Bis auf zwei sind die Passwörter alle grob fahrlässig ausgesucht. Da braucht es zum Knacken keine Supercomputer der NSA; da ist selbst ein alter C 64 zu schade für.
Dann gute Nacht Leute – heute im doppelten Sinn des Wortes.
Too much to write about everything!
Bis auf zwei sind die Passwörter alle grob fahrlässig ausgesucht. Da braucht es zum Knacken keine Supercomputer der NSA; da ist selbst ein alter C 64 zu schade für.
Dann gute Nacht Leute – heute im doppelten Sinn des Wortes.
Nachdem sich Unbekannte mit erbeuteten Mitarbeiter-Logins Zugriff auf eBays Kundendaten verschafft haben, stellt sich die Frage, was tun? eBay Empfehlung: Passwort ändern. Aber reicht es aus?
Ich denke nicht. „Angriff auf die eBay Kundendaten: Was nun?“ weiterlesen
Hier heute flatterte wieder eine Password Pishing Mail in meinen Briefkasten. Interessant war nur, dass es sich bei den Rechnern um T-Online – pdxxxxxxxx.dip0.t-ipconnect.de Kunden mit DSL-Anschluss handelt. Die IP-Adresse dieser Rechner wechselt mindestens täglich und so kann dies nur 24 Stunden. Der Weg zur falschen Web-Seite führt über eine Weiterleitung (über den selben Rechner)
———————————————————————-
We need your help
———————————————————————-
Dear valued PayPaI® Customer,
We need your help resolving an issue with your account. To give us time to
work together on this, we’ve temporarily limited what you can do with your
account until the issue is resolved.
What’s the problem?
We noticed some unusual activity on the credit card linked to your PayPaI® account.
Case ID Number: PP-001-212-055-698
How you can help
It’s usually pretty easy to take care of things like this. Most of the
time, we just need a little more information about your account.
To help us with this and to find out what you can and can’t do with your
account until the issue is resolved, please proceed to our secure webform by clicking here.
Thanks,
PayPaI®
Während es sich bei der E-Mail um eine einfache Text-Nachricht handelt, ist die Seite mit Hilfe der originalen Elemente von Amazon sehr überzeugend nach gebaut. Die Seite gibt sich alle Mühe, den Zugriff auf den Quellcode zu erschweren, Dazu wird die rechte Maustatse abgefangen, was für den Web Developer Werkzeugkasten jedoch kein Hindernis darstellt. Ist dieses Hindernis überwunden, zweigt sich, dass der Quelltext als JavaScript verschleiert ist, was seine Lesbarkeit einschränkt. Auch hier hilft der Web Developer Werkzeugkasten, der eine Option bietet sich den erzeugten Quelltext anzuzeigen. Besondere Erkenntnisse ergeben sich dadurch allerdings nicht. Im wesentlichen werden die einzelnen Bausteine direkt von Amazon genommen. Wenn ich es richtig gesehen habe, wird das Formular über den Server kundenstatus.eu abgeschickt.
Damit soll es gut sein, anbei noch der Text der Mail
gute Nacht – oder sollte ich schon wieder guten Morgen sagen.
Text der Mail:
unser kostenloser Amazon.de Service �berzeugt durch seine kundenfreundliche Nutzung.
Damit Sie als aktiver Nutzer den Service wie gewohnt in Anspruch nehmen k�nnen, ist lediglich eine Best�tigung Ihrer Amazon.de Daten notwendig.
Um Ihre n�chste Bestellung nicht durch das erforderliche Verfahren zu verz�gern, sollten Sie Ihre Amazon.de Daten bis zum 31.08.2012 best�tigen. Klicken Sie dazu bitte auf
http://kundenstatus.eu
Nach klicken des Links verifizieren Sie sich bitte innerhalb von 24 Stunden, andernfalls wird Ihr Kundenkonto aus Sicherheitsgr�nden automatisch gesperrt.
Unser Kundenservice steht Ihnen unter der Rufnummer 0180 500 33 21* zur Verf�gung.
Mit den besten Gr��en,
Dirk Sebastian
Leitung Kundenservice Amazon.de
*Kundenservice-Hotline 0180 5 00 33 21
(Mo. – Fr. 8:00 – 18:00 Uhr,
32Cent je angefangene Minute aus den deutschen Festnetzen,
h�chstens 89 Cent pro angefangene Minute aus den deutschen Mobilfunknetzen).
� Amazon.de Europe Services Inc. All rights reserved. All trademarks are property of their respective owners in the US and other countries.
Gestern hatte ich kurz vor einer arglistigen oder betrügerischen(fraudulent)[1] E-Mail [2] gewarnt. Dies ist die Variante der „Chase Account Update Phishing Mails“ für deutsche Postbankkunden.
Schaut man sich die Mail genau an – im HTML-Format – fällt auf, dass an Stelle der deutschen Umlaute kyrillischen Zeichen erscheinen. Dies liegt daran, dass der als Content-Type: text/html; charset=“Windows-1251″[3] angegeben ist. Die 1251 steht dabei für kyrillisch. Um für deutsche Postbankkunden die Umlaute richtig anzuzeigen, muss hier 1252 stehen. Die Mail wurde von einem – vermutlich kompromittierten – Rechner in Amerika verschickt.
In der HTML-Ansicht scheinen die Links auf einen Server der Postbank zu zeigen – ein alter und immer noch beliebter Trick. Versuchen Sie es mal hier: https://banking.postbank.de/rai/login (Auch eine schöne Seite, aber bitte nicht zu lange weg bleiben, wiederkommen und weiter lesen.)
In der Text-Ansicht wird der Trick sichtbar:
Ausschnitt:
Login :<BR> <A href="http://mail.thephx.com/banking.postbank.de/">https://banking.postbank.de/rai/login</A>
Ein Klick auf den Link in der Mail führt zu einem Server mail.thephx.com und nicht zum Server der Postbank. Einen Screenshot der Seite sehen Sie am Anfang dieses Beitrages. Die IP-Adressen der Rechner gehören zu großen Netzen nord-amerikanischer Provider. Mehr habe ich noch nicht herausgefunden. „The Phonix“ ist ein historischer „Gentleman‘ Club“. Warum in deren Namensraum ein Eintrag auf den Server mail.thephx.com (IP:69.61.181.2) existiert? Gute Frage.
Interessant ist das Ergebnis von McAfee zur Seite: http://www.siteadvisor.com/sites/mail.thephx.com
Sicherer surfen? Ja. Sicher surfen? Nein! Ich habe mich dort jetzt als Site Reviewer angemeldet.
Bei dem „Chase Account Update“-Betrug wird die Mail über eine Domain recommendedinns.com (IP:173.224.213.145) verschickt, die zur Seite http://www.recommendedinns.com/ führt. Der Web-Server und der Names-Server liegen auf der gleichen IP-Adresse. Warum der Server die Mails weiter leitet? Vielleicht ist er als offener Relay-Host konfiguriert?
Anmerkung: Wer keine kyrillisch schreibenden E-Mail Partner hat, der hat mit dem Charakter Set Windows-1251 einen guten Spam Indikator.
Schluss für heute.
Wer einen Web-Server betreibt, der möchte – so wie ich – wissen, was so auf seinem Server vor sich geht. Welche Seiten werden besucht, wie viele, von wem, usw. Da bietet sich The Welalizer als Tool für die Auswertung der Access Logs an. Die Installation ist einfach, die Konfiguration auch. Dazu aber etwas in einem späteren Artikel. Hier möchte ich etwas über die Absicherung der Statistiken schreiben, weil mir auffiel, dass viele Administratoren die Statistiken nicht vor Zugriffen schützen.