IT-Sicherheit: Wie wir einem unachtsamen Phisher auf die Schliche kamen

Inhaltsverzeichnis

Eine verdächtige Mail mit einer noch verdächtigeren URL landete in einem Spam-Filter, den einer unserer Leser betreut. Beruflich kümmert er sich um IT-Sicherheit und so war ihm sofort klar, dass es sich bei der vermeintlichen Aufforderung des Mailanbieters, sich aus Sicherheitsgründen sofort an der Webmail-Oberfläche anzumelden, um einen Phishing-Versuch handeln musste. Der Link in der Mail zeigte zu einer Subdomain von web.core.windows.net und enthielt am Ende als Query-Parameter die Mailadresse. Neugierig schaute sich der Leser die Seite an und fand ein anschauliches Beispiel für eine Phishing-Attacke – und eine Sicherheitslücke zu Ungunsten des Phishers.

In einer virtuellen Maschine probierten wir den Link aus und tauschten die Mailadresse im Link durch eine Beispiel-Adresse beim deutschen Mail-Hoster Web.de aus. In der Mitte erschien vor grauem Hintergrund ein stark deformiertes Login-Fenster, das nur entfernt an das Original von Web.de erinnerte. Wer dort sein Kennwort eingab, musste schon sehr naiv sein.

Mehr zu Verschlüsselung, Datensicherheit, DNS

• Miller-Rabin-Test: Primzahlen per Zufall bestimmen
• So arbeiten Sie sicher und komfortabel mit SSH
• QR-Codes verstehen und ohne technische Hilfsmittel dekodieren
• Schwere Sicherheitslücken in verschlüsselnden USB-Speichern
• Die Vorteile der schnellen DNS-Verschlüsselung DoQ
• Wie DNS-Multi-Signing die Internet-Sicherheit verbessert
• Wie die RSA-Verschlüsselung funktioniert
• Briefe von Kaiser Maximilian II. mit Hilfe von Kryptotools entschlüsselt
• Moderne Kryptografie ausprobieren und verstehen mit CrypTool 2
• Wovor ein Virtual Private Network schützt und wovor nicht
• Symmetrische und asymmetrische Verschlüsselung
• DNS-Sicherheit: Pi-hole, Stubby und DNSCrypt-Proxy kombinieren
• IoT-Hacking: Firmware- und Netzwerksicherheit verbessern

Ein Blick in die Entwicklerwerkzeuge des Browsers enthüllte, was sich der Phisher eigentlich überlegt hatte: Per Iframe sollte hinter dem Fenster die echte Web.de-Seite von https://web.de eingebettet werden, darüber sollte das selbstgebaute Login-Fenster schweben. Das hätte die Täuschung zumindest etwas besser gemacht und die Erfolgsquote sicher erhöht. Doch daraus wurde nichts: Weil die Betreiber von Web.de schon länger mit Phishing gegen ihre Nutzer zu tun haben, haben sie ihre Server so konfiguriert, dass sie folgenden Header mitschicken:

content-security-policy:  frame-ancestors 'none'

Moderne Browser weigern sich dann, die Seite im Iframe darzustellen – es bleibt eine unattraktive graue Fläche. Eine kleine Einstellung im Server, die Phishing zumindest etwas erschwert. Wer selbst Login-Seiten betreibt, ist gut beraten, diesen Header zu aktivieren.

Die Phishing-Seite war so programmiert, dass sie dynamisch auf unterschiedliche Mailhoster reagierte: In der URL wurde die Mailadresse des Opfers übergeben, die Phishing-Links müssen also in einer Art Serienbrief personalisiert generiert und verschickt werden. Je nach Mailadresse versucht die Seite, unterschiedliche Mail-Anbieter per Iframe einzubinden und stellt das Favicon der Seite als Logo im Login-Fenster dar. Eine kleine Versuchsreihe zeigte aber, dass die gängigsten Mail-Provider Iframe-Einbindungen per Header unterbunden und die meisten Opfer wohl eine graue Fläche gesehen haben.