Phishing ist des Müllers Lust

Phishing - Digitales AngelnSie haben recht. Es war das Wandern.

Wandern ist auch viel entspannender als dieses Phishing. Ich rede nämlich nicht vom Angeln in der klassischen Form mit einer Angel und Fischen am Ende der Leine.

Es geht um die moderne Form des Angelns. Um das digitale Angeln nach Kontodaten und Zugangspassworten.

Anlass zu diesem Artikel sind die anstehenden Osterferien und die damit verbunden Versuche an Daten von Kredit- oder EC-Karten zu kommen. Die Zeit für eine Phishing-Welle ist gut gewählt, denn wer erinnert sich in ein paar Wochen noch an jeden Ort, an dem er diese Daten hinterlassen hat?


Sind die Daten am Campingplatz oder im Eiscafe kopiert worden? Oder war es sogar am Bankautomaten?

Nein. Es war diese kleine E-Mail, die kurz vor den Ferien hereinkam und die vorgab, vom eBay-Käuferschutz zu stammen. Oder es war die einen Tag danach folgende E-Mail von Amazon, die sich den anstehenden SEPA-Wechsel zu Nutze machte. Beide hatten eins gemeinsam. Sie waren gar nicht von den angegebenen Absendern.

Phishing - AmazonDie nebenstehende Email sieht doch gar nicht so ungewöhnlich aus, oder? Das normale Erkennungskriterium ist ja eigentlich das schlechte Deutsch einer solchen Mail. Selbst das ist einwandfrei. Auch der Grund scheint plausibel.

Von der SEPA-Umstellung hat dank der Nachrichten im Januar ja jeder etwas gehört. Und auch Datenschutz klingt ja toll.

Also einfach mal den Link angeklickt? NEEEEIIIIIIN!

Nehmen wir uns die Mail einmal genauer vor. Dazu müssen wir als Erstes einmal die Rohdatei ansehen. Was wir in dem Bild sehen bekommen, ist nur das, was unser Mailprogramm aus den Rohdaten interpretiert.

Phishing - RohdatenWenn man die Ansicht auf den Quelltext der Datei umstellt, sieht man folgendes Bild:

Das sind die sogenannten Headerdaten, die schon konkrete Hinweise geben.

Zu lesen ist das Ganze von unten nach oben. Da ist als erstes die Message-ID. Nicht ungewöhnlich in der Form, das ADMIN am Ende ist aber eine erste Spur. Hier findet sich normalerweise der Name des Rechners und nicht der Person.

Etwas darüber finden wir aber den interessantesten Hinweis:

Received: from Admin (localhost [127.0.0.1])
    by maildeals.bg (Postfix) with ESMTP id 5F9573E4A4B
    for <info@vico.de>; Thu,  3 Apr 2014 04:17:58 +0300 (EEST)

Das ist schon recht interessant. Der Rechner des Admins hat die Mail nämlich an einen Mailserver in Bulgarien übergeben. Das passt durchaus zu der angegebenen Zeitzone „EEST“. Das liegt ein Stunde östlich von uns.

Der klarste Hinweis findet sich etwas darüber:

Received-SPF: Softfail (domain owner discourages use of this host) identity=mailfrom; client-ip=31.13.245.100; helo=maildeals.bg; envelope-from=service@amazon.de; receiver=info@vico.de

Mein empfangender Mailserver setzt ein Verfahren ein, bei dem beim vorgeblichen Absender nachgefragt wird, ob der einliefernde Mailserver autorisiert ist, für z.B. hier Amazon Mails zu verschicken. Klare Antwort im Sender Policy Framework (SPF): domain owner discourages use of this host Der Absender rät also ausdrücklich von diesem Server ab.

Sicherheitsbewussten Menschen reicht das eigentlich schon als Hinweis, diese Mail einfach zu löschen.

Machen wir das aber noch nicht! Wer es noch genauer sehen will, der wende sich doch einfach einmal dem im Verlauf folgenden Text zu:

Phishing - URL-Fälschung Der grau unterlegte Teil zeigt dann die ganze Wahrheit. Der angezeigte Text „https://www.amazon.de/3D-Secure/“ führt nämlich gar nicht zu der angegebenen Adresse. Wenn man auf den Link klickt, landet man auf dem Server „waa.ai“ und der dort lauernden Seite „5nX“.

Was sich dahinter verbirgt, kann ich Ihnen auch nicht sagen. Ich werde den Teufel tun und auf diese Seite gehen.

Von einem Formular, das Amazon nachempfunden ist und in das ich meine Amazon-Konto oder gar Kreditkartendaten eingeben soll bis zu einem fiesen Trojaner ist alles denkbar.

Klarer Rat an dieser Stelle: Überwinden Sie ihre Neugier und klicken nicht auf den Link. Auch nicht um nur mal zu gucken!

Was man gefahrlos prüfen kann, sind die sogenannten „Whois“-Datenbanken. Etwas weiter unten im Text findet sich noch eine IP-Adresse von der das Amazon-Bild nachgeladen wird. Wenn man die einmal eingibt und abfragt, wem diese zugeteilt wurde, erfährt man folgendes:

organisation:   ORG-ES189-RIPE
org-name:       Kxxxxx Rxxxxxx Lxxxxxx
org-type:       OTHER
address:        Levxxx, xxx Island xxxx, Westxxxxx Rd
address:        Quarry Bay
address:        Hong Kong
phone:          +852 xxxx xxxx
abuse-mailbox:  abuse@kxxxx.com
mnt-ref:        TERRATRANSIT-MNT
mnt-by:         TERRATRANSIT-MNT
source:         RIPE # Filtered

Wenn man den (hier durch mich aus Datenschutzgründen ausgeblendeten) Firmennamen in die Suchmaschine des Vertrauens eingibt, stößt man auf einen Hosting-Anbieter, der mit „Kxxxxxx provides ddos protection services and offshore hosting for all our clients with the best security and privacy“ wirbt.

Auch die Domain der URL führt zu einer IP-Adresse: 66.33.220.245. Eine Recherche dazu ergibt:

OrgName:        New Dxxx Nxxxxxxx, LLC
OrgId:          Nxxxx
Address:        417 Assxxxxxx Rd.
Address:        PMB #xxx
City:           Brxxx
StateProv:      CA
PostalCode:     92xxx
Country:        US

Das führt dann in die USA, nach Kalifornien. Offenbar in einen östlichen Vorort von Los Angeles.

Fazit: Da hat sich jemand viel Mühe gegeben und sogar zwei Serverstandorte angemietet. Das deutet für mich darauf hin, dass es in der nächsten Zeit nicht diese beiden Mails bleiben wird. Vermutlich werden bald auch noch andere (vermeintliche) Online-Dienste ihre Daten abgleichen wollen. Es scheint sich also zu lohnen.

Noch einmal die immer wieder aufgezählten Ratschläge im Umgang mit Emails:

  • Grundsätzlich in der Voransicht keine Bilder anzeigen lassen!
    • Über eine Bild-ID lassen sich Mailadressen verifizieren
    • Ebenso lassen sich unbemerkt Bilder mit Schadinhalten nachladen
      • Externe Inhalte werden unter Windows mit den jeweiligen Programmen angezeigt!
      • Schwachstellen der Programm werden so automatisch ausgenutzt.
  • Eine (in der Mail von eBay z.B.) angehängte HTML-Datei wird wie eine Webseite angezeigt.
    • Niemals Daten in ein solches Formular eingeben
    • Die Daten einer solchen Seite gehen direkt an den Angreifer (im Fall der eBay-Mail bei einen Hostingprovider in San Francisco)
  • Bei Verdacht eine Phishing-Mail den Quelltext ansehen
    • Hinweise sind z.B. Server aus osteuropäischen oder asiatischen Ländern für Firmen aus Deutschland
  • NIEMALS AUF LINKS IN DER MAIL KLICKEN!
    • Gehen Sie immer manuell in einem frisch geöffneten Browser auf die Website des Anbieters
    • Verlassen Sie die Seite wenn Zertifikatsfehler bei SSL Verbindungen angezeigt werden
  • Löschen Sie Mails sofort, damit nicht jemand anders darauf klickt!

Mein Autorenprofil bei Google
IT-Beratung - IT-Betrieb - Technologieberatung - IT-Risikobewertung - Vorträge und Weiterbildung zu IT-Themen