Password – Byggvir of Barley

Dropbox hack?

Zahl der Dropbox Passwörter y mit der Länge x

Unter pastebin.com/aRgTJzzg wurden 400 von angebliche ca. 7 Millionen gehackten Dropbox Accounts veröffentlicht. Schaut man sich die Passwörter an, so sind diese allesamt nicht sonderlich sicher. 45% der Passwörter sind kürzer als 8 Zeichen. Nur zwei der 400 Passwörter hätte ich auf den ersten Blick für sicher gehalten. Wenn der Nutzername „Ben Kek“ ist, dann ist „b3nk3k“ auch kein sonderlich gutes Passwort. „14everything“ ist zwar 12 Zeichen lang, lässt aber ahnen, dass es wirklich für alle Konten gilt.

Bis auf zwei sind die Passwörter alle grob fahrlässig ausgesucht. Da braucht es zum Knacken keine Supercomputer der NSA; da ist selbst ein alter C 64 zu schade für.

Dann gute Nacht Leute – heute im doppelten Sinn des Wortes.

Angriff auf die eBay Kundendaten: Was nun?

Nachdem sich Unbekannte mit erbeuteten Mitarbeiter-Logins Zugriff auf eBays Kundendaten verschafft haben, stellt sich die Frage, was tun? eBay Empfehlung: Passwort ändern. Aber reicht es aus?

Ich denke nicht. „Angriff auf die eBay Kundendaten: Was nun?“ weiterlesen

SPAM: You have 1 Unread Message From PayPal!

Hier heute flatterte wieder eine Password Pishing Mail in meinen Briefkasten. Interessant war nur, dass es sich bei den Rechnern um T-Online – pdxxxxxxxx.dip0.t-ipconnect.de Kunden mit DSL-Anschluss handelt. Die IP-Adresse dieser Rechner wechselt mindestens täglich und so kann dies nur 24 Stunden. Der Weg zur falschen Web-Seite führt über eine Weiterleitung (über den selben Rechner)

From: „PayPal Account“<secure@mailservice.Paypal.com>
Subject: You have 1 Unread Message From PayPal!

———————————————————————-
We need your help
———————————————————————-

Dear valued PayPaI® Customer,

We need your help resolving an issue with your account. To give us time to
work together on this, we’ve temporarily limited what you can do with your
account until the issue is resolved.

What’s the problem?

We noticed some unusual activity on the credit card linked to your PayPaI® account.

Case ID Number: PP-001-212-055-698

How you can help

It’s usually pretty easy to take care of things like this. Most of the
time, we just need a little more information about your account.

To help us with this and to find out what you can and can’t do with your
account until the issue is resolved, please proceed to our secure webform by clicking here.

Thanks,
PayPaI®

Please do not reply to this email. This mailbox is not monitored and you
will not receive a response.
—————————————————————-
Copyright © 1999-2012 PayPaI®. All rights reserved.

Screen Shot E-Mail — Screen Shot der gefälschten E-Mail

Screen Shot der gefälschten Seite — Screen Shot der Pishing Seite auf einen Telekom-Kunden Rechner.

SPAM – Angeblich von Amazon: Account verifizierung

Ich weiß, Verifizierung ist ein Substantiv und beginnt mit einem Großbuchstaben. Aber unser Betrüger weiß es nicht. Über den Server kundenstatus.eu versucht er, die Daten Ahnungsloser samt Password und Kreditkarte zu ergattern. Die Domain wurde erst am 14. September registriert.

Während es sich bei der E-Mail um eine einfache Text-Nachricht handelt, ist die Seite mit Hilfe der originalen Elemente von Amazon sehr überzeugend nach gebaut. Die Seite gibt sich alle Mühe, den Zugriff auf den Quellcode zu erschweren, Dazu wird die rechte Maustatse abgefangen, was für den Web Developer Werkzeugkasten jedoch kein Hindernis darstellt. Ist dieses Hindernis überwunden, zweigt sich, dass der Quelltext als JavaScript verschleiert ist, was seine Lesbarkeit einschränkt. Auch hier hilft der Web Developer Werkzeugkasten, der eine Option bietet sich den erzeugten Quelltext anzuzeigen. Besondere Erkenntnisse ergeben sich dadurch allerdings nicht. Im wesentlichen werden die einzelnen Bausteine direkt von Amazon genommen. Wenn ich es richtig gesehen habe, wird das Formular über den Server kundenstatus.eu abgeschickt.

Damit soll es gut sein, anbei noch der Text der Mail

gute Nacht – oder sollte ich schon wieder guten Morgen sagen.

Text der Mail:

Sehr geehrter Amazon.de Kunde,

unser kostenloser Amazon.de Service ï¿½berzeugt durch seine kundenfreundliche Nutzung.

Damit Sie als aktiver Nutzer den Service wie gewohnt in Anspruch nehmen kï¿½nnen, ist lediglich eine Bestï¿½tigung Ihrer Amazon.de Daten notwendig.

Um Ihre nï¿½chste Bestellung nicht durch das erforderliche Verfahren zu verzï¿½gern, sollten Sie Ihre Amazon.de Daten bis zum 31.08.2012 bestï¿½tigen. Klicken Sie dazu bitte auf

http://kundenstatus.eu

Nach klicken des Links verifizieren Sie sich bitte innerhalb von 24 Stunden, andernfalls wird Ihr Kundenkonto aus Sicherheitsgrï¿½nden automatisch gesperrt.

Unser Kundenservice steht Ihnen unter der Rufnummer 0180 500 33 21* zur Verfï¿½gung.

Mit den besten Grï¿½ï¿½en,

Dirk Sebastian
Leitung Kundenservice Amazon.de

*Kundenservice-Hotline 0180 5 00 33 21
(Mo. – Fr. 8:00 – 18:00 Uhr,
32Cent je angefangene Minute aus den deutschen Festnetzen,
hï¿½chstens 89 Cent pro angefangene Minute aus den deutschen Mobilfunknetzen).

Postbank – Nachtrag

Poostbank Fraud E-Mail Screenshot der Phishing Seite — Postbank Fraud E-Mail

Gestern hatte ich kurz vor einer arglistigen oder betrügerischen(fraudulent)^[1] E-Mail ^[2] gewarnt. Dies ist die Variante der „Chase Account Update Phishing Mails“ für deutsche Postbankkunden.

Schaut man sich die Mail genau an – im HTML-Format – fällt auf, dass an Stelle der deutschen Umlaute kyrillischen Zeichen erscheinen. Dies liegt daran, dass der als Content-Type: text/html; charset=“Windows-1251″^[3] angegeben ist. Die 1251 steht dabei für kyrillisch. Um für deutsche Postbankkunden die Umlaute richtig anzuzeigen, muss hier 1252 stehen. Die Mail wurde von einem – vermutlich kompromittierten – Rechner in Amerika verschickt.

In der HTML-Ansicht scheinen die Links auf einen Server der Postbank zu zeigen – ein alter und immer noch beliebter Trick. Versuchen Sie es mal hier: https://banking.postbank.de/rai/login (Auch eine schöne Seite, aber bitte nicht zu lange weg bleiben, wiederkommen und weiter lesen.)

In der Text-Ansicht wird der Trick sichtbar:

Ausschnitt:

Login :<BR>
<A href="http://mail.thephx.com/banking.postbank.de/">https://banking.postbank.de/rai/login</A>

Ein Klick auf den Link in der Mail führt zu einem Server mail.thephx.com und nicht zum Server der Postbank. Einen Screenshot der Seite sehen Sie am Anfang dieses Beitrages. Die IP-Adressen der Rechner gehören zu großen Netzen nord-amerikanischer Provider. Mehr habe ich noch nicht herausgefunden. „The Phonix“ ist ein historischer „Gentleman‘ Club“. Warum in deren Namensraum ein Eintrag auf den Server mail.thephx.com (IP:69.61.181.2) existiert? Gute Frage.

Interessant ist das Ergebnis von McAfee zur Seite: http://www.siteadvisor.com/sites/mail.thephx.com

Sicherer surfen? Ja. Sicher surfen? Nein! Ich habe mich dort jetzt als Site Reviewer angemeldet.

Bei dem „Chase Account Update“-Betrug wird die Mail über eine Domain recommendedinns.com (IP:173.224.213.145) verschickt, die zur Seite http://www.recommendedinns.com/ führt. Der Web-Server und der Names-Server liegen auf der gleichen IP-Adresse. Warum der Server die Mails weiter leitet? Vielleicht ist er als offener Relay-Host konfiguriert?

Anmerkung: Wer keine kyrillisch schreibenden E-Mail Partner hat, der hat mit dem Charakter Set Windows-1251 einen guten Spam Indikator.

Schluss für heute.

^[1]Englisch: fraudulent; fraud = Betrug oder Betrüger …↩
^[2]Siehe „Postbank — Wichtig! — Nein, gewiss nicht!“↩
^[3]Siehe Wikipedia Windows-1251 ↩

The Webalizer – Statistiken absichern

Wer einen Web-Server betreibt, der möchte – so wie ich – wissen, was so auf seinem Server vor sich geht. Welche Seiten werden besucht, wie viele, von wem, usw. Da bietet sich The Welalizer als Tool für die Auswertung der Access Logs an. Die Installation ist einfach, die Konfiguration auch. Dazu aber etwas in einem späteren Artikel. Hier möchte ich etwas über die Absicherung der Statistiken schreiben, weil mir auffiel, dass viele Administratoren die Statistiken nicht vor Zugriffen schützen.

„The Webalizer – Statistiken absichern“ weiterlesen