Donnerstag, 4. August 2016

So deckt man einen pishing-Versuch auf

Ein Pishing-versuch beginnt mit einer email.  Hier z.B. eine email, die scheinbar von amazon stammt, in Wirklichkeit aber von einem Betrüger stammt und so wie hier an tausende von email-Empfängern geht.


Gefälschte email, nur scheinbar von amazon

Der Klick auf WEITER (Über den Sicherheitsserver) soll zu einer Webseite mit Anmeldeformular führen soll, die ebenfalls gefälscht ist.


Der Link ist das entscheidende, er ist zu untersuchen. Mit rechter Maustaste anklicken offenbart diese Adresse.



Damit ist noch nichts gesagt. Bit.ly-Abkürzungen sind nicht unseriös, es wäre denkbar, dass amazon eine bit.ly-Verkürzung der eigentlichen Linkadresse benutzt. Es hilft also nichts, man muss die Adresse in den Browser eingeben (oder den Link in der email anklicken) und sehen, wohin die Reise führt.

Sie führt zu dieser Webseite, die einer amazon-Seite täuschend ähnlich ist.











Eine solche gefälschte Seite zu erstellen, ist einfach, der Hacker muss nur eine solche Webseite auf dem lokalen PC speichern, dort dann ein paar Details abändern, damit das eingegebene Passwort an ihn statt an amazon gesendet wird, und die modifizierte Seite dann in's Internet hochladen (dazu später).

Wie kann nun man die Fälschung erkennen? An der URL, die ganz oben in der Browserleiste gezeigt wird.



Denn der Betrüger muss die gefälschte Webseite auf einen eigenen (oder zumindest gehackten) Server hochladen. Auf www.amazon.de oder www.amazon.com kommt er nicht.

Die Adresse (zumindest den Anfang, ich habe die URL kopiert und in eine Textdatei rüber kopiert) , die man hier abliest , heißt:


http://www.amazon.de.openid.konto-16540901.de/419824/germ/daten/lgySB3fP7RUqsmHQ6b9DOnKo2v5IhN48X/sicher56723/oIDB2kfPinKmcp3s17H8WRMSYv6Vr4FLh/anmelden-login.php?assoc_handle=zteT1CPIpvuhKkBRFd9qmHl4ygGs7O&openid_claim=xLzeRF2jbci6SpCnDyW4&identifier_select=KgPTq0ZJDLkCdFohuRIE&pape_max=dEli5kRtBGAOaJ6NIufCMhTHwsD4Zj



Und hier erkenne ich den Betrugsversuch. Denn die Webseite, die hier angesteuert wurde, liegt nicht auf www.amazon.de. Denn dazu hätte hinter dem amazon.de ein Schrägstrich kommen müssen. Alles was nach dem Schrägstrich kommt, sind Dateien oder Unterordner auf dem Server von amazon.de




Dort wo das erste mal ein Schrägstrich steht, kann man die eigentliche domain erkennen. Hier hat jemand eine domain namens "konto-16540901.de" angelegt. Ob es der Betrüger war, oder jemand anders, dessen Server gehackt wurde, ist ungewiss.

Nochmals zur Verdeutlichung: 



 Jemand, der über die domain "konto-16540901.de" verfügen kann, hat dort eine sogenannte subdomain angelegt. Das kann fast jeder domain inhaber. Auch "blog.user-archiv.de" oder "mandelbulb.user-archiv.de" sind subdomains, die ich als Inhaber von user-archiv.de anlegen kann. Auch www.user-archiv.de ist eigentlich eine subdomain.

Die subdomain heißt hier: www.amazon.de.openid.konto-16540901.de

Der Textteil "amazon.de" soll den flüchtigen Leser vorgaukeln, dass man sich auf www.amazon.de befindet.


Das Entscheidende ist, dass Sie eine URL, also eine Webadresse identifizieren können. Das ist eigentlich Fortgeschrittenen-Wissen, wird aber wegen zunehmender Betrugsversuche wichtig. Auch der gewöhnliche Internetnutzer sollte aufgeklärt sein, wie sich eine Webadresse zusammensetzt.


Weiteres

Der Aufruf der "Hauptdomain" zeigt, dass die Hauptdomain derzeit nicht benutzt wird, sondern bei SEDO geparkt ist, die dort Werbung einschaltet.



Manchmal entdeckt man hier ganz seriöse Firmen, oft auch EDV-Unternehmen, oder Unis, die gar nicht wissen, dass ein Hacker auf ihrem Server eine betrügerische Webseite abgelegt wurde. Sei es, auf einem versteckten Unterordner, oder auf einer eigens vom Hacker eingerichteten Subdomain - je nachdem, wieviel Zugriff der Hacker erlangte.


Natürlich könnte man mit WHOIS-Diensten oder bei denic.de abfragen, wer domaininhaber von konto-16540901.de ist. Hier ist es jemand aus Deutschland, meist sind es ausländische Registranten, auf die man keinen Zugriff hat.



Das hilft aber nicht allzuviel weiter. Das Entscheidende ist, dass nicht amazon.de sondern eine fremde domain angesteuert wurde. Noch dazu zeigt die Verwendung von www.amazon.de in der subdomain-Adresse, dass hier etwas vorgetäuscht werden soll.

Wenn Sie immer noch nicht sicher sind, ob die Webseite betrügerisch ist oder nicht, klicken Sie die Webseite weg, rufen den Browser auf und geben oben manuell "www.amazon.de" ein. Dann loggen Sie sich normal ein. Benutzen Sie also nicht den Link. Sie werden dann problemlos in ihren account kommen und dort wird nichts darauf hindeuten, dass man ihren account aus Sicherheitsgründen gesperrt habe.

Die Technik des Betrugs

Die Webseite enthält ein Formular. Im so genannten Quelltext der Webseite können Sie diesen Abschnitt auffinden. Der Abschnitt beginnt mit <form action="...."   > und endet mit </form>

In  action="...." wird festgelegt, wohin die eingegebenen Formulardaten nach dem Klick auf den absendebutton gesendet werden sollen. Dort kann eine komplette Adresse stehen (www.beispiel.de/login.php) oder nur eine Datei (login.php). Im letzteren Fall wird immer auf den Ausgangsserver geleitet, also dort, wo das Webseitenformular liegt.

So sieht die Zieladresse im Original-Login-Formular von amazon aus:


So sieht die Zieladresse im gefälschten Formular aus:




Das klingt harmlos - angesteuert wird eine Datei namens "index.php", wie sie auf jedem Server liegt. Aber da die domain davor fehlt, und die Ausgangsdatei auf

www.amazon.de.openid.konto-16540901.de/

liegt, führt das Absenden des Formulars dazu, dass die eingegebenen Daten und auch das Passwort hierhin übermittelt werden:

http://www.amazon.de.openid.konto-16540901.de//index.php


Dort werden die Formulardaten verarbeitet. Auf alle Fälle wird dort automatisch eine email erstellt und an eine email-Adresse des Betrügers gesendet; in diese email werden  die Zugangsdaten (Name und Passwort) geschrieben. Das sind nur ein paar  Zeilen Programm-Code und ist nicht schwer.



Möglicherweise erfolgt dann noch ein weiterer Schritt, bei dem der User auf amazon weitergeleitet wird, damit er nicht merkt, dass das Ganze ein Betrugsversuch war (dann könnte er sein Passwort ändern),

Im konkreten Fall führte die Eingabe von (gefälschten) Daten zu weiteren Formularen, bei denen man noch mehr Daten über sich eingeben sollte.



Wer will, kann das Ganze weiter durchtesten.

  © Blogger template 'Fly Away' by Ourblogtemplates.com 2008

Back to TOP