![\"WordOnline01\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/02\/WordOnline01_thumb.jpg\" "\\"WordOnline01\\"")
<\/p>\n
Ich habe daher die Microsoft Pressebetreuung auf die Sache angesetzt und um ein Statement von Microsoft gebeten. Weil es schon sp\u00e4ter Abend war, ging die Mail an die Pressebetreuung in den USA mit cc an den deutschen Microsoft Presseservice. Zwischenzeitlich hatte ich sowohl von dem externen Microsoft-Dienstleister in den USA als auch von der deutschen Pressebetreuung eine R\u00fcckmeldung, dass man sich drum k\u00fcmmere.<\/p>\n
Eine Stellungnahme seitens Microsoft habe ich zwar noch nicht, wer aber die Windows Store-Seite der App Word Online im Browser aufruft, wird zwischenzeitlich mit folgender Meldung begr\u00fc\u00dft.<\/p>\n
Fall also gekl\u00e4rt, die App war wohl obskur. Von dieser Stelle auch ein gro\u00dfes Dankesch\u00f6n an die Pressebetreuung von Wagger Edstrom Communication und an den deutschen Presseservice von Microsoft f\u00fcr's K\u00fcmmern. Thumbs up!<\/p>\n Der zweite Fall, \u00fcber den ich hier gebloggt habe, war der (in meinen Augen gut gemachte) Phishing-Angriff auf Sparkassen-Kunden. Ich hatte das Gl\u00fcck, diese Phishing-Nachricht selbst zu bekommen und habe mich an der Analyse versucht. Erste Erkenntnisse hatte ich im Blog-Beitrag Achtung: Aktueller Phishing-Angriff auf Sparkassen-Kunden<\/a> zusammengetragen.<\/p>\n Ich war zwar nicht betroffen, da ich die Mail sofort als Phishing-Versuch erkannte. Aber ich habe mir mal die M\u00fche gemacht, zu versuchen, diesen Angriff auszuhebeln. Naiv wie ich nun mal bin, hatte ich die Sicherheitsabteilung der Sparkassenorganisation sowie das Bundesamt f\u00fcr Sicherheit angemailt und \u00fcber das Problem informiert. Dachte: Ok, da sitzt ein gut dotierter und motivierter Mitarbeiter oder ein Stab, der sich um die Sache k\u00fcmmert.<\/p>\n Gibt da den Spruch \"Man hat schon Pferde vor der Apotheke kotzen sehen\". Der fiel mir spontan ein, als ich die Antworten der Sparkassenorganisation und des BSI las. Die Details zu den \"kotzenden Pferden\" (hier bildlich vor der Sparkasse) habe ich dann in den Kommentarnachtr\u00e4gen zum Blog-Beitrag Achtung: Aktueller Phishing-Angriff auf Sparkassen-Kunden<\/a> zusammengefasst.<\/p>\n Weiterhin habe ich im Nachgang selbst versucht, mit den Betreibern der gehackten Server Kontakt aufzunehmen und diese \u00fcber den Angriff zu informieren. Die Besitzer eines gehackten Servers (eine Hilfsorganisation auf Bali) mit dem Phishing-Formular reagierte schnell. War aber nutzlos, da ein zweiter gehackter Server in Hanoi als Relay-Server fungierte. Immer wenn ein Administrator den Server mit dem Phishing-Formular ges\u00e4ubert hatte, \u00e4nderten die Gauner das Redirect auf dem Server in Hanoi. Zudem waren da bald Server dabei, wo die E-Mail-Kontaktdaten der angeblichen Server-Administratoren nicht mehr funktional waren \u2013 ein Server war sogar komplett \u00fcbernommen \u2013 der Domainaufruf lieferte nur noch Fehler \u2013 aber \u00fcber die Relay-URL erschien das Phishing-Formular.<\/p>\n Das zeigte mir einerseits, dass da offenbar Sparkassenkunden auf den Angriff hereingefallen sind. Andernfalls h\u00e4tten sich die Kriminellen nicht den Aufwand gemacht, den gehackten Server in Hanoi zu monitoren und sofort ein Redirect einzuleiten. Und die Gauner haben sich sogar die M\u00fche gemacht, Server im Redirect zu benutzen, die hinsichtlich der Admin-C Betreuer offenbar verwaist waren.<\/p>\n Nat\u00fcrlich war meine erste Strategie, den Administrator des Server, der als Relay fungierte \u2013 zu kontaktieren. Die von einem Fischlokal (Kim Anh Seafood) in Hanoi gehaltene Domain enthielt zwar Kontaktdaten \u2013 auch eine E-Mail-Adresse. Aber die Betreiber haben eine nicht mehr funktionierende E-Mail-Adresse angegeben und auch die Yahoo-E-Mail-Adresse im Admin-C-Record der Domain war nicht mehr existent. Daher schlugen alle Kontaktversuche fehl \u2013 und der Provider der gehosteten Domain reagierte auf meine Kontaktaufnahme ebenfalls nicht.<\/p>\n H\u00e4tte einerseits bedeuten k\u00f6nnen: Die Betreiber stecken mit den Kriminellen unter einer Decke. Da ich aber eher den Eindruck habe, dass in Ostasien viel improvisiert und mit fliegenden \"Verdrahtungen\" als L\u00f6sung hantiert wird, schiebe ich das jetzt auf Schludrigkeit. Ein seri\u00f6ser Betreiber h\u00e4tte eine yahoo.com-E-Mail-Adresse z.B. nie in den Admin-C-Records akzeptieren d\u00fcrfen. Was macht man nun in dieser Situation? Anrufen in Hanoi, bei einem nur vietnamesisch sprechenden Gastst\u00e4ttenbetreiber und dem einem vom Server erz\u00e4hlen? Hielt sich f\u00fcr eine schlechte Idee.<\/p>\n Aber es gab da einen Geistesblitz: Es gibt doch die deutsche Botschaft in Hanoi<\/a> \u2013 die sind zwar f\u00fcr andere Aufgaben da \u2013 aber m\u00f6glicherweise l\u00e4sst sich auf dem kleinen Dienstweg Kontakt mit dem Management des Fischrestaurants aufnehmen. Lokal kl\u00e4rt sich das vielleicht \u2013 und jemand mit Vietnamesisch-Kenntnissen gibt es da auch. Und heute morgen erreichte mich eine E-Mail der deutschen Botschaft aus Hanoi:<\/p>\n Sehr geehrter Herr Born, Grunds\u00e4tzlich ist die Botschaft f\u00fcr solche eher strafrechtlichen Angelegenheiten zwar nicht zust\u00e4ndig, aber wir haben nat\u00fcrlich trotzdem ein Interesse daran, dass solche Vorf\u00e4lle zumindest nicht ignoriert werden. Ich habe daher eine lokale Kollegin gebeten, unter der von Ihnen genannten Telefonnummer der Kim Anh Seafood anzurufen und die Probleme zu schildern. Dieser Anruf erfolgte gestern Morgen (Ortszeit). Die Telefonnummer funktionierte tats\u00e4chlich und nach l\u00e4ngerem Klingeln wurde auch abgenommen. Leider wollte sich der Herr am anderen Ende jedoch nicht vorstellen, weigerte sich nach den ersten S\u00e4tzen meiner Kollegin, in der Sie das Problem kurz beschrieb, auch entschieden die Konversation weiterzuf\u00fchren und legte auf.<\/p>\n Ich habe am gestrigen Nachmittag die benannte Homepage dann aber noch einmal aufgerufen, auf der nunmehr keine Sparkassenseite sondern eine Fehlermeldung erscheint. In irgendetwas m\u00fcssen wir wohl ger\u00fchrt haben. Ich habe die kompromittierte URL der Kim Anh Seafood jetzt ebenfalls aufgerufen und wurde mit dieser Meldung begr\u00fc\u00dft:<\/p>\n Dank Google Translate kann ich sogar lesen, was mir der Betreiber mitteilen will. Also ist das Problem auch erledigt. An dieser Stelle nochmals ein gro\u00dfes Lob an die Mannschaft vom ausw\u00e4rtigen Dienst in Hanoi, die nicht zust\u00e4ndig waren, sich aber trotzdem gek\u00fcmmert haben.<\/p>\n Wenn ich es jetzt nochmals reflektiere: das waren jetzt zwei Baustellen gewesen, die mich eigentlich nichts angingen \u2013 h\u00e4tte ich links liegen lassen k\u00f6nnen. Wollte ich aber nicht und habe einfach mal nachgehakt. Erkenntnisse am Ende des Tages: In #Neuland l\u00e4uft einiges schief (ich denke jetzt an die Sparkassenorganisation und das BSI) \u2013 aber es finden sich immer wieder Leute, die unkonventionell, auf dem kleinen Dienstweg (Botschaft in Hanoi) oder sehr professionell (Microsoft Pressebetreuung) dem Thema nachgehen. Am Ende des Tages hat es sogar eine L\u00f6sung gegeben \u2013 und ich habe sogar einiges gelernt. Diese Erfahrungen, und die Hilfe der \"vielen kleinen R\u00e4dchen\" in diversen Organisationen stellen einerseits \"das Salz in der Suppe eines Bloggers\" dar \u2013 und halten andererseits den ganze Kram am Laufen. This made my day!<\/p>\n","protected":false},"excerpt":{"rendered":" Hier im Blog habe ich in den vergangenen Tagen und Wochen ja \u00fcber sicherheitskritische Fragestellungen gebloggt. Da gab es die Word Online-App, die (neben meinem MVP-Kollegen Martin Geu\u00df von Dr. Windows) mir irgendwo recht obskur vorkam. Und es gab den … Weiterlesen ![\"WordOnline01\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/02\/WordOnline01_thumb1.jpg\" "\\"WordOnline01\\"")
<\/a><\/p>\nPhishing-Angriff auf Sparkassen-Kunden<\/h3>\n
![\"\"](\"https:\/\/i.imgur.com\/yrEfkfB.jpg\")
<\/p>\n
\nvielen Dank f\u00fcr Ihre Email an die Deutsche Botschaft Hanoi und die von Ihnen \u00fcbermittelten Informationen zum gehackten Server.<\/p>\n
\nErneut vielen Dank f\u00fcr den Hinweis und Ihr Engagement!
\nMit freundlichen Gr\u00fc\u00dfen aus Hanoi,
\nF. L.<\/p><\/blockquote>\n![\"Sparkasse05\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/02\/Sparkasse05_thumb.jpg\" "\\"Sparkasse05\\"")
<\/a><\/p>\n