Schon öfter in der Vergangenheit haben Cyberkriminelle Webseiten kopiert um zum Beispiel über diese optisch identischen Seiten ahnunglose Websurfer zur Eingabe ihrer Account-Daten zu bringen. Insbesondere Webseiten von Banken oder Kreditkarteninstituten waren davon betroffen. In der letzten Woche haben sich die Angreifer aber neue beunruhigende Ziele ausgesucht und exakte Kopien von Webseiten zum Thema Internet- und Computersicherheit erstellt. Dabei wurden Proxies, DNS-Spoofing oder DNS-Umleitungen und Denial-of-Service (DDoS) Methoden benutzt.

Das solche Webseiten Ziele von Angriffe werden, sollte nicht verwundern. Normalerweise sieht man bei diesen alltäglichen Attacken die üblichen Spam-Wellen oder völlig normale Hack-Versuche um Administratorrechte für Logins auf diesen Seiten zu bekommen. In seltenen Fällen kommen auch DDoS-Angriffe dazu.

Aber in der letzten Woche wurden durch Zufall massive Clone Ansätze entdeckt. Zuerst fing es mit dem Fun einer genauen Kopie der HostExploit Webseite an. Bei weiteren Untersuchungen stellte sich dann aber heraus das dies kein Einzelfall war. Auf einem Server fanden sich zum Beispiel Kopien von mehreren Sicherheitsseiten wie Avertlabs (McAfee), SANS Internet Storm Center, Milw0rm, Nmap, Packet Storm Security, Secunia, Security Focus, The Dark Visitor, IBM Internet Security und X-Force.

Allein diese Webseitenkopien sind schon beunruhigend genug in Bezug und können viel Schaden anrichten, da die oben genannten Webseiten relativ hochfrequentierte Seiten sind und viele Nutzer nicht zwischen Original und Fälschung unterscheiden können. Eine weitere Sache aber wirft ein anderes Problem auf. Wie berichtet gab es fast gleichzeitig zum Auffinden dieser Kopien DDoS-Angriffe auf einige der gelisteten Seiten. Einige der betroffenen Seiten waren während dieser Zeit stark überlastet oder komplett nicht verfügbar. Ob es einen Zusammenhang zwischen den DDoS-Angriffen und dem Auftauchen der Kopien gab oder es reiner Zufall war ist reine Spekulation, liegt aber nicht fernab jeder Möglichkeiten.

Die Angriffe kamen unter anderen aus Netzen aus Polen, Rumänien, Russland und der Türkei und die viele dieser attackierenden Server sind bekannt als Spam-Schleudern oder Hoster von Exploits.

Was die Angriffe nun so beunruhigend macht, ist die Tatsache, dass bei geschickterer Ausführung Nutzer auf Fake-Seiten gelenkt werden könnten und sie dort Fehlinformationen finden oder sich im schlimmeren Fall Malware einfangen könnten. Glücklicherweise konnten die Angriffe recht erfolgreich angefangen werden und die Server mit den Kopien der Webseiten sind inzwischen auch vom Netz genommen worden.

(via HostExploit)