Achtung: Aktueller Phishing-Angriff auf Sparkassen-Kunden

Momentan läuft gerade ein Phishing-Angriff gegen Sparkassenkunden (die Phishing-Mail ist auch in meinem E-Mail-Posteingang gelandet, so dass ich einiges recherchieren konnte)Die Mail adressiert Sparkassenkunden, die Online-Banking verwenden. Auch wenn solche Angriffe ein alter Hut sind, nehme ich es hier in den Blog als Warnung auf – denn einmal ist der Angriff wohl brandneu (ist hier quasi exklusiv im Blog) – und zudem extrem gut gemacht. Ich gehe nach einer ersten Analyse davon aus, dass da einige Server gehackt wurden und dann ein Identitätsdiebstahl in groß angelegtem Stil versucht wird. Daher habe ich nachfolgend auch den Angriffsweg, der über zwei gehackte Webserver läuft, dokumentiert.


Anzeige

Hier ein Screenshot der betreffenden, gut gemachten, Pishing-Mail, wie sich diese bei mir darstellt.

Der Text wurde zwar nicht von einem Muttersprachler verfasst, dazu gibt es bei genauem Lesen zu viele kleine sprachliche Schnitzer und Schreibfehler. Aber die Vermischung der Bilder vom Internetauftritt der Sparkasse mit dem doch sprachlich gut daherkommenden deutschen Text wird viele Kunden verunsichern. Das animierte GIF-Bild in der rechten Seitenleiste soll die Aufmerksamkeit des Nutzers vom Text auf die Seitenleiste ablenken. Und nicht jedem Durchschnittsleser werden die kleinen orthographischen Fehler wie Großschreibung in "Bitte" nach der Anrede, oder der die gestelzte Formulierung "Für diesen Dienst ohne Unterbrechung fortzusetzen,  … "auffallen.

Stutzig machen könnte gewitzte Kunden, dass im Feld An keine Kunden-E-Mail-Adresse angegeben wird und dass auch sonst persönliche Adressangaben fehlen.


Anzeige

Der Angriff läuft über folgende URLs

Interessant ist auch die verlinkte URL. Zeigt man per Maus im E-Mail-Client auf die Schaltfläche –>klicken Sie hier, wird die URL

http:// kimanhsea food dot com /includes/ index.php

in der Statuszeile des Fensters eingeblendet. Wer diese URL jedoch in einen Browser eingibt, wird umgehend zur Webseite http:// kalistah.org/xmlrpc/_notes/dev/index.php umgeleitet. Dort erwartet den Kunden diese Formularseite, die ebenfalls sehr gut gemacht ist.

Statt TAN-Nummern werden persönliche Daten wie Adresse, Kontonummer, Kartennummer und PIN abgefragt. Offenbar haben die Absender der Phishing-Mail es nicht auf TANs abgesehen, da die Sicherungsmaßnahmen der Geldinstitute hier wohl greifen und recht hohe Hürden für Angreifer darstellen. Die im Formular abgefragten Daten lassen den Schluss zu, dass dort ein Identitätsdiebstahl beabsichtigt ist.

Kurzanalyse des Vorgangs

Ich habe mal etwas recherchiert. Die Site kimanh seafood dot com gehört zu einem Speiselokal für Meeresfrüchte (See-Food) in Hanoi.

Offenbar ist deren Server gehackt worden, und in der index.php der URL

kimanhseafood dot com/includes/index.php

ist eine Umleitung auf eine zweite (in den USA registrierte, aber auf Bali gehostete) Site kalistah.org integriert worden. Diese Umleitung wird nur aktiv, wenn die betreffende URL angesprochen wird. Geht man auf die Hauptseite der URL kimanhseafood dot com, erscheint das Angebot der lieferbaren Gerichte.

Wie schaut es nun mit der Webseite http:// kalistah.org/xmlrpc/_notes/dev/index.php aus, auf die der Benutzer umgeleitet wird. Der Whois-Eintrag der Umleitung weist die Domain kalistah.org als bereits 2010 erteilt und im Oktober 2013 als "aktualisiert" auf, wobei der Admin-C ein Christopher Benz in New York ist. Ruft man die URL kalistah.org auf, wird der zweite Angriff deutlich. Es scheint sich bei kalistah um eine karitative Organisation zu handeln, die Spenden für Menschen mit Behinderungen auf Bali einwirbt.

Da die URL für das Phishing-Formular auf die xmlrpc-Schnittstelle eines Servers verweist, ist davon auszugehen, dass beide Webseiten für diesen Angriff gehackt wurden. Der Formularinhalt wird über die xmlrpc-Schnittstelle des gehackten Servers an ein php-Script weiterreicht, das die Daten dann an weitere Server verschicken wird.

Man hat sich wohl zwei kleine Betreiber von Websites in Ostasien ausgesucht, weil diese nicht unbedingt über die personellen Ressourcen verfügen, um die Server aktuell zu halten und kurzfristig bei Angriffen reagieren zu können. Was man mit den Daten (es sind ja keine TANs dabei) anfangen will? Keine Ahnung, aber die Angaben eignen sich einerseits für einen Identitätsdiebstahl – mit den Adress- und Kontendaten lässt sich ja in einem Webshop unter fremder Identität bestellen. Und andererseits könnte ja eine zweite Angriffswelle laufen, wo die Täten bereits personalisierte Informationen wie Name, Kontonummer, E-Mail-Adresse aus dem Phishing-Formular nutzen, um die betreffenden Personen zur Herausgabe von TANs oder ähnlichem zu überreden. Oder es werden gezielt Trojaner an die betreffenden E-Mail-Adressen geschickt, um an Hand der Daten von den Kunden vorgenommene Online-Überweisungen umzuleiten. Das ist aber alles spekulativ.

Ob das Ganze auf diesen vom BSI gemeldeten Sachverhalt zurückgeht, kann ich nicht beurteilen. Ich habe die Sicherheitsabteilungen der Sparkassen-Organisation sowie das BSI über den Angriff informiert und werde auch versuchen, die Admins der betreffenden Webseiten per Mail zu kontaktieren. Vielleicht können die Administratoren die betreffenden Skripte sichern und die Angriffswege lassen sich weiter nachverfolgen.


Anzeige

Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Achtung: Aktueller Phishing-Angriff auf Sparkassen-Kunden

  1. Günter Born sagt:

    Und so reagieren die verantwortlichen Stellen

    Naiv, wie ich bin, dachte ich – informiere den Sparkassenverband und deren technischen Kundendienst sowie das BSI über die Phishing-Mail sowie die Erkenntnisse in obigem Artikel. Dann können die intern reagieren – wird ja so was wie eine Task Force geben. Hier meine Information an die betreffenden Stellen – konkret die Mail an das BSI:

    Guten Tag,

    heute habe ich eine Phishing-Mail erhalten, die auf Sparkassenkunden abzielt. Eine kurze Analyse der gut gemachten Phising-Mail legt den Verdacht nahe, dass hier ein Identitätsdiebstahl in groß angelegtem Stil versucht wird. Ich habe das bisher Bekannte in meinem Blog hier dokumentiert:

    http://www.borncity.com/blog/2014/02/17/achtung-aktueller-phishing-angriff-auf-sparkassen-kunden/

    Ist der Angriff beim BSI bekannt? Sollte eine Warnung herausgegeben werden? Ich habe die örtliche Sparkasse informiert und werde ggf. die Admins der betreffenden Server anmailen. Bei Bedarf kann ich die Phishing-Mail auch vorwarden.

    Ich dachte auch, dass da irgendwo eine Stelle sitzt, die sich um die Abschaltung der betreffenden Phishing-Seiten kümmert …

    Antwort des technischen Kundendiensts der Sparkassen

    Vielen Dank für Ihre Nachricht! Bitte beachten Sie, dass wir
    lediglich speziell den Sparkassen-Computercheck betreuen, welcher ein
    übergreifendes Angebot der teilnehmenden Sparkassen ist. Bei
    Rückmeldungen zum Online-Banking müssen Sie sich bitte direkt an Ihre
    Hausbank wenden und nicht das Rückmeldungsformular "Meine Meinung"
    des Computerchecks nutzen. Die Kontaktdaten Ihrer Bank finden Sie
    rechts oben auf deren Startseite oder unten in der Fußzeile.

    Mit freundlichen Grüßen

    Ihr technischer Kundendienst für den Sparkassen-Computercheck


    Konkret hatte ich eine angegebene E-Mail-Adresse von einer Sparkassenseite verwendet, um meine Mail im Thunderbird abzusetzen. Und eine Mailadresse wie service@sparkasse.de oder warnung@sparkasse.de erschien mir auch die richtige Ansprechstelle zu sein (ich kann nicht mehr genau verifizieren, welche Mail-Adresse ich da benutzt habe, da ich in den Sparkasse.de-Seiten irgendwo verloren ging und nur noch nach Phishing und Sicherheit gesucht habe). Die obige Mail hat mich dann doch konsterniert. Nur mal langsam zum mitschreiben: Die Sparkassenorganisation bietet seinen Kunden eine Funktion zum Überprüfen der Sicherheit des Rechners (vor was auch immer an – die Prüfung ist leider relativ untransparent) – erhält einen Hinweis auf einen Phishing-Angegriff und antwortet wie oben. Ein normaler Sparkassen-Kunde wird sich jetzt abwenden und im Regen stehen gelassen fühlen (objektiv mag die Kontaktstelle nicht zuständig sein – ich hätte aber gehofft, dass die Mails einfach weitergeleitet werden – wogegen aber möglicherweise rechtliche oder organisatorische Gründe sprechen). Der springende Punkt für mich ist: Auf die Schnelle war es mir nicht möglich, eine Stelle im Webauftritt von Sparkasse.de zu identifizieren, wo ich einen Phishing-Angriff melden kann.

    Warum fällt mir bei der obigen Antwort jetzt nur die 08/15- Werbung "wir verteilen einfach Fähnchen" ein? Ich komme nicht drauf.

    (wem das nichts sagt, schaut euch in obiger Pishing-Mail das Titelbanner mit der 08/15 Bank an).

    Da fehlen mir die Worte Alleine, schlimmer geht's (n)immer

    Antwort des BSI auf meinen Hinweis

    Sehr geehrter Herr Born,

    vielen Dank für Ihre E-Mail.

    Wie Sie ganz richtig erkannt haben stimmt hier etwas nicht. Es handelt sich bei dieser E-Mail um den Versuch Bankinformationen von Ihnen zu erlangen.

    Sie können sich unter

    https:// http://www.bsi-fuer-buerger.de/ BSIFB/DE/GefahrenImNetz/Phishing/phishing_node.html

    zum Thema "Passwort-Fischer" oder auch neudeutsch "Phishing" genannt informieren.

    In einigen Ländern haben sich viele Firmen bereits zur Anti-Phishing Working Group zusammengetan. Auf deren Internetseite (www.antiphishing.org) kann man
    Phishing-Mails melden und nachlesen welche schon bekannt sind.

    In Deutschland hat sich eine neue interdisziplinäre Vereinigung aus Wissenschaftlern der Ruhr-Universität Bochum des Phishing-Problems angenommen. Die "Arbeitsgruppe Identitätsmissbrauch im Internet" (A-I3) stellt auf ihrem Online-Portal http:// www. a-i3. org nicht nur aktuelle Informationen zu Themen der IT-Sicherheit bereit, sondern auch konkrete Hilfestellungen und Tools.

    Auch das Bundeskriminalamt hat sich des Phishing-Problems angenommen und informiert auf seiner Webseite darüber:

    http://www.bundeskriminalamt.de/ pressemitteilungen/2005/pm170805.html

    Phishing E-Mails sollten Sie im Prinzip behandeln wie SPAM.

    Weiterführende Informationen und Hinweise, wie Sie mit Spam Mails verfahren sollten, finden Sie auch unter diesen Links:

    http://www.bsi-fuer-buerger.de /abzocker/05_06.htm

    http://www.bsi.bund.de /faq/spam.htm#a2001

    Wie in dem oberen Link beschrieben können Sie leider nicht
    viel dagegen tun. Wenn häufig der gleiche Absender oder der gleiche Betreff verwendet wird, bieten einige E-Mail-Programme über einen Posteingangsassistenten
    die Möglichkeit an, E-Mails nach ausgewählten Kriterien automatisch zu löschen. Für diese Aufgabe gibt es im Internet auch einige spezialisierte Tools. Leider
    ist die Trefferquote dieser Programme teilweise nicht sehr hoch. Alternativ zu Programmen zum Einsatz auf Ihrem PC, bieten mittlerweile die meisten E-Mail-Anbieter zentrale SPAM-Filter als kostenlose oder kostenpflichtige
    Dienste an. In beiden Fällen (Einsatz auf dem PC oder Einsatz beim E-Mail-Anbieter bzw. Internet-Provider) besteht immer ein Risiko, dass erwünschte Mails als SPAM erkannt werden. Eine manuelle Kontrolle der als SPAM erkannten Mails ist daher wichtig. Eine Alternative kann auch sein, weiterhin derartige E-Mails manuell ungelesen zu löschen. Achtung: Es wurden auch schon Viren und andere Programme mit Schadfunktion an derartige E-Mails angehängt. Deshalb gilt: Nie Attachments von unbekannten Absendern öffnen bzw. ausführen! Deshalb sollten Sie die von uns empfohlenen Maßnahmen zum Schutz Ihres Systems umsetzen:

    (http://www.bsi-fuer-buerger.de/ schuetzen/07_01.htm)

    Phishing E-Mails versenden sich mittlerweile meist mit gefälschter Absenderadresse und Empfängeradressen.

    Wenn Sie eine E-Mail dieser Art erhalten, stammt ### Text bricht ab – da hat der Textbaustein Ladehemmung und ein anderer Baustein zwischengefunkt ####

    Außerdem ist es durch die Nutzung des BCC Feldes (Blindkopie) möglich im Empfängerfeld eine beliebige Adresse anzugeben. Die E-Mail wird dann an alle
    Adressen im BCC Feld gesandt und es hat für den Empfänger den Anschein das die E-Mail nur an die Adresse im sichtbaren Empfängerfeld gegangen ist. Deshalb ist eine Rückverfolgung sehr schwierig. Weitere Einzelheiten dazu unter:

    http://www.bsi.bund.de /av/texte/wurm-meld.htm

    Zu beachten ist hier auch die Möglichkeit der Versendung über ein Bot-Netz:

    http://www.bsi-fuer-buerger.de /abzocker/bot_netze.htm

    Auch diese Maßnahme erschwert die Suche nach den Tätern erheblich.

    ### hier hat ein alte Textbaustein plötzlich wieder den Trigger gezündet und den nachfolgend abgerissenen Satz zurück in den Raum geschleudert ###

    diese in der Regel nicht von dem angezeigten Absender, sondern von einem (unbekannten) Drittrechner.

    Hinweise zu gefälschten Absenderadressen finden Sie hier:

    http://www.bsi-fuer-buerger.de /abzocker/05_07.htm

    Dagegen können Sie praktisch nichts unternehmen. Die Betrüger verwischen Ihre Spuren nämlich im Regelfall so gründlich, dass eine Nachverfolgung nicht möglich ist. Die beste Reaktion: Die Mails ignorieren und löschen.

    Ebenso hat der Verband "Deutschland sicher im Netz" eine neue Beschwerdestelle im Internet eingerichtet, bei der Nutzer illegale Angebote im Netz schnell und unbürokratisch melden können. Unter http://www.internet-beschwerdestelle.de können
    Anwender E-Mails mit verdächtigen Inhalten angeben, die von Rechtsexperten geprüft werden. In Verdachtsfällen werden dann entsprechende
    Maßnahmen ergriffen.

    Rechtlich belangbar: Die rechtliche Aspekte Ihrer E-Mail können wir leider nicht beantworten, da dies einer Rechtsberatung gleichkommt.

    Rechtsberatungen dürfen nur Rechtsanwälte und die Rechtspflege der Amtsgerichte erteilen.

    Das BSI ist eine "beratende" Institution.

    Befugnisse einer Strafverfolgungsbehörde besitzen das BSI nicht und kann die von Ihnen verlangten Maßnahmen nicht durchführen.

    Sollten Sie den Verdacht haben, das eine Straftat vorliegt, ist es notwendig den Weg über die Strafverfolgungsbehörden zu gehen. Wenden Sie sich dazu an die
    für Sie zuständigen örtlich Polizeidienstelle (Strafverfolgungsbehörde). Informationen zu Recht im Internet und erstatten einer Anzeige finden Sie hier:

    http://www.bsi-fuer-buerger.de /recht/rechtsprobleme.htm

    fuer-buerger.de /recht/tipps_gesetze.htm

    Auch bietet die Polizei des Bundeslands Nordrhein Westfalen
    eine Möglichkeit zur Online-Anzeige. Aufgrund der dezentralen Strukturierung der Polizei ist diese Bundesland eventuell nicht unmittelbar zuständig, jedoch muss die Polizei dort den Vorgang weiterleiten:

    https://service.polizei.nrw.de /egovernment/service/anzeige.html

    Mit freundlichen Grüßen

    xxxxx (aus Datenschutzgründen anonymisiert

    Bundesamt fuer Sicherheit
    in der Informationstechnik
    Service-Center
    Postfach 20 03 63
    53133 Bonn


    ### Ich habe die Links aus obiger Antwort im Jan. 2016 entfernt, da diese zwischenzeitlich auf dem BSI-Server gebrochen sind und ins Leere laufen ###

    Das war wohl der Gruß der "Passwort-Fischerin vom Bodensee" an #neuland

    Jetzt bin ich beruhigt, denn die Sparkassenkunden sind ja in guten Händen. Wer auf eine Phishing-Mail hereingefallen ist, muss nur diese Mail löschen – dann wird alles gut. Und das BSI ist eine beratende Institution mit Schulungsbedarf im Hinblick auf die Frage "wie verwende ich Textbausteine richtig". Oder haben Sie eine Katze über die Tastatur laufen lassen und auf die einzelnen Tasten waren Auto-Makros gelegt?

    Ich stelle außerdem fest: Die Natur kennt diese Lösung schon lange – irgendwie fällt mir der Vogel Strauß mit seinem Kopf im Sand da ein – weiß nicht warum.

    … ach ja, die Phishing-Site samt gehackten Servern sind immer noch online. Der vietnamesische Fischverkäufer hat eine E-Mail-Adresse als Kontakt angegeben, die unbekannt ist – und die Hilfsorganisation auf Bali reagiert nicht. Und selbst wenn die reagieren – solange der Fischverkäufer gehackt ist, lässt sich die Umleitung ja auf den nächsten Server dirigieren …

  2. Marc sagt:

    Banker und Mitarbeiter im öffentlichen Dienst muss doch beim Einstellungstest nur eine Frage wissen, die sie sich täglich zu stellen haben: "Bin ich dafür zuständig?" :-)

  3. Günter Born sagt:

    Kurzes Update: Die Betreiber von kalistah.org hat sich bei mir gemeldet – die haben den Server gesäubert. Nun ist die Umleitung auf den nächsten gehackten Server:

    http:// kairosway.org/wp-admin/js/users/index.php

    umgeleitet. Ich habe jetzt den Admin-c des vietnamesischen Fischverkäufers unter seiner Yahoo-Adresse kontaktiert und auch Google unter

    http://www.google.com/safebrowsing/report_phish/?hl=de

    die Phishing-Site gemeldet. Mal schauen, was passiert.

  4. Günter Born sagt:

    Auch am Mittwoch, den 19.2.2014 – also drei Tage nach dem Versand – ist der initiale Phishing-Server noch aktiv und kann auf wechselnde Server umleiten.

    Eigentlich geht es mich ja nichts an und betroffen bin ich auch nicht. Andererseits denke ich, dass da immer noch Leute auf die Masche reinfallen.
    Ich habe daher jetzt die deutsche Botschaft in Hanoi angemailt und um Kontaktaufnahme mit dem Management von Kim Anh Seafood gebeten. Möglicherweise können die lokal auf dem kurzen Dienstweg mehr erreichen und ggf. auch feststellen, ob da ein Strohmann hinter sitzt. Bin mal gespannt, ob sich da was tut – ich werde euch auf dem Laufenden halten.

  5. Günter Born sagt:

    Nachtrag: Der Phishing-Angriff konnte jetzt, mit Unterstützung der deutschen Botschaft in Hanoi, gestoppt werden. Details finden sich im Beitrag Nachlese: Phishing-Angriff gestoppt – Word Online-App aus dem Store geflogen.

    Und schon kreist ein neuer Phishing-Angriff in den Postfächern der Sparkassen-Kunden – wobei es auch da unschöne Beobachtungen gibt.

  6. Marc sagt:

    konnte keinen "passenden Platz" für diese/aktuell disk. Problematik finden:
    http://securityhandle.wordpress.com/2014/06/04/sparkasse-app-und-sensible-daten-erste-antworten-von-der-finanz-informatik/
    es geht um die "hauseigene app", welche anscheinend zuviel Daten im Rechenzentrum speichert, inkl. PIN und von Fremdbanken

    • Günter Born sagt:

      @Marc: Danke für den Hinweis – das Thema hatte ich bereits auf meiner Agenda für's Wochenende. Gibt im Moment einfach zu viele heiße Themen (und einiges abseits dessen, was alle Blogs wiederkäuen), so dass ich vieles einfach nicht aufgreifen kann. Werde die Tage wieder einige Artikel aus der Ecke Windows-Troubleshooting und Frickelei mit Adaptern etc. online laufen lassen.

  7. Marc sagt:

    diese Woche schon die 3. Mail von der "Deutschen Bank" zwecks PIN-Änderung usw.
    dumm nur dass ich dort kein Konto habe ;-) ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.