Millionen Plastik-Router starteten einen Großangriff auf Banken
Eine ganze Armee von preiswerten Routern, die immer wieder mit Sicherheitslücken auffällig werden, ist für einen Großangriff auf zwei Banken eingesetzt worden. Rund eine Million IP-Adressen wurden bei dem Versuch eingesetzt, Login-Kennungen zu Online-Banking-Accounts zu prüfen.
Besonders komplex war der ganze Angriff im Grunde nicht. Die Täter waren durch die zahlreichen gestohlenen und in der letzten Zeit veröffentlichten Nutzer-Datenbanken im Besitz einer riesigen Sammlung von Login-Kennungen. Nun wollten sie probieren, ob sie mit den jeweiligen E-Mail-Adressen und einigen sehr häufig verwendeten Passwörtern auch Zugang zu Kunden-Accounts zweier Banken erlangen können.
Hätten sie nun immer wieder entsprechende Versuche vom gleichen System aus gestartet, wären unweigerlich schon sehr früh die Systeme zur Verhinderung von Brute-Force-Attacken eingeschritten. Damit die Login-Versuche stärker danach aussehen, dass hier ein normaler Nutzer lediglich sein Passwort falsch eingegeben hat, hatten die Probeläufe ihren Ursprung bei sehr vielen unterschiedlichen IP-Adressen. Das geht aus einem entsprechenden
Bericht des Unternehmens Akamai hervor, dem die Sache mehr oder weniger durch einen glücklichen Zufall auffiel.
Infografik Ein sicheres Passwort wählen
Distributed Attacking
Insgesamt wurden demnach fast 750 Millionen Login-Versuche mit rund 220 Millionen verschiedenen E-Mail-Adressen unternommen. Um diese hinter einer großen Bandbreite an IP-Adressen zu verbergen, griffen die Angreifer auf Botnetze zurück, die sich aus gekaperten Billig-Routern zusammensetzten, wie sie Breitband-Kunden in großer Zahl von ihren Providern bereitgestellt bekommen und bei denen Schwachstellen in der Firmware nur selten durch Updates beseitigt werden. Im Konkreten handelte es sich um ein Kabelmodem des Herstellers Arris sowie einen DSL-Router von ZyXel.
Rund 90 Prozent der gesamten Angriffswelle prasselte dabei binnen weniger Tage auf die Online-Banking-Angebote zweier Banken ein. Die übrigen Kapazitäten nutzten die Täter hingegen, um zu versuchen, auch Nutzer-Accounts bei verschiedenen Angeboten aus der Entertainment- und Medienbranche zu übernehmen. Akamai-Mitarbeitern fiel der Angriff auf, weil neben den diversen Modems auch verschiedene Proxys eingesetzt wurden, deren IP-Adressen man bereits auf die Schwarze Liste gesetzt hatte.
Quelle