Deep Dive into Phishing

Immer wieder kommen natürlich auch bei mir diverse SPAM und Phishing Mails an.

Meist der übliche „Müll“ den ich gleich lösche.

Eine Mail von gestern machte mich aber neugierig.

Warum also nicht im Detail prüfen, was genau geschieht und welches Ziel der Angriff hat?

Auslöser war eine angebliche Mail von Strato:

„ihre Domain(s) wurden ausstehend 05723564“ –> Mail als Bild anschauen

Schon der Betreff ist ein Hinweis auf den potentiell schädlichen Inhalt.

Angeblich war mein Konto gesperrt und es ging um meine persönliche Homepage „krembsler.de“.

Blöd nur, dass die gar nicht bei Strato gehostet wird.

So war der Charakter der Mail schnell klar, wenngleich ich sagen muss, dass diese recht plausibel aufgebaut war.

Nur am Ende war das Layout „kaputt“. Auch das ist ein typisches Indiz für eine potentiell gefälschte Mail.

Aber was genau war der Zweck?

„Sie sind eingeladen, das Verlängerungsformular für Ihre Dienstleistungen gemäß den Anweisungen und Schritten unter folgendem Link manuell auszufüllen: Klicke hier“

Der Link war dann wieder spannend.

Meist findet man dort entweder sehr kryptische oder „Tippfehler“-Links.

In meinem Fall aber eine plausible URL: http://heilpraktiker-xxxmxxx.de/

Wieder ein Hinweis -kaum ein seriöser Anbieter arbeitet noch mit http, also der unverschlüsselten Variante.

Kurze Recherche mit Google – das ist tatsächlich jemand, der als Heilpraktiker tätig ist.

Es verbietet sich von selbst, den Link anzuklicken.

Aber auf jedem meiner Computer ist ein Linux System mit installiert. Eine tolle Option, die Microsoft da ermöglicht.

Schneller Wechsel in die „andere Welt“ und mit WGET die Datei abgeholt.

Anders als wenn ich den Link anklicken würde, holt mir WGET einfach nur die html Seite (oder was sich sonst hinter dem Link verbirgt) ab und speichert diese.

Auffällig war beim Download ein sog. „Redirect“. Ich wurde automatisch auf eine andere Seite umgeleitet.

wget http://heilpraktiker-xxxmxxx.de/
–2022-03-10 14:19:23–  http://heilpraktiker-xxxmxxx.de/
Resolving heilpraktiker-xxxmxxx.de (heilpraktiker-xxxmxxx.de)… 81.169.145.68, 2a01:238:20a:202:1068::
Connecting to heilpraktiker-xxxmxxx.de (heilpraktiker-xxxmxxx.de)|81.169.145.68|:80… connected.
HTTP request sent, awaiting response… 301 Moved Permanently
Location: https://strato-login.ddns.net/ [following]
–2022-03-10 14:19:26–  https://strato-login.ddns.net/
Resolving strato-login.ddns.net (strato-login.ddns.net)… 197.131.78.63
Connecting to strato-login.ddns.net (strato-login.ddns.net)|197.131.78.63|:443… connected.
HTTP request sent, awaiting response… 200 OK
Length: 2344 (2.3K) [text/html]
Saving to: ‘index.html.1’
index.html.1                  100%[=================================================>]   2.29K  –.-KB/s    in 0.002s
2022-03-10 14:19:27 (1.37 MB/s) – ‘index.html.1’ saved [2344/2344]

„It’s a classic“ – so kann man ahnungslose Anwender direkt zu einem Verschlüsselungstrojaner umleiten und bevor man es bemerkt, ist der schon aktiv.

Ein „Redirect“ geschieht noch bevor die Startseite einer Website aufgerufen wird. Mit diesen Umleitungen kann man z.B. arbeiten, wenn Inhalte gelöscht wurden und man möchte, dass es keine Fehlermeldung gibt, sondern z.B. dafür eine andere Seite aufgerufen wird.

Das geschieht alles im Hintergrund und so schnell, dass es in der Regel nicht bemerkt wird.

Bei einem Trojaner wird also umgeleitet zu einer fremden Seite, dann wird der Trojaner aktiviert und im letzten Schritt geht es dann zu der eigentlich gewünschten Seite weiter.

Vor diesen Angriffen kann z.B. ein Browser Add-On wie „NoScript“ schützen.

Sollte das hier also geschehen? Sollte ein Krypto-Trojaner meinen Computer lahmlegen?

Das passt irgendwie nicht zu dem Angriffsbild „Phishing“.

Die heruntergeladene Datei habe ich mir dann (immer noch in Linux) anzeigen lassen.

Da war nicht viel enthalten, was mir weitergeholfen hätte. Nur „obfuscated script“.

Was ist jetzt das schon wieder?

Nun, um einen Angriff zu verbergen wird der Inhalt für den Browser lesbar aber für den Menschen unlesbar hinterlegt.

Man nutzt dafür ein Programm, ein (Java-)Script.

Das bekommt die Aufgabe, alles zu verschlüsseln.

Man kann das in der Forensik leicht entschlüsseln. Dafür muss man nur den Code genauer analysieren.

Darauf hatte ich aber keine Lust und jetzt nutzte ich mein zweites Werkzeug – die „Sandbox“.

Damit kann man – wie in einer Gummizelle – arbeiten, ohne den Computer einer Gefahr auszusetzen.

Sandbox starten – Link kopieren – im Browser anschauen was geschieht.

Es gab eine zweite „Umleitung“ und siehe da – am Ende eine Nachbildung der Strato Anmeldeseite.

Voila – ein Phishing Angriff. –> Angriffseite als Bild anschauen

Ich hoffe meine Leser sind nicht irgendwo zwischendrin „ausgestiegen“ und konnten mir bis zum Ende folgen.

Die Analyse des Angriffes zeigte „traditionelle“ Techniken und Vorgehensweisen.

Wie immer in der Umsetzung etwas schlampig, wodurch ich schon sehr früh ausreichend Hinweise auf die mögliche Phishing Aktion erhalten konnte.

Hättest du das auch bemerkt? Ja – dafür braucht es kein Fachwissen, sondern nur etwas Zeit und ein gewisses „Gespür“.

Komplexer wird es bei den „Redirects“. Die merkt ein Anwender nicht weshalb dafür spezielle Schutzsysteme eingesetzt werden sollten.

Das Blockieren aller „Script“-Funktionen ist ein sehr effizientes Verfahren.

Zwar kann man nicht immer die Umleitung verhindern. Aber um ein Schadprogramm automatisch herunterladen zu können, braucht es eine Programmierung.

Und genau die wird eben blockiert. Im schlimmsten Fall würde man auf einer leeren Seite landen.

Solche Angriffe gehören zum Alltag. Sie rechtzeitig zu erkennen ist entscheidend. Gerade so wie ein ausreichender Schutz.

Übrigens habe ich versucht, die eigentlichen „Verursacher“ zu kontaktieren.

Wie so oft landete ich auf einem Anrufbeantworter.

Auch das ist Standard, wenn in großem Stil eine vernachlässigte Website für einen Angriff verwendet wurde.

Nach den ersten 10 Beschwerden stellt man sich einfach tot um sich nicht kümmern zu müssen.

Wenn dein Unternehmen einmal zum Opfer wird, und zufällig in Baden Württemberg den Firmensitz hast, dann wende dich an die „Cyberwehr“.

Dort wird man dir helfen.