Momentan l\u00e4uft gerade ein Phishing-Angriff gegen Sparkassenkunden (die Phishing-Mail ist auch in meinem E-Mail-Posteingang gelandet, so dass ich einiges recherchieren konnte)Die Mail adressiert Sparkassenkunden, die Online-Banking verwenden. Auch wenn solche Angriffe ein alter Hut sind, nehme ich es hier in den Blog als Warnung auf \u2013 denn einmal ist der Angriff wohl brandneu (ist hier quasi exklusiv im Blog) \u2013 und zudem extrem gut gemacht. Ich gehe nach einer ersten Analyse davon aus, dass da einige Server gehackt wurden und dann ein Identit\u00e4tsdiebstahl in gro\u00df angelegtem Stil versucht wird. Daher habe ich nachfolgend auch den Angriffsweg, der \u00fcber zwei gehackte Webserver l\u00e4uft, dokumentiert.<\/p>\n
<\/p>\n
Hier ein Screenshot der betreffenden, gut gemachten, Pishing-Mail, wie sich diese bei mir darstellt.<\/p>\n
Der Text wurde zwar nicht von einem Muttersprachler verfasst, dazu gibt es bei genauem Lesen zu viele kleine sprachliche Schnitzer und Schreibfehler. Aber die Vermischung der Bilder vom Internetauftritt der Sparkasse mit dem doch sprachlich gut daherkommenden deutschen Text wird viele Kunden verunsichern. Das animierte GIF-Bild in der rechten Seitenleiste soll die Aufmerksamkeit des Nutzers vom Text auf die Seitenleiste ablenken. Und nicht jedem Durchschnittsleser werden die kleinen orthographischen Fehler wie Gro\u00dfschreibung in \"Bitte\" nach der Anrede, oder der die gestelzte Formulierung \"F\u00fcr diesen Dienst ohne Unterbrechung fortzusetzen,\u00a0 \u2026 \"auffallen.<\/p>\n Stutzig machen k\u00f6nnte gewitzte Kunden, dass im Feld An keine Kunden-E-Mail-Adresse angegeben wird und dass auch sonst pers\u00f6nliche Adressangaben fehlen.<\/p>\n Interessant ist auch die verlinkte URL. Zeigt man per Maus im E-Mail-Client auf die Schaltfl\u00e4che \u2013>klicken Sie hier<\/em>, wird die URL<\/p>\n http:\/\/ kimanhsea food dot com \/includes\/ index.php<\/em><\/p>\n in der Statuszeile des Fensters eingeblendet. Wer diese URL jedoch in einen Browser eingibt, wird umgehend zur Webseite http:\/\/ kalistah.org\/xmlrpc\/_notes\/dev\/index.php<\/em> umgeleitet. Dort erwartet den Kunden diese Formularseite, die ebenfalls sehr gut gemacht ist.<\/p>\n Statt TAN-Nummern werden pers\u00f6nliche Daten wie Adresse, Kontonummer, Kartennummer und PIN abgefragt. Offenbar haben die Absender der Phishing-Mail es nicht auf TANs abgesehen, da die Sicherungsma\u00dfnahmen der Geldinstitute hier wohl greifen und recht hohe H\u00fcrden f\u00fcr Angreifer darstellen. Die im Formular abgefragten Daten lassen den Schluss zu, dass dort ein Identit\u00e4tsdiebstahl beabsichtigt ist.<\/p>\n Ich habe mal etwas recherchiert. Die Site kimanh seafood dot com geh\u00f6rt zu einem Speiselokal f\u00fcr Meeresfr\u00fcchte (See-Food) in Hanoi.<\/p>\n Offenbar ist deren Server gehackt worden, und in der index.php<\/em> der URL<\/p>\n kimanhseafood dot com\/includes\/index.php<\/em><\/p>\n ist eine Umleitung auf eine zweite (in den USA registrierte, aber auf Bali gehostete) Site kalistah.org\u00a0<\/em>integriert worden. Diese Umleitung wird nur aktiv, wenn die betreffende URL angesprochen wird. Geht man auf die Hauptseite der URL kimanhseafood dot com, erscheint das Angebot der lieferbaren Gerichte.<\/p>\n Wie schaut es nun mit der Webseite http:\/\/ kalistah.org\/xmlrpc\/_notes\/dev\/index.php<\/em> aus, auf die der Benutzer umgeleitet wird. Der Whois-Eintrag der Umleitung weist die Domain kalistah.org <\/em>als bereits 2010 erteilt und im Oktober 2013 als \"aktualisiert\" auf, wobei der Admin-C ein Christopher Benz in New York ist. Ruft man die URL kalistah.org <\/em>auf, wird der zweite Angriff deutlich. Es scheint sich bei kalistah <\/em>um eine karitative Organisation zu handeln, die Spenden f\u00fcr Menschen mit Behinderungen auf Bali einwirbt.<\/p>\n Da die URL f\u00fcr das Phishing-Formular auf die xmlrpc<\/em>-Schnittstelle eines Servers verweist, ist davon auszugehen, dass beide Webseiten f\u00fcr diesen Angriff gehackt wurden. Der Formularinhalt wird \u00fcber die xmlrpc<\/em>-Schnittstelle des gehackten Servers an ein php<\/em>-Script weiterreicht, das die Daten dann an weitere Server verschicken wird.<\/p>\n Man hat sich wohl zwei kleine Betreiber von Websites in Ostasien ausgesucht, weil diese nicht unbedingt \u00fcber die personellen Ressourcen verf\u00fcgen, um die Server aktuell zu halten und kurzfristig bei Angriffen reagieren zu k\u00f6nnen. Was man mit den Daten (es sind ja keine TANs dabei) anfangen will? Keine Ahnung, aber die Angaben eignen sich einerseits f\u00fcr einen Identit\u00e4tsdiebstahl \u2013 mit den Adress- und Kontendaten l\u00e4sst sich ja in einem Webshop unter fremder Identit\u00e4t bestellen. Und andererseits k\u00f6nnte ja eine zweite Angriffswelle laufen, wo die T\u00e4ten bereits personalisierte Informationen wie Name, Kontonummer, E-Mail-Adresse aus dem Phishing-Formular nutzen, um die betreffenden Personen zur Herausgabe von TANs oder \u00e4hnlichem zu \u00fcberreden. Oder es werden gezielt Trojaner an die betreffenden E-Mail-Adressen geschickt, um an Hand der Daten von den Kunden vorgenommene Online-\u00dcberweisungen umzuleiten. Das ist aber alles spekulativ.<\/p>\n Ob das Ganze auf diesen vom BSI gemeldeten Sachverhalt zur\u00fcckgeht, kann ich nicht beurteilen. Ich habe die Sicherheitsabteilungen der Sparkassen-Organisation sowie das BSI \u00fcber den Angriff informiert und werde auch versuchen, die Admins der betreffenden Webseiten per Mail zu kontaktieren. Vielleicht k\u00f6nnen die Administratoren die betreffenden Skripte sichern und die Angriffswege lassen sich weiter nachverfolgen.<\/p>\n","protected":false},"excerpt":{"rendered":" Momentan l\u00e4uft gerade ein Phishing-Angriff gegen Sparkassenkunden (die Phishing-Mail ist auch in meinem E-Mail-Posteingang gelandet, so dass ich einiges recherchieren konnte)Die Mail adressiert Sparkassenkunden, die Online-Banking verwenden. Auch wenn solche Angriffe ein alter Hut sind, nehme ich es hier in … Weiterlesen ![\"\"](\"https:\/\/i.imgur.com\/H8eV6u3.jpg\")
<\/a><\/p>\nDer Angriff l\u00e4uft \u00fcber folgende URLs<\/h3>\n
<\/a><\/p>\nKurzanalyse des Vorgangs<\/h3>\n
<\/p>\n<\/p>\n