Phishing: Wie kommt die PIN zum Betrüger?

[vgwort line=“74″ server=“vg05″ openid=“f85985099e42487cadcb5a21dd3c1398″]

In der Regel erreichen mich pro Tag zwei, drei oder mehr Phishing Mails, die behaupten, dass ich mein Konto bei Commerzbank, ING DiBa, PayPal, Postbank oder Sparkasse prüfen muss, weil es gesperrt wurde und / oder geprüft werden muss. Vor diesen Mails habe ich so oft gewarnt, dass weitere Warnung überflüssig sein sollten. Eigentlich beachte ich diese Mails daher nicht mehr. Die Domains wechseln schneller als ich Artikel schreiben kann, und wenn jemand nach der Domain sucht, ist es bereits in der Regel bereits zu spät.

Wie es hinter den Web-Seiten weiter geht, konnte ich bisher nur vermuten. Bis heute!

Heute habe ich mir drei Phishing Mails und die Web-Seiten näher angeschaut. Dabei bin ich durch Zufall auf einen sehr ergiebigen Server gestoßen. Die Verbrecher waren so nett ihre Software auf dem Server als ZIP-Archiv zu hinterlassen. Bisher hatte ich keine Gelegenheit den Quelltext der PHP-Scripte zu analysieren. Durch diese ZIP-Archive konnte ich heute Einblick in den PHP-Quelltext nehmen.

Das PHP-Script ist viel einfacher als ich erwartet habe. Ohne irgendwelche Prüfungen werden die Eingaben unverschlüsselt per Mail an drei Adressen verschickt und gleichzeitig in einer Datei auf dem Server mitgeschrieben. Als E-Mail Provider nutzen die Betrüger drei verschiedene Adressen von Google (gmail.com), Microsoft (outlook.com) und Yahoo (yahoo.com). Am Ende wird der Aufruf einfach per PHP-Funktion header() auf eine Seite der Bank oder Sparkasse umgeleitet.

Die ersten Log-Einträge in einer der Log-Dateien lassen vermuten, dass die Installation getestet wurde. Bei mindestens einer der verwendeten IP-Adressen handelt es sich um einen TOR-Exit.

Wie kann der Phishing-Angriff unterbunden werden?

Mit der Verwendung von drei E-Mail-Adressen als Empfänger und einer Log-Datei auf dem Server haben die Kriminellen eine hohe Redundanz implementiert.

Um den Phishing-Angriff vollständig zu unterbinden muss der Server bereinigt werden. Die drei E-Mail Adressen zu blockieren reicht nicht aus, da die Verbrecher immer auch direkt auf die Daten in der Log-Datei zugreifen können. Außredem könnten sie die blockierte E-Mail-Adressen austauschen.

Durch den Versand der Daten per E-Mail können die Verbrecher Ereignis gesteuert auf neue Daten reagieren. Die Log-Dateien müssten sie per „Pull“ abrufen. Über das TOR-Netzwerk und das Web-Mail-Interface der Provider können die Verbrecher die E-Mails anonym abrufen. Daher ist es recht schwer die Spur zu den Verbrechern weiter zu verfolgen.

Da jeder die Log-Dateien abrufen kann – Maßnahmen zum Datenschutz kann ich von den Verbrecher sicher nicht erwarten – , gebe ich hier die Server und Namen der Log-Dateien nicht preis und beschränke mich auf die Wiedergabe der Inhalte. Die Log-Dateien weisen zwei grundsätzlich unterschiedliche Formate auf, so dass die beiden Scripte möglicherweise von unterschiedlichen Programmierern stammen. Mri lieg leider nur das Sparkassen Script vor.

Wie erfolgreich sind die Verbrecher

Dank der Log-Dateien lässt sich nachvollziehen, wie erfolgreich die Kriminellen mit der Masche sind. Die E-Mails wurden gestern Abend verschickt. Laut den Log_dateien wurde auf die Phishing-Seiten von 8, 37 oder 82 verschiednen IP-Adressen zugegriffen; manche Besucher kamen mehrfach.

Nun die gute Nachricht: Es hat in den letzten 24 Stunden nicht ein Opfer gegeben.

Nur zwei Besucher haben den Verbrechern Daten hinterlassen: Ich und ein Scherzbold, der seinem Unmut in den Eingabefeldern freien Lauf gelassen hat. Wäre seine Ausdrucksweise nicht so deftig, dann würde ich mich seiner Meinung anschließen.

Log-Formate

Zum Schluss noch ein näherer Blick in die Log-Dateien. Im Falle des deutschen Sparkassen-Phishing ist das Log-Format einzeilig und sehr einfach:

Ich nutze kein Web-Banking, aber ich vermisse die Bankleitzahl (BLZ) in den Daten, es gibt in Deutschland viele Sparkassen mit unterscheidlichen BLZ. Die Daten sind daher meiner Meinung nach unzureichend für einen Betrug. Allerdings lässt sich in vielen Fällen aus dem Ort auf die zugehörige Sparkasse und BLZ schließen. Auch wird nicht nach einer TAN gefragt. Aber diese „modernen“ und „hochsicheren“ TAN-Verfahren nutze ich nicht. Kurz: Ich kenne mich damit nicht aus. Es kann also sein, dass für den Anfang diese Daten für einen späteren Betrug ausreichen.

Die Log-Datei für die Schweizer Sparkasse ist sehr ähnlich aufgebaut. Einen Beschreibung erspare ich mir.

Im Fall der ING DiBa ist das Log-Format mehrzeilig.

Diesen mehrzeiligen Aufbau finde ich zu kompliziert und für die Auswertung ungünstig; einzeilige Log-Eiträge sind mit Shell-Scripten (z.B. awk) sehr einfach auszuwerten. Auch für das Sammeln in einer Datenbank ist diese Form viel zu kompliziert auszuwerten. Großartige Programmierleistung steckt hinter diesen Seiten nicht. Da verbleibt nur noch die Kunst die Server zu hacken.

Interessant sind an der zweiten Form der Log-Dateien sind die enthaltennen Zeitstempel zu den Datensätzen. Obwohl die E-Mail gestern verschickt wurde, dauertes es fast 24 Stunden bis heute Nachmittag der ersten Log-Eintrag erscheint. Natürlich kann das Log auch zwischenzeitlich gelöscht worden sein, denn es wurde offenbar nicht getestet.

Genug für heute. Gute Nacht