goSecurity BLOG

Seit einiger Zeit habe ich es mir zum Hobby gemacht, auf alle möglichen Phishing-E-Mails zu klicken. Egal ob es offensichtlich ist, gespickt von schlechter Grammatik und schlechter E-Mail-Adresse oder ein perfekt zugeschnittenes Phishing-E-Mail, welches von einem gehackten Account versendet wurde. Ich klicke und klicke und klicke.Das mache ich natürlich nicht, weil ich Freude daran habe, wenn meine Daten verschlüsselt werden oder meine Kreditkarte zweckentfremdet wird. Mein Ziel ist es, den Spiess mal umzudrehen.

Ich will mir anschauen, wie das E-Mail, die Webseiten und alles Weitere aufgebaut ist, mit welchen Tricks die Hacker arbeiten. Und ich halte Ausschau nach Informationen, welche der Angreifer eigentlich nicht veröffentlichen wollte.

Ground Rules

Aber bevor ich meine Erfahrungen mit Ihnen teilen kann, muss ich zuerst über meine Grundregeln sprechen. Dies nur für den Fall, dass Sie auch auf den Geschmack kommen einem Phishing-E-Mail nachzugehen.

Regel 1: Nie auf dem eigenen Computer

Das ist die wichtigste aller Regeln. Wenn Sie auf solch einen Link klicken, machen Sie das niemals vom eigenen Computer aus. Wir wollen ja unsere Daten dem Angreifer nicht zum Frass vorwerfen. Ich verwende dazu immer eine virtuelle Maschinen. Egal ob mit VMWare oder VirtualBox, Hauptsache ein eigenes Betriebssystem. Wenn Sie nun daran glauben, dass Sicherheitslücken wie Spectre und Spectre V2 bald in jeder Malware ausgenützt werden, empfiehlt es sich separate Hardware zu verwenden.

Regel 2: Nie vom Geschäfts- oder Privatnetzwerk

Ich verwende dazu immer ein Testnetzwerk, welches komplett von allen wichtigen Komponenten getrennt ist. Auch das Hostsystem, in meinem Fall mein Laptop, darf sich nicht in diesem Netzwerk befinden. Nur so können wir sicherstellen, dass unser Ausflug ins Unbekannte keine realen Folgen hat.
Falls kein solches Testnetzwerk vorhanden ist, wie bei mir privat Zuhause, verwende ich ein separates virtuelles Netzwerk der Virtualisierungslösung. Dieses ist zusätzlich mit einer virtuellen Firewall von meinem privaten Netzwerk getrennt. Zusätzlich habe ich noch eine Firewallregel, welche sämtliche Kommunikation mit IP-Adressen aus dem privaten Bereich blockiert. Somit kann von diesem virtuellen Netzwerk nicht in mein Privatnetzwerk kommuniziert werden.

Eine Beispiel-Firewallregel aus einer pfsense:

Regel 3: Personalisierte URLs sind mit Vorsicht zu geniessen

In machen Fällen kann es vorkommen, dass der Link innerhalb des Phishing-E-Mails personalisiert ist. Auf der Webseite wird dann die eigene E-Mail-Adresse angezeigt, oder bei einem Fall sah ich schonmal meine Mobilenummer. Ich schneide den individuellen Teil der URL immer ab. Nicht, dass die Angreifer in ihrer Datenbank vermerken, dass von meiner E-Mail-Adresse auf den Link geklickt wurde.

Ein Beispiel aus meinen Repertoire wäre folgender Link, wobei ich die E-Mail-Adresse zu meinem eigenen Schutz verändert habe:

https://office365n7jmopbp0xiwzhmgkso0.oss-eu-central-1.aliyuncs.com/index.php?c=xxx123.xxx123@outlook.com

Regel 4: Bitte melden

Diese Regel gilt eigentlich für alle, welche Phishing-E-Mails erhalten. Bitte meldet die Link-Adressen bei offiziellen Stellen. Beispielweise bietet das Nationale Zentrum für Cybersicherheit (NCSC), ehemals Melani, eine Webseite, auf welche Phishing-Webseiten gemeldet werden können.
Zudem melde ich ebenfalls, falls ich ein Phishing-E-Mail von einem offensichtlich gehackten Account erhalte. Das ist eine kleine Zivilcourage, welche wir im Internet vollbringen können.

Auf Hackerspur

Der Standard

Jetzt wo die Regeln definiert sind, können wir mit der Gegenoffensive starten. Anfangen will ich mit einem Standardbeispiel, wie es sie millionenfach gibt und meistens in unserem SPAM-Ordner landen.

Das E-Mail kann sehr offensichtlich als Phishing erkannt werden, da der Absender wie auch der Empfänger die selben sind. Ebenfalls ist es sehr unwahrscheinlich, das Amazon Sonderzeichen in ihrer E-Mail-Adresse verwendet. Weiter spielt das E-Mail die klassische Phishing-Karte aus, dass man zu den wenigen glücklichen Gewinnern gehört. Nicht nur der Titel und der E-Mail-Inhalt deuten darauf hin, auch noch die glückliche Person auf dem Bild.

Der Link hinter dem Bild führt eine Webseite, auf welcher man freundlich darauf aufmerksam gemacht wird, dass dem Gewinner nur noch 5 Minuten bleiben. Danach verpufft offensichtlich das Glück. Auch das ist wieder eine klassische Variante vom Phishing. Mittels Zeitdruck sollte der gesunde Menschenverstand ausgehebelt werden.

Falls bis dahin noch kritisches Denken vorhanden ist, helfen die vielen positiven Feedbacks weiter. So viele Personen können ja nicht falsch liegen.

Um den Gewinn abzustauben, muss nur noch eine Umfrage ausgefüllt werden. Das sollte vermutlich den Gewinn noch realistischer machen, da man der Firma ja noch etwas zurückgibt.

Nach dem Ausfüllen der Umfrage kann der gewünschte Gewinn in Form eines Smartphone ausgewählt werden. Auch hier kommt wieder die Komponente Zeitdruck zum Zuge, indem angezeigt wird, dass das gewünschte Model nur noch einmalig vorhanden ist.

Nun kommt jedoch der Clou. Der Gewinn ist nicht wirklich ein Gewinn, sondern nur ein enormer Rabatt. Anstelle des normalen hohen dreistelligen Betrags, kostet das Iphone 11 (nicht mal hier ist die Schreibweise korrekt) nur noch CHF 1. Was für eine tolle Sache.

Holt man sich nun seine Belohnung ab, wird man auf eine weitere Webseite weitergeleitet, auf welcher die Lieferadresse angegeben werden muss. Diese Daten können gut für weitere Phishing-Attacken verwendet werden.

Nach der Angabe der Lieferadresse geht die Reise auf einer neuen Webseite weiter. Hier kommt nämlich das Thema – es ist nur ein Rabatt – zum tragen. Auf dieser Webseite müssen nun die Kreditkarten-Daten angegeben werden, damit soll der Restbetrag von CHF 1 beglichen werden.

Die Webseite ist sogar so gut programmiert, dass diese erkennt, wenn eine falsche Kreditkartennummer eingegeben wird.

Wenn nun alles korrekt eingegeben und auf „bezahlen“ geklickt wurde, erscheint die unerfreuliche Meldung, dass die Zahlung nicht geklappt hat. Das bringt Sie eventuell dazu, noch eine weitere Kreditkarte anzugeben, somit ein Doppelgewinn für die Angreifer.

Wie anfangs angesprochen, war dies eher ein einfach zu erkennendes Phishing, jedoch mit vielen klassischen Merkmalen.

Die Ausnahme

Eine weitere Episode meines speziellen Hobbys ist folgendes E-Mail:

Dieses wurde uns von einem gehackten Account eines Geschäftsführers einer schweizer Firma zugestellt. Auch in der Signatur waren alle Angaben korrekt. Jedoch ist auch dieses E-Mail einfach als Phishing zu identifizieren. Keine Anrede, keine Grossschreibung nach dem Punkt und alles ist in englisch geschrieben. Ebenfalls ist als Empfänger niemand eingetragen.

Die Webseite hinter dem Link lässt einen vermuten, dass es sich um ein Microsoft Login handelt. Somit habe ich versucht mich mit „meinem“ Microsoft Login anzumelden, leider erfolglos.

Was jedoch an diesem Login interessant ist, ist wie meine Daten zum Angreifer Server gesendet werden. Im sogennanten POST-Request ist nämlich nicht nur meine angegebene E-Mail-Adresse (test@mail.com) und das Passwort (blabla) enthalten, sondern noch eine weiter E-Mail-Adresse (grigoriianaa@gmail.com).

us reiner Neugierde habe ich den POST-Request so manipuliert, dass die zweite E-Mail-Adresse eine war, welche unter meiner Kontrolle steht. Und sehe da, ich habe ein E-Mail in meinem Postfach, in welchem meine angegebenen Daten stehen. Die angegebene E-Mail-Adresse, das Passwort und die öffentliche IP-Adresse von mir. Aber noch interessanter ist eine ICQ-Nummer. Wer ICQ nicht mehr kennt, dass war Ende 90er Jahre/Anfangs 2000er ein sehr populärer Instant-Messaging-Dienst. Somit hatte ich die Kontaktdaten des Angreifers.

Kurz noch ein Konto bei ICQ erstellt und schon stand ich mit dem Angreifer in Kontakt. Der Angreifer war jedoch zu meinem Bedauern sehr zurückhaltend. Zuerst wollte er wissen, woher ich genau seine ICQ-Nummer habe. So einfach wollte ich es ihm aber nicht machen und wollte wissen, wieso ich ihm seine Fehler aufzeigen sollte. Wir standen ja offensichtlich nicht auf der selben Seite des Gesetzes. Leider kam darauf nichts mehr. Auch auf meine einfache Frage, weshalb er dann die Logins braucht, kam keine Antwort mehr.

Chatverlauf

Jedoch sah ich das als Erfolg an und habe alle Seiten gemäss Regel Nummer 4 gemeldet. Ebenfalls wurde der Geschäftsführer informiert, dass er doch einmal sein Passwort wechseln sollte.