Thema: Neues von der Phishing-Front

[Jürgen]

...Bin glücklicherweise skeptisch.

"Skeptisch" ist quasi mein zweiter Vorname.

Daher fällt mir auch schon lange deren recht laxer Umgang selbst mit elementaren Sicherheitsaspekten und Grundfunktionen auf.

Erstens:
Die von DHL versandten Mails enthalten Links zur Sendungsverfolgung, die eine ungesicherte Verbindung bewirken.
Rechnen die immer noch mit Kunden, die den Mosaique-Browser und Windows 3.1 nutzen?

Zweitens:
Auch die dann darauf verlinkte Seite zur Mail-Benachrichtigung ist standardmäßig ungesichert verbunden.
Immerhin soll man dort (s)eine gültige Mail-Adresse übertragen.
Wer wenigstens die Postleitzahl des Empfängers kennt oder errät, erhält zudem (nach Captcha-Auflösung) auch dessen Klarnemen zu sehen.
Interessante Kombination...

Drittens:
Zumindest hier mit Opera scheitert der Versuch, diese DHL-Seiten per https aufzurufen, siehe Screenshot.

Fazit:
Den Verantwortlichen empfehle ich dringend wenigstens einen Grundkurs Sicherheit im Netz 

Jürgen

[Joutungwu]

Die Login-Seite für die Packstation ist nur http, ohne "s": http://www.dhl.de/de/paket/pakete-empfangen/packstation.html
Registrierung und Login auf paket.de ist wiederum mit https versehen: https://www.paket.de/pkp/appmanager/pkp/desktop?_nfpb=true&_nfls=true&_pageLabel=pkp_portal_page_registration

Das kommt mir sehr seltsam vor. Ich meine schon oft gelesen zu haben, dass man immer darauf achten soll, dass in der Browser-Adresszeile "https" steht, bevor man seine Login-Daten eingibt, da diese sonst abgreifbar sind.
Man kann sich auch über paket.de selbst anmelden, wo https wieder vorkommt.

Von dhl.de (http) wird man beim Login auf paket.de (https) geleitet: https://www.paket.de/...
Weiß jemand zufällig ob das einloggen über dhl.de nun sicher ist oder eher nicht?

Ich würde nun vorsichtshalber nur noch über https://www.paket.de einloggen, wegen folgendem:

Ohne Verschlüsselung sind Daten, die über das Internet übertragen werden, für jeden, der Zugang zum entsprechenden Netz hat, als Klartext lesbar. Mit der zunehmenden Verbreitung von offenen (d. h. unverschlüsselten) WLANs nimmt die Bedeutung von HTTPS zu, da damit die Inhalte unabhängig vom Netz verschlüsselt werden können.

Quelle: http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure

[Joutungwu]

Zu den Phishing-Mails: Sowas habe ich auch schonmal bekommen. Nicht nur deshalb lasse ich ausschließlich Text über Thunderbird zu, damit die Adressen lesbar sind. HTML-Müll, der die Herkunft verschleiern kann, lass ich nicht durch. 

Es ist erstaunlich, dass die Phisher sich immer noch keine Mühe mit der Rechtschreibung geben. Ich schätze, dass sie ihre Erfolge dadurch erheblich steigern könnten.

[Jürgen]

Zu den Phishing-Mails: Sowas habe ich auch schonmal bekommen. Nicht nur deshalb lasse ich ausschließlich Text über Thunderbird zu, damit die Adressen lesbar sind. HTML-Müll, der die Herkunft verschleiern kann, lass ich nicht durch. 

Das ist die eine Möglichkeit.

Ich gehe allerdings anders vor, weil ich auch regelmäßig Mails erhalte, die nützliche HTML-Inhalte haben.

Hier gilt daher erstens eine konsequente Trennung je nach Zweck, auf mehrere Mailkonten.
Und außerdem öffne ich unerwartete Mails nie sofort, sondern sehe mir dann immer erst den Quelltext an. Da gibt's auch keine getarnten Links.

Und das Nachladen externer Inhalte ist natürlich immer abgestellt.

Es ist erstaunlich, dass die Phisher sich immer noch keine Mühe mit der Rechtschreibung geben. Ich schätze, dass sie ihre Erfolge dadurch erheblich steigern könnten.

Die wenigsten solcher hier (trotz aller Filter) eingegangenen Phishing-Mails stammen aus unserem Lande, wie i.d.R. die Header verraten.
Wenn doch, verrät der übertragene Rechnernameund dessen IP meist, dass es sich um einen privaten PC handelt, der vermutlich zu einem Botnet gehört.

Und wer z.B. auf dem Balkan fehlerfreies Deutsch beherrscht, der könnte dort vermutlich auch auf ehrliche Art sein Geld verdienen.
Gewohnheitskriminelle - insbesondere aus den teils längst bekannt gewordenen Zentren solcher Aktivitäten - sind so sehr hinter dem schnellen Geld, schnellen Autos, Nutten und Drogen her, dass ihnen sowohl die Geduld als auch der Geist für gründliches Lernen gründlich abgeht. Ihre speziellen Fertigkeiten haben sie meist in Schnellkursen andressiert bekommen, von den eigentlichen Hintermännern, die dann den größten Teil der Beute einfordern.

Das weiß ich nicht nur aus einschlägigen TV-Magazinbeiträgen, sondern auch aus verschiedenen Primärquellen, die ich hier allerdings keinesfalls benennen darf.

BTW, eine bevorzugte weil oft leichtgläubige Zielgruppe besteht auch aus hier lebenden Landsleuten. Denen fällt ein schlechtes Deutsch kaum auf, und die vergleichbare Mentalität lässt beim klicken kaum denken. Manch solcher Zeitgenosse fällt dann auch auf angebliche BKA-Mails rein, insbesondere mit etwas Dreck am eigenen Stecken...

Jürgen

[SiLæncer]

Dieser Fiesling hats in sich: Falls der Schadcode Rombertik vermutet, dass er analysiert werden soll, löscht er kurzerhand den Bootsektor und stürzt den Rechner des Opfers in eine Endlos-Bootschleife.

Auf den ersten Blick sieht der Windows-Schädling Rombertik nicht besonders außergewöhnlich aus: Er versucht per Phishing-Spam auf die Rechner seiner Opfer zu kommen und spioniert dann dort alles aus, was den Drahtziehern irgendwie nützlich sein könnte. Interessant wird es allerdings, wenn Virenforscher versuchen, den Schädling zu analysieren. Wird solch eine Analyse entdeckt, löscht der Schadcode den Master Boot Record (MBR) und startet das System neu, so dass der PC des Opfers in einer Bootschleife gefangen ist. Gelingt dies nicht, verschlüsselt er die privaten Daten des Nutzers mit einem zufälligen RC4-Schlüssel und macht sie so unbrauchbar.

Dieser Virus hasst Virenforscher

Auch sonst gibt sich Rombertik alle Mühe, Forschern das Leben schwer zu machen. Mehr als 97% des Schädlings bestehen aus überflüssigen Daten und aus wahllosem Code der zwischen nutzlosen Funktionen hin und her springt, um eine Analyse zu erschweren. Untersucht man das Wirrwarr mit einem Tool, das den Codeflow visualisiert, kommt ein komplexes Monstrum zu Tage.

Der Code schreibt unter anderem nutzlose Daten 960 Millionen mal in den Speicher, um bei Ausführung in einer Analyse-Sandbox die Logs der Software aufzublähen – ein Tracing-Tool könnte so potentiell mehrere Gigabyte an Daten produzieren. Ebenso wird eine Windows-Debug-Funktion immer wieder aufgerufen, um möglichst viel Krach zu erzeugen und eine Analyse mit Hilfe von Debug-APIs zu erschweren. Die Forscher von Ciscos Malware-Analyseeinheit Talos, die Rombertik entdeckt haben, hatten zwar schon vorher ähnliche Anti-Analysetechniken in anderem Schadcode beobachtet, der Versuch den Computer nach Entdeckung einer Analyse komplett unbrauchbar zu machen sei allerdings neu.

Wie man sich schützen kann

Rombertik verbreitet sich über Phishing-Mails als angebliche PDF-Datei, die eigentlich ein Bildschirmschoner ist. Wird diese .SCR-Datei angeklickt, startet sich der Schadcode automatisch. Trotz des ganzen Anti-Analyse-Aufwandes sollten aktuelle Virenscanner gegen den Schädling helfen – wenigstens bis die Drahtzieher ihn wieder abwandeln. Hat Rombertik den MBR eines Systems gelöscht, sind die Daten zwar nicht unwiederbringlich verloren, eine Wiederherstellung ist auf Grund der Methode, mit der alle Daten im MBR mit Nullen überschrieben werden, allerdings nicht ganz einfach.

Quelle : www.heise.de

[SiLæncer]

Gut gemeint ist nicht noch lange nicht gut gemacht. Vor allem, wenn es um geklaute Passwörter geht.

Als Betreiber der Webseite urhack.com, die Screenshots von gehackten Internetseiten hostet, stolpert Atechdad eigenen Angaben zufolge immer wieder über Listen mit gekaperten Log-in-Daten für etwa E-Mail-Anbieter oder Netflix. Jüngst hat er fast 98.000 vom Passwortklau betroffene Nutzer in einem Rundschreiben gewarnt.

Die gute gemeinte Aktion stieß jedoch auf wenig Reaktion. Unter anderem haben sich lediglich neun Leute für diesen Service bedankt und 41 Empfänger haben darum gebeten, keine derartigen E-Mails mehr zu erhalten. Über den Pay-Pal-Spenden-Button für die Aktion habe Atechdad nichts eingenommen.

Ein Grund für das fehlende Feedback könnte die Formulierung der E-Mail sein. Denn die Betreffzeile „Your account may have been compromise&“ rückt das gutgemeinte Anschreiben in das Licht einer Phishing-Mail. An der Motivation von Atechdad scheint das nicht zu nagen, denn aktuell ist seine Liste eigenen Angaben zufolge auf fast 300.000 Einträge angewachsenen und er könnte sich vorstellen, die E-Mail-Aktion zu wiederholen.

Quelle : www.heise.de

[SiLæncer]

Gefälschte E-Mails von Banken sind mittlerweile Alltag. Doch was passiert, wenn Online-Gauner der Virtualität entsteigen und man nicht einmal mehr am Geldautomaten an der Ecke vor Identitäts-Diebstahl sicher ist?

Im Stadtteil Zehlendorf in Berlin verübt ein Phisher in der Realität seine Arbeit und will offline Konto-Daten von Bank-Kunden abfangen, berichtet Der Tagesspiegel. Dafür hat der Betrüger einen eigenen Briefkasten vor den Briefschlitz einer Bank-Filiale montiert, um so Überweisungsträger abzugreifen.

Das fiel einem Kunden auf, als er bemerkte, dass der Briefkasten leicht schief hing. Seinen Überweisungsschein hatte er zu diesem Zeitpunkt jedoch schon eingeworfen. Selbst die alarmierten Polizei-Beamten hielten den Briefkasten für echt, bis sie die vernietete Klappe und eine zweite, gefräste Öffnung bemerkten.

Sie demontierten den mit einer silikon-artigen Masse angeklebten Briefkasten. Zu diesem Zeitpunkt lag nur ein Überweisungsträger im Inneren. Gegen den unbekannten Offline-Phisher wird nun wegen Verdachts auf Überweisungsbetrug ermittelt.

Quelle : www.heise.de

[SiLæncer]

Die Berliner Polizei will das Sicherheitsbewusstsein ihrer Mitarbeiter sensibilisieren. Dafür hat sie gefälschte E-Mails in Umlauf gebracht, um Log-in-Daten der Beamten abzugreifen.

252 Polizeibeamte sind auf einen Phishing-Test der Berliner Polizei hereingefallen und haben eine gefälschte E-Mail mit einem Link geöffnet. 35 Beamte haben die Anweisungen befolgt und verschiedene Nutzerdaten hinterlegt, berichtet der Tagesspiegel.

Insgesamt seien 466 E-Mails in Umlauf gewesen. Demnach sind mehr als 50 Prozent der Polizeibeamten auf die Phishing-E-Mail hereingefallen. Dem Tagesspiegel zufolge will die Polizei das nicht kommentieren; solche Sicherheitstests fänden regelmäßig statt. "Die Polizei ist nur ein Spiegelbild unserer Gesellschaft.", erklärt das Vorstandmitglied Steve Feldmann gegenüber dem Tagesspiegel.

Die Mail soll im Corporate Design der Polizei dahergekommen sein und die Beamten aufgefordert haben, ihre dienstlichen und privaten Passwörter im „sicheren Passwortspeicher der Polizei Berlin (SPS)“ zu deponieren.

Quelle : www.heise.de

[SiLæncer]

In der Hoffnung auf satte Gewinne haben Kriminelle kräftig in ein möglichst authentisches Erscheinungsbild ihrer Phishing-Kampagnen investiert. Es wird immer schwieriger, nicht auf die zum Teil fast perfekten Fälschungen hereinzufallen.

Eine letzte Chance bietet der Blick in die Adresszeile: Der Domain amazon-daten-updates.ru sollte man seine Zugangsdaten besser nicht anvertrauen.

Unter der Deckung des adventlichen Online-Einkaufsrummels versuchen derzeit wieder zahlreiche Kriminelle, den Kunden beliebter Einkaufs- und Bezahlplattformen die Identität zu stehlen und das Geld aus der Tasche zu ziehen. Wer meint, Spam- und andere schädliche E-Mails einfach erkennen zu können, zieht leicht den Kürzeren: Gegenüber den Vorjahren haben die zurzeit grassierenden E-Mails deutlich an Authentizität zugelegt.

"Sie erkennen Spoof oder Phishing-E-Mails oftmals schon in der Anrede. PayPal wird Sie immer mit Ihrem Vor- und Nachnamen anschreiben." Hinweise wie dieser gehen immer häufiger ins Leere, denn ein wachsender Teil der Phishing-Mails sieht nicht nur echt aus, sondern beginnt eben auch mit dem tatsächlichen Namen des Adressaten. Den Tätern stehen offenbar Datensätze aus geknackten Shops zur Verfügung, in denen die Angeschriebenen früher einmal eingekauft haben.

heise online sind mehrere Fälle bekannt, in denen versierte und skeptische Internet-Anwender beinahe auf vermeintliche PayPal-Buchungen oder Amazon-Warnungen vor "ungewöhnlichen Logins" hereingefallen wären. Die E-Mails und die darin verlinkten, zum Abgreifen der Daten präparierten Webseiten sind äußerlich zum Teil nicht von den Originalen zu unterscheiden. Lediglich die Links selbst offenbaren bei genauem Hinschauen die unlauteren Absichten der Täter, da sie zu deren Servern führen statt zu denen von PayPal, Amazon & Co. Doch Domainnamen, die zumindest so ähnlich aussehen wie die Originale, stehen den Tätern praktisch unbegrenzt zur Verfügung.

Als Vorsichtsmaßnahme hilft nur, grundsätzlich nicht auf URLs in E-Mails zu klicken, wie sie viele Anbieter leider tatsächlich gerne versenden, sondern die gewünschten Seiten aus dem Browser heraus unter dem bekannten Link anzusteuern. Dies gilt insbesondere dann, wenn die E-Mail unerwartet eingeht und sich auf einen vorher nicht bekannten Vorgang bezieht.

Quelle : www.heise.de

[SiLæncer]

Das ging schnell: Kaum ist das Gesetz zur Vorratsdatenspeicherung in Kraft getreten, gehen Betrüger damit auf Passwortfang.

Eigentlich ist die Vorratsdatenspeicherung wieder eingeführt worden, um Straftaten besser aufklären zu können. Vorerst wird damit jedoch eher die Fantasie von Kriminellen beflügelt: Wenige Tage nach Inkrafttreten des neuen Gesetzes nehmen es erste Phishing-Mails als Vorwand, um Nutzer zur Aktualisierung ihrer Daten aufzufordern - was nicht einer gewissen Ironie entbehrt. Dass an den Mails inhaltlich so ziemlich alles falsch ist, was die anlasslose Speicherung der Kommunikationsdaten betrifft, dürfte die Betrüger wenig stören, solange sie ahnungslose und verunsicherte Opfer finden.

Die Mail unter dem Betreff "Wichtige Anweisungen bezüglich der Vorratsdatenspeicherung" stammt angeblich vom Zahlungsdienstleister Paypal. Darin heißt es: "Wie Sie bereits wissen, wurde die Vorratsdatenspeicherung per Gesetz verabschiedet und auch wir sind gezwungen zu handeln. Durch diese Gesetzesänderung werden Sie nun aufgefordert, Ihre bestehenden Daten zu bestätigen respektive zu aktualisieren!" Was alles in allem kompletter Unsinn ist.

Zum einen ist das Gesetz zwar vor wenigen Tagen in Kraft getreten, allerdings startet die eigentliche Vorratsdatenspeicherung wohl erst in anderthalb Jahren. Zuvor muss das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch die Speichervorgaben für die Provider festlegen, die dann innerhalb von sechs Monaten umzusetzen sind. Zum anderen betrifft das Gesetz nur die Verbindungsdaten wie Datum, Uhrzeit und Telefonnummern eines Gesprächs. Die Betrüger sind hingegen an den Bestandsdaten der Nutzer interessiert, vor allem natürlich an deren Passwörtern. Zu guter Letzt ist Paypal als Finanzdienstleister nicht von der Vorratsdatenspeicherung betroffen.

Die Einführung der Vorratsdatenspeicherung selbst dürfte die Kriminellen nicht stören. Solche Phishing-Attacken gehören nicht zu den Straftaten, für die bei den Providern Verbindungsdaten abgefragt werden dürfen.

Quelle : www.golem.de

[SiLæncer]

Ein Mitarbeiter einer Sicherheitsfirma veröffentlicht ein Proof of Concept, mit dem man Daten von LastPass-Nutzern abfischen kann. Dahinter soll aber keine böse Absicht stecken, vielmehr will er Nutzer für perfide Phishing-Kampagnen sensibilisieren.

Der technische Leiter der Sicherheitsfirma Praesidio Sean Cassidy hat sich eine Phishing-Masche überlegt, über die Angreifer neben Benutzernamen und Passwörtern auch Codes der Zwei-Faktor-Authentifizierung von Nutzern des Passwortverwalters LastPass 4.0 abfangen könnten. Cassidy nennt den Übergriff LostPass und stellt den Code auf Github zur Verfügung.

Mit seinem Proof of Concept will er aber keine Angreifer motivieren, sondern Nutzer für perfide Phishing-Kampagnen sensibilisieren. Für ihn schlägt Phishing in dieselbe Kerbe wie Remote-Code-Ausführung. Zudem ist es ihm wichtig, dass die "Sicherheitsindustrie nicht so naiv" mit Phishing umgeht, da es sich um einen dominanten Angriffsvektor handelt.

Perfider Phish spooft

Sein Phishing-Ansatz startet mit einer Fake-Benachrichtung innerhalb eines Webbrowsers, die davor warnt, dass die LastPass-Session abgelaufen sei und man sich neu einloggen müsse. Die Fake-Warnung taucht direkt unter der Adressleiste auf; an dieser Stelle erscheinen auch legitime LastPass-Hinweise, erläuterte Cassidy.

Das sollen Angreifer erreichen können, indem sie Opfer auf eine harmlos aussehende Webseite mit Schadcode locken. Der Code könne aber auch, etwa über eine XSS-Lücke, auf andere Webseiten geschmuggelt werden. Da LastPass Cassidy zufolge für Cross-Site-Request-Forgery-Übergriffe (CSRF) anfällig ist, kann eine beliebige Webseite Nutzer von ihrem LastPass-Konto abmelden.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Fast 15 Jahre nach der Einführung internationaler Domainnamen (IDN) sind Chrome, Firefox und andere Browser noch immer für Phishing mittels homographischer Angriffe anfällig. Die bisherigen Gegenmaßnahmen der Browser sind unzureichend.

Firefox, Chrome und weitere Browser sind anfällig für Phishing mittels internationaler Domainnamen (IDN). Dabei werden Domains mit homographischen also identisch erscheinenden Zeichen registriert, um Opfer auf Phishing-Seiten zu locken. Die "Unicode-Domains" wurden 2003 standardisiert, um Domain-Namen außerhalb des Ascii-Zeichenraums darstellen zu können. Damit können etwa chinesische oder arabische Zeichen in Domains verwendet werden.

Der ganze Artikel

Quelle : www.heise.de

[Jürgen]

So schwer kann das eigentlich nicht sein.

Entweder stellt man Unicode Domains warnend in rot dar, oder wenn man nur dann wenigstens etwas Platz opfern mag, den Punycode-Domainnamen führend  - und dann nur genau den - sehr auffällig hinzu.

Jürgen

[SiLæncer]

Russische Hacker benutzen Googles AMP-Dienst, um böse URLs als Google-Dienste zu tarnen. Es ist nur eine Frage der Zeit, bis das Schule macht.

Cyberkriminelle versuchen immer wieder, ihre Opfer dazu zu bewegen, von sich aus sensible Informationen preiszugeben. Das funktioniert oft so, dass sie Seiten bauen, die wie legitime Webdienste aussehen und dann die URL dieser Seiten tarnen. Forscher des CItizen Lab der Universität Toronto haben jetzt eine gezielte Phishing-Kampagne offen gelegt, in der die Angreifer eine Kombination aus einem Short-URL-Dienst und Googles Mobilbeschleuniger AMP genutzt haben, um das zu erreichen.

Die Phisher versendeten eine perfekt gefälschte Passwort-Reset-Nachricht für ein Google-Konto. Der Knopf zum Zurücksetzen des Passworts zeigte allerdings auf ihren Server anstatt auf den von Google. Um das zu vertuschen jagten sie die URL ihres Servers durch einen Linkverkürzer (in diesem Fall Tiny.cc) und übergaben diese URL dann an Googles AMP-Dienst. Herauskam eine URL nach dem Muster https://www.google.com/amp/tiny.cc/evilstuff – auf den ersten Blick sieht es so aus, als führt der Link zu Google.

Das Citizen Lab vermutet, dass es sich bei den Phishern um eine Einheit des russischen Militär-Geheimdienstes GRU handelt. Bei dem Angriff wurde unter anderem ein US-Journalist gezielt angegriffen, der für kritische Berichterstattung aus Russland ausgewiesen worden war. Jetzt, wo die Methode für Aufsehen in der Öffentlichkeit gesorgt hat, wird es erfahrungsgemäß nicht lange dauern, bevor auch gewöhnliche Cyberkriminelle diese Methode einsetzen. Google hatte in der Vergangenheit bezweifelt, dass ihre Redirect-Dienste eine Gefahr darstellen, wenn sie überwacht werden. Bei AMP scheint das nicht besonders gut funktioniert zu haben.

Quelle : www.heise.de

[SiLæncer]

Phishing, vor allem Spear-Phishing, kommt gerade wieder gehäuft vor. Warum finden solche Angriffe statt und welche Techniken haben die Angreifer zur Verfügung?

In der ersten Hälfte des Jahres sind E-Mail-basierte Phishing-Angriffe gegen Firmen um mehr als ein Drittel gestiegen. Vertriebler, Mitarbeiter im Gesundheitswesen und die öffentliche Verwaltung sind dabei den meisten Angriffen dieser Art ausgesetzt. Etwas über fünf Prozent der gezielten Angriffe richten sich an Firmenchefs und Geschäftsführer – eine signifikante Menge, angesichts der vergleichsweise kleinen Anzahl von Chefs im Vergleich zu den übrigen Beschäftigten. Zu diesen Ergebnissen kommt die Sicherheitsfirma Proofpoint in einem Bericht über gezielte Hackerangriffe auf Firmen.

Der ganze Artikel

Quelle : www.heise.de