[vgwort line=“75″ server=“vg05″ openid=“1b8f90a0d78f439ca14a3cc1c373f882″]
Die meisten Admins haben den Einbruch in ihrer Server bereits erkannt. Nur zwei Server sind seit mehreren Wochen nicht bereinigt. Der Server, der für den Angriff vom letzten Wochenende missbraucht wurde, war nach zwei Tagen bereinigt. Jemand hat in kurzer Zeit den Server mit zig-tausenden Anfragen geflutet; in der letzten Log-Datei, die ich heruntergeladen habe, fanden sich fast 40.000 Einträge und es dürften noch einige dazu gekommen sein. Damit musste der Server in kurzer Zeit mindestens 120.000 E-Mails abwickeln. Auch eine Methode den Admin per DoS auf sein Problem hinzuweisen; aber nicht unbedingt die feine Art.
Inzwischen habe ich die Sparkassen-Phishing-Software von vier Servern herunterladen können. Danach wurde diese Variante am 19. August 2014 erstmals erstellt. Einige Stunden später ist dem Täter aufgefallen, dass er einen Fehler in der Phishing Seite hat. Der Name des Opfers wurde nicht ins Log geschrieben und an den Täter per E-Mail übermittelt.
Diese fehlerhafte Version der Seite wurde Mitte November und am letzten Wochenende wieder verwendet. Entweder nutzt ein zweiter Täter die erste Version oder der Täter hat den Überblick verloren. Die E-Mail Adressen werden langfristig verwendet. Inzwischen habe ich drei Dreiergruppen (die Kontodaten werden immer an drei Adressen gesendet) gefunden.
Nicht nur über bei mir eingegangene E-Mails sondern auch über eine Google-Suche habe ich inzwischen weitere gehackte Seiten gefunden. Wer wissen berechtigtes Interesse hat zu wissen, wie dies geht, frage mich per E-Mail. Da die Kontodaten der Opfer auf den Servern und im Google Cache offen einsehbar sind, möchte ich dieses Wissen nicht unnötig verbreiten. Obwohl die Seiten auf den betroffenen Servern nicht verlinkt sind, landen sie im Google Index.
Eine etwas modifizierte Suche förderte drei weitere, teilweise seit Monaten nicht bereinigte Server zu Tage, die andere Banken betrafen. Ein Server wurde sogar nach Monaten mit für eine zweite Bank verwendet. Einige Seiten werden vom Safe Browsing nicht als Betrugsseiten erkannt. Neben der Sparkasse DE und CH sowie ING DiBa habe ich noch BAWAG, BPSK, Hypo-Vereinsbank und Volksbank zu bieten. Damit komme ich zurück bis in den Januar 2014. Am Grundprinzip hat sich dabei nur wenig geändert, außer dass Anfang 2014 die Mitteilungen nur an zwei Adressen bei einem Provider geschickt wurde. Im Juli oder August 2014 wurde die Software zur Erstellung der gefälschten Seiten gewechselt.
Die gute Nachricht: Die Betrüger waren kaum erfolgreich, mussten aber jede Menge Mails von Scherzbolden, die ihnen alles mögliche an den Hals wünschten, aussortieren. Die Seiten sind derzeit ungefährlich und können gefahrlos mit falschen Daten gefüttert werden. Wenn viele mitmachen, dürften die Betrüger es schwer haben, die Spreu vom Weizen zu trennen.
mich würde ja interessieren, wie ich einfach bei der eingabe „bankadresse“ in das adressfeld des browsers auf die seite von pauljunker.com mit verschiedenen weiterleitungen komme. kann vertippen die ursache sein?
danke!
Keine Ahnung, funktioniert bei mir nicht.