Ausspähen von Daten, Identitätsdiebstahl und Urheberrechtsverletzungen sowie Cyber-Mobbing nehmen rapide zu. Laut dem letzten Cybercrime-Lagebericht des Bundeskriminalamts im September 2019 stieg die Internetkriminalität in Österreich um knapp 51 Prozent gegenüber dem Vorjahr.

Fake-Seiten und -Shops, die zwar aussehen, wie echt, aber lediglich auf Abzocke aus sind oder lediglich zur Verbreitung von Desinformation und/oder Schadsoftware und Trojanern dienen, schießen wie Pilze aus dem digitalem Boden des Web. Und die Palette reicht noch viel weiter – bis ins Dark-Web, wo es alles zu kaufen gibt, was Gott und die Welt aus gutem Grund verboten hat.

2019 haben Cyberangriffe mit Verschlüsselungstrojanern weltweit für beträchtlichen Schaden gesorgt und die Anzahl vom Nutzer unbemerkt mit Schadsoftware infizierter Rechner, die professionellen Bot-Netzwerken dienen, hat sich zu einer herausragenden Bedrohung entwickelt, wie Sicherheitsexperten warnen.

Scheinbar sinkt die Hemmschwelle zur Begehung von Straftaten durch die räumliche Distanz zu den Opfern und der zumindest vermeintlichen Anonymität hinter dem eigenen Bildschirm. Anonymisierungsdienste, Verschlüsselungstechnologien, Zahlungen mittels Kryptowährungen und das einfache Anlegen von Fake-Accounts und -Identitäten auf Social Media erschweren oder verunmöglichen eine Strafverfolgung oftmals, was die Täter offenbar zu immer dreisterer Vorgehensweise ermutigt.

Content-Klau im großen Stil: Das Klonen kompletter Webseiten

Neben den hinreichend bekannten Delikten dürfte sich auch eine weitere Form des Identidätsdiebstahls zunehmend verbreiten – nämlich das Klonen ganzer Seiten und Blogs und die Wiederveröffentlichung dieser Inhalte unter einem anderen Namen oder Internetadresse.

Besonders „beliebtes“ Angriffsziel dürften dabei in jüngster Zeit Webseiten sein, die mit WordPress gestaltet wurden. Beim Klonen wird nicht nur vielfach gegen Urheberrechte verstoßen, sondern quasi gleich gegen das halbe Gesetzbuch.

Denn wenn etwa ein ganzes Magazin, eine Vereins- oder Unternehmensseite gekapert und gespiegelt wird, lässt sich dort nach Lust und Laune alles manipulieren, um ahnungslose Opfer in vielfältige Fallen zu locken. Wer die gestohlenen Daten „nur“ dazu benutzt, um Werbung einzublenden und – mit geänderten Kontodaten – ungerechtfertigte Provisionen von Affiliate-Netzwerken zu kassieren, ist da fast noch als „harmlos“ zu bezeichnen.

Neben der Möglichkeit, weitere Kundendaten „abzuziehen“ oder massenhafte Spammails zu versenden, werden nämlich auch gerne Pishingsoftware und Trojaner in diesen Seiten versteckt, die ‪den Rechner des Lesers über das Ausnutzen von Sicherheitslücken schon beim bloßen Öffnen der Seite infizieren können‬. Man muss also gar nicht erst Bilder oder Links anklicken, um sich bishin zum Keylogger, der alles mitliest, was man schreibt, einzufangen.

Und wer jeweils wirklich dahintersteckt, bzw. wie solche Attacken abzuwehren und aufzuklären sind, ist ein schwieriges und für die Opfer zumeist unerfreulich ergebnisloses Unterfangen …

Auch Unsere Zeitung wurde geklont

IT-Experte Franz Fuchsbauer erzählt aus eigener Erfahrung: „Vor ein paar Tagen ist uns aufgefallen, dass die Website von www.unsere-zeitung.at gespiegelt wurde auf „persanana.ml“. Die gespiegelte Seite entsprach (nach kurzer Analyse) 1:1 dem Inhalt von Unsere Zeitung. Außer, dass die Email Adresse im Impressum verändert wurde, konnten wir keine Änderungen feststellen.

Anfangs dachte ich, der Content wird regelmäßig über einen webcrawler gespiegelt. Deswegen habe ich zu Beginn nach mir unbekannten HTTP Agents im nginx Logfile gesucht aber nichts auffälliges gefunden.

Nachdem die Änderungen von www.unsere-zeitung.at sofort auf der gespiegelten Seite verfügbar waren, bin ich drauf gekommen, dass offenbar ein Proxy zum Einsatz kommt, da auch mein HTTP User Agent String 1:1 weiter gegeben wird. Dh. jeder Aufruf der gespiegelten Seite wird sofort 1:1 an den Server von www.unsere-zeitung.at weitergereicht und dann wird im Quellcode nur die Domain „unsere-zeitung.at“ durch „persanana.ml“ ersetzt.“

Die Sicherheitsbehörden empfehlen jedenfalls allen Opfern, beweissichernde Screenshots zu machen und den Betrug bei den Internet-Providern der Klonseite zu melden, sowie polizeilich anzeigen, nicht zuletzt auch um sich gegen ev. Forderungen Dritter abzusichern. Die Meldestelle für Internetkriminalität ist unter dieser E-Mail erreichbar: against-cybercrime@bmi.gv.at

Franz Fuchsbauer jedoch kam auch noch auf andere Methoden, um sich gegen die Klone zu wehren.

Spaß mit Content Dieben – die „böse Katze“

„Wir jedenfalls wollten das nicht einfach so auf uns sitzen lassen und haben Gegenmaßnahmen eingeleitet“, erzählt Fuchsbauer weiter. „Es gibt ein WordPress Plugin das eine solche Spiegelung erkennt und wieder auf das Original redirected. Und das Plugin tut auch genau das, was es soll. Es zeigt auf der gespiegelten Domain kurz einen Text an und macht dann sofort eine Weiterleitung auf das Original.

Aber das ist nicht so lustig, habe ich gefunden. Deswegen hab ich in WordPress noch eine Anpassung gemacht, um heraus zu finden, von welcher IP Adresse die Spiegelung kommt. Dazu habe ich im WordPress root Verzeichnis die Datei index.php ganz unten ergänzt mit:

echo "<span style=\"display:none\">".$_SERVER["REMOTE_ADDR"]."</span>";

Damit wird im Quellcode immer die  IP Adresse des aufrufenden Clients ausgegeben. Auf „https://persanana.ml/“ brauchte ich dann nur in den Quellcode zu sehen um die IP Adresse des Diebes zu finden.

Dann habe ich im root Folder von WordPress noch die Datei „fake.html“ angelegt mit diesem Content:

<html>
<body>Ich bin eine b&ouml;se Katze - ich klaue Content!
<br/>
<img src="/cat.jpg"/>
</body>
</html>

Und das Kätzchen Bild als cat.jpg auch dort abgelegt. Anschließend musste ich nochmal die index.php anpassen. Ganz oben habe ich eingefügt:

if($_SERVER["REMOTE_ADDR"] == "5.61.57.17") {
     include("fake.html");
     exit();
}

Fertig.

Wenn man jetzt also https://persanana.ml aufruft, kommt kein „Unsere Zeitung“ Content mehr, sondern eine „böse Katze“ mit dem Hinweis „Ich klaue Content“ (zumindest bis zum nächsten WordPress Update).

Artikel teilen/drucken:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.