Das FBI hat den Hosting-Dienstleister Megaupload aus dem Verkehr gezogen – und mit der Site auch gleich dessen Macher, den schillernden Kim Schmitz. Ich will die Rechtmäßigkeit der Aktion ebenso wenig beurteilen wie ich mich über Schmitz äußern will. Dazu fehlen mir einfach zu viele Hintergrundinformationen.

Was ich aber mit Bestimmtheit vermelden kann ist, dass sich Kriminelle diesen Umstand zu Nutze machen, um auf die ehemaligen Megaupload-Nutzer zu zielen. Dabei machen sie sich eine Technik namens Typosquatting zu Nutze: Die Betrüger registrieren eine Reihe von Domains, die der eigentlichen Ziel-Domain ähneln. Wer sich bei einem Buchstaben verschreibt (wikipwdia.de anstatt wikipedia.de), der landet nicht beim echten Web-Nachschlagewerk, sondern auf einer gefälschten Seite, die möglicherweise Schwachstellen im Browser des Nutzers per Drive-by-Attacke angreiftt. Die Sicherheitsexperten von Websense haben dazu einen interessanten Blogeintrag geschrieben, der diese Attacken genauer beleuchtet.

Zurück zu Megaupload: Wie die Sicherheitsforscher von GFI erklären, versuchen es Kriminelle mit einem besonders perfiden Trick. Statt einen Buchstaben in Megaupload zu verdrehen, haben sie die komplette Domain in Kamerun registriert. Dieses Land besitzt die Top-Level-Domain „.cm“. Die gefälschte URL lautet also „megaupload.cm“ – eine Verwechslung mit der ursprünglichen Adresse megaupload.com ist hier schnell passiert. Die Typosquatter haben die Domain bereits 2009 registriert, dürften aber durch die Beschlagnahme der eigentlichen Seite neuen Traffic erhalten haben. Aktuell werden Anwender beim Aufruf der CM-Domain auf ein externes Gewinnspiel weitergeleitet – bei dem man angesichts der dubiosen Umstände besser nicht mitmacht.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.