Vor einem Tag wurden wir von einem Kollegen auf eine Paypal-Phishingseite aufmerksam gemacht. Diese haben wir uns genauer angeschaut und einige Fehler seitens des Phishers feststellen können. Wir gingen daraufhin in den Gegenangriff über.
Was ist eigentlich Phishing?
Phishing wird vom Wort “Fishing” (“fischen”) abgeleitet. Man beschreibt damit das Ergaunern von persönlichen Daten über das Nachstellen von bekannten Webseiten. Häufig verschicken die Kriminellen im Namen eines Unternehmens eine E-Mail. In dieser wird dem Opfer klar gemacht, dass wenn dieser sich nicht innerhalb der nächsten Stunden über den genannten Link einloggt, sein Account gelöscht, gesperrt oder anders sanktioniert wird.
Der hinterlegte Link führt entsprechend auf die von den Kriminellen nachgemachte Seite. Die dort eingegeben Logindaten befreien einen nicht von der angedrohten Strafe, sondern bereichern die Datenbank der Kriminellen. Die Kriminellen können dann diese Daten für weitere Zwecke missbrauchen.
Die Spam Mail
Unser Kollege leitete uns eine E-Mail mit dem folgenden Inhalt weiter:
1 2 3 4 5 6 7 8 9 10 11 12 |
|
Davon abgesehen, dass die E-Mail weder einen korrekten Schluss noch entsprechende Rechtschreibung besitzt, entsteht beim Lesen ein gewisser Druck der Forderung zu folgen, denn man möchte genau wissen was mit seinem Paypal-Account geschieht. Die Links werden im Thunderbird mittlerweile so dargestellt, dass man die URL erkennt. Bei manchen Webportalen könnte das möglicherweise anders sein.
Die Webseite
Schauen wir uns mal die Links etwas genauer an:
1 2 |
|
Wenn man nur schnell darüber schaut, dann erkennt man “https://www.paypal.de/de/webapps” mit einer anderen URL. Man könnte bereits hier etwas misstrauisch werden, denn warum sollte der Paypal-Service eine andere Webseite zur Weiterleitung nutzen? Bei der zweiten URL hängt noch ein weiterer Parameter an. Ob dieser nur dem Eindruck einer kompletten Paypal-URL, darstellen soll, oder eine andere Funktion besitzt, z.B. die bessere Zuordnung/Validierung der Empfänger-Emailaddresse, ist dahingestellt.
Ist Ihnen bei den letzten URLs was aufgefallen?
Nein? - Dann schauen Sie nochmal ganz genau hin.
Ja? - Sie haben einen scharfen Blick! Die Auflösung des kleinen Rätsels ist, dass man “http://” statt “http.//” liest. In einer gültigen URL steht vor dem Protokoll (http) ein Doppelpunkt (:) und kein einfacher Punkt (.) .
Hier wäre der nächste Punkt gewesen, bei dem man hätte merken können, dass etwas nicht stimmt.
Wir wissen nun also, dass die Kriminellen die Webseite “victorlipkin.com” übernommen und im Ordner wp-inlcudes mehrere Ordner erstellt haben: https.www.paypal.de/de/webapps Wir haben den Webseitenbetreiber über einen vermutlichen Hack informiert und warten auf eine Antwort.
Rufen wir die komplette URL trotzdem auf, so sollte mittlerweile eine Warnung des Browsers erfolgen, dass es sich um eine Phishing-Page handeln könnte. Nun gut, vor ein paar Tagen fehlte dieser Hinweis, weswegen wir den dieses Mal ignorieren wollen. Wir werden auf die folgende Seite weitergeleitet:
1
|
|
Mittlerweile ist die Seite gelöscht worden. Man war dort einer nahezu perfekten Kopie der Paypal-Seite gelandet. Doch auch hier gäbe es wieder Anhaltspunkte auf eine Phishing-Seite:
Keine SSL Verschlüsselung (https)
Keine Domain, sondern nur IP-Adresse
Es soll Menschen geben, denen bis hierhin noch nicht klar geworden ist, dass es sich um eine Phishing-Seite handelt. Allerdings muss man beachten, dass Phishingattacken oft ältere Menschen treffen, welche kaum bzw. wenig Erfahrung im Umgang mit dem Internet haben. Hier sollten die Neffen unbedingt Nachhilfe geben ;)
Der Fehler des Spammers
Wir schauten uns die Webseite an und konnten keine direkten Informationen über bereits geklaute Login Daten erhalten. Im nächsten Schritt nahmen wir die URL ein wenig auseinanderzunehmen und so gelangten wir in ein Verzeichnis, in welchem Directory-Listing aktiviert war. Was wir darin fanden war wirklich interessant:
1 2 3 4 5 6 |
|
Es gab ein Archiv “security.tgz” einen Ordner “gateway” bzw. “phpmailer”. Im Gateway-Ordner lag die Phishing-Seite, was wir aus der Weiterleitung erkennen können. Im “phpmailer”-Verzeichnis gab es zwar keine Datei welche auf einen hindeuten könnte, aber wir gehen davon aus, dass von dort aus die Spam- Mails verschickt wurden. Interessant war jedoch das Archiv. In dem der Kriminelle dieses Verzeichnis nicht vor Directory-Listing schützte, tat er sich selbst keinen, und uns einen Gefallen. Das ist ein ziemlicher Anfängerfehler.
Der Quelltext
Wir luden das Archiv herunter und wagten einen Blick hinein. Der Inhalt war mehr als informativ, denn der Kriminelle schien ein Backup seiner Phishing-Page darin abzulegen. Daraufhin wollten wir herausfinden, wie bzw. wo die geklauten Informationen gespeichert werden, um die betroffenen Personen zu benachrichtigen. Unser Kollege hatte bereits eine E-Mail an den Paypalsupport geschickt. Aus Erfahrung können wir sagen, dass dieser sich gerne Zeit lässt.
In dem Verzeichnis gab es drei PHP-Dateien, in denen das eigentliche Phishing stattfand. Der Rest war nur zur Nachstellung der Phishing-Seite nötig. Eine Datei wurde zum Klauen von Kreditkartendaten genutzt, und die restlichen beiden zum Stehlen der Login Daten.
Im Großen und Ganzen war in allen Dateien das gleiche Prozedere: Man las aus der $_POST Variable die übergebenen Daten aus, packte diese in einen String und schrieb diesen in eine Datei bzw. schickte diesen per Email an den Phisher.
1 2 3 4 5 6 7 8 |
|
Bingo! - Wir wussten nun, wo genau die Daten gespeichert wurden. Die entsprechenden Zieldateien wurden nicht gegen fremde Zugriffe geschützt, was nicht von Professionalität zeugt.
Wir zählten, dass 35 Personen ihre Kreditkartendaten und 337 Personen ihre Login Daten bei dem Kriminellen hinterlassen haben. Da der Kriminelle sich diese immer sogleich per Email zuschicken lies, konnte er damit sofort arbeiten. Interessanter Aspekt ist, dass das Script gegen Mail-Header-Injection anfällig ist und man somit vom Spammer spammen könnte. Es wurde allgemein kein Wert auf Sicherheit gelegt. Frei nach dem Motto “Es werden schon welche hereinfallen.”
Der Gegenangriff
Als Gegenangriff kann man die Aktion eigentlich nicht bezeichnen, aber es soll spannend klingen :) Wir schrieben zwei kleine “quick ‘n’ dirty” Python-Scripte, welche zufällige Eingaben erzeugten und an den Server schickten:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 |
|
Damit füllten wir des Kriminellen Logfiles mit unnützem Datenmüll. Einerseits würde er so den Überblick in denen verlieren. Andererseits würde sein Postfach entsprechend gefüllt.
Unser Kollege half uns bei der Befüllung und wir möchten behaupten, dass diese erfolgreich war, denn die Webseite ist heute nicht mehr erreichbar. Scheinbar hat der Spammer bemerkt, dass seine Deckung aufgeflogen ist.
Die Benachrichtigung
Am heutigen Abend bereiteten wir die Liste mit den Login Daten auf, d.h. doppelte/ ungültige Einträge wurden entfernt. Daraufhin verfassten wir ungefähr 300 Emails an die einzelnen Opfer. Darunter mussten wir feststellen, dass verschiedene Unternehmen mit einer Email ähnlich paypalzahlung@unternehmen.de in den Logdateien vorhanden waren. Wir möchten hoffen, dass nichts “schlimmeres” passiert ist, alle Beteiligten Ihr Passwort ändern und in Zukunft ein wenig mehr aufpassen.
Uns erreichen bereits erste Antworten auf unsere Hinweise, in denen gesagt wird, dass man den Betrug kurz nach der Eingabe bemerkt hatte und das Passwort änderte.
Update: 11.03.13:
Im Laufe diesen Tages bekamen von ungefähr 10% eine Rückmeldung, dass man das Passwort geändert hätte. Einige Opfer meinten sie hätten den Betrug einige Sekunden nach dem versuchten Login erkannt und daraufhin ihr Passwort geändert. Andere teilten uns mit, dass sie über die Tatsache überrascht waren und nun ihr Passwort geändert hätten.
Das Team der Internetwache.org