Die wahl des Titels fiel mir ausnahmsweise einmal sehr schwer, bis eben sollte er noch ITler vs. Script Kiddie heissen. Aber “Ausgephisht” passt da doch besser. Einer unserer Kunden und zudem Betreiber eines recht bekannten WEB 2.0 Portals hat zur Zeit mit einer, zugegeben schlecht gemachten, Phishing Seite für die Portal Accounts zu kämpfen. Das der Rechtsweg doch sehr sehr lange dauern kann wenn das nicht in Deutschland liegt kam da gestern doch eine Idee:
Die Seite wurde mit entsprechenden Accountdaten von Müllaccounts gefüttert. Da ich diesem Script Kiddie keinen hohen Einfallsreichtum zugestehe wird er nun soviele Accountdaten haben das er mit den ganzen Daten nichts mehr anfangen kann. Die ganze Aktion wurde natürlich vorsichtig ausgeführt um dem Hoster hinter der Sache der zu 99% keine Ahnung von dem Treiben seines Kunden hat keinen Schaden zuzufügen, es war also weder Bruteforce noch DoS, die Daten wurden mit einiger Zeit pro Anfrage eingeworfen. Der Hauptgrund dieser Aktion war möglichst schnell Schaden von den Nutzern des genannten Portals abzuwenden.
Generell sollte man mal überlegen ob das denn nicht auch bei Online Banking Phishing eine gute Strategie ist, dem “Angreifer” einfach so viel Müll zuzuwerfen das er mit den Daten nichts mehr anfangen kann, ganz besonders da eine Rechtliche Verfolgung immer sehr schwierig und langwierig ist.
Bevor noch die Frage auftaucht warum ich ihn (oder sie . . ) Script Kiddie nenne: Mit 99% Wahrscheinlichkeit hat sich die Person in Stundenlanger Kleinarbeit per Bruteforce versucht an die Zugangsdaten des FTP Zugangs zu kommen.