Vorsicht Hacker! (1)

Viele Unternehmen sind mit großen Herausforderungen konfrontiert, wenn sie ihre Systeme vor Cyberattacken schützen wollen. Schwierigkeiten bereitet ihnen vor allem der zunehmende Einsatz von Cloud-Computing. Dennoch wachsen IT-Security-Budgets nur moderat. In einer digitalisierten Wirtschaft hängt aber für jedes Unternehmen alles von der Verfügbarkeit und Sicherheit der Daten ab. Ausfälle durch Sicherheitslücken oder Datenmissbrauch können hohe Kosten erzeugen, die dann oft deutlich über den Budgets für die IT-Sicherheit liegen.

Für mich ist diese Entwicklung Anlass genug, das Thema „IT-Sicherheit“ aufzugreifen, zumal ich vor Kurzem selbst Opfer eines Angriffs russischer Hacker wurde.  

In seinem 3-teiligen Gastbeitrag erklärt Alexander Simons (Senior Technical Consultant & IT-Security Professional, CCSP*), wie man Phishing-Mails erkennt und was man tun kann, um gravierende Schäden zu vermeiden.

*CCSP steht für: Certified Cloud Security Professional, IT-Zertifikat des International Information System Security Certification Consortiums (ISC)² Certified Cloud Security Professional, IT-Zertifikat, siehe auch https://www.isc2.org/Certifications/CCSP?

Analyse einer Phishing-Mail

Screenshot der Phishing-E-Mail

„Hallo Alexander, ich habe heute diese merkwürdige E-Mail bekommen. Bitte nirgendwo klicken!!!!“

So lautete der einleitende Text einer E-Mail, die man vor einigen Tagen an mich weitergeleitet hatte. Der Betreff „Guten Tag!, XYZ@XYZ.de – Ihr Paket ist angekommen!“ (E-Mail Adresse geändert) ließ nichts Gutes verheißen.

Dieser Beitrag ist der erste einer 3-teiligen Serie, in der ich erläutern werde, wie ich diesen konkreten Fall analysiert habe. Dabei werden Sie erfahren, wie Sie Phishing-Mails erkennen und was sie tun können, um gravierende Schäden zu vermeiden.

Vorsicht bei HTML-E-Mails

Michael Rotert empfing am 3. August 1984 um 10:14 Uhr MESZ die erste E-Mail in Deutschland, damals noch unter seiner Adresse „rotert@germany“. Seit dem hat sich einiges getan, bezogen auf die Technologie und den Umgang mit dieser. Bei dieser ersten E-Mail handelte es sich um reinen Text im sog. „Plain-Format“, also reiner Fließtext. Mittlerweile wird ein Großteil der E-Mails im HTML-Format verschickt, was das Anzeigen von Bildern, den Verbau von Trackingpixeln und anderen Dingen ermöglicht. Neben diesen – vor allem aus Marketingsicht und ästhetischen Vorteilen – ergeben sich hierbei allerdings auch grundlegende Probleme, da es sich bei diesen HTML-E-Mails im Grunde genommen um Internetseiten handelt, die im E-Mail-Client wie in einem Browser dargestellt werden müssen.

An dieser Stelle möchte ich auf ein Sicherheitsproblem verweisen, welches erst vor kurzem bekannt geworden ist: PGP-E-Mail Verschlüsselung ist angreifbar.

Ohne HTML-E-Mails hätten es Versender von gefälschten E-Mails (Spam, Phishing, etc.) weitaus schwerer, den Empfänger an der Nase herumzuführen. Unter anderem wären fragwürdige Links auf den ersten Blick als solche erkenntlich.

Insofern ist es ratsam nicht wahllos auf Links in einer (HTML)-E-Mail unbekannten Ursprungs zu klicken. Nichtsdestotrotz kann unter gewissen Umständen der Absender davon profitieren, dass Sie die E-Mail öffnen. Beispielsweise kann ein Bild im HTML eingebettet sein, das von einer fremden Quelle nachgeladen wird. Überwacht der Angreifer dieses Bild, kann er sehen, wer wann dieses Bild geladen hat. So können E-Mail-Adressen verifiziert werden. Dies ist im Übrigen ein gängiger Mechanismus, den sich auch viele E-Mail Marketing Tools / Newsletter-Anbieter zu eigen machen, um zu erkennen, wie viele Newsletter E-Mails tatsächlich geöffnet worden sind. Wie sich das Ganze in Einklang mit Datenschutz bringen lässt, ist an sich einen eigenen Beitrag wert. Aber aus meiner Sicht handelt es sich hier um einen mittlerweile fast schon klassischen Spagat zwischen Marketing (=Daten) und dem Schutz der Privatsphäre.

Darüber hinaus gibt es in diesem Zusammenhang noch weitere, perfidere Methoden, die ich an dieser Stelle nicht weiter ausführen werde.

Decodieren der E-Mail

Ich nutze – wie die meisten – einen E-Mail Client, der zwar automatisch HTML interpretiert und somit darstellt, aber aufgrund meiner Einstellungen keine Bilder, Dateien oder ähnliches nachlädt. Der erste Eindruck der vermutlichen Phishing-Mail ist, dass jemand das HTML einer Original-DHL-Mail kopiert hat. Um dies zu überprüfen, nutze ich die Funktion meines E-Mail Clients „E-Mail im Original anzeigen“:

Base64 encodierte Phishing E-Mail

Wir haben es hier also mit einer Base64 encodierten Nachricht zu tun, was soweit nichts ungewöhnliches ist. Base64 ist durchaus ein gängiges Format um E-Mails zu verschicken. Mich interessiert der Inhalt dieser Zeichenkette, davon ausgehend, dass sie HTML ist. Um die Nachricht nun in ein für den Menschen lesbares Format zu konvertieren, gibt es eine ganze Reihe von Möglichkeiten. Zum einen ist dies über Kommandozeilenwerkzeuge wie „openssl“ möglich oder man nutzt eine der vielen Webseiten, die dies (kostenlos) anbieten:

Bas64 decoder um das HTML der Phishing E-Mail anzuzeigen

Zunächst bin ich etwas verwundert, da als „Generator“ Microsoft Word 15 angegeben ist, kann mir aber durchaus vorstellen, dass sich jemand die Mühe gemacht hat, die DHL-Mail in Word nachzubauen.

Im Meta Tag „Generator“ wird Microsoft Word 15 angegeben.

Es wird an dieser Stelle allerdings noch besser, als ich feststelle, dass auch das DHL-Original „Microsoft Word 15“ im Meta-Tag Generator angibt. Beim Überfliegen des Quellcodes sehe ich mich in meinem Verdacht bestätigt: jemand hat das DHL-Original als Vorlage genutzt und Kleinigkeiten geändert, das HTML aber zu 99% beibehalten. Der Vorteil dieser Methode liegt auf der Hand: die Fälschung sieht dem Original (optisch) zum Verwechseln ähnlich.

Erste Spur

Nachdem ich nun die Phishing-E-Mail als HTML vorliegen habe, untersuche ich das Dokument nach eingebetteten Links. Bei der Suche nach „<a href“ werde ich schnell fündig. Hinter dem dargestellten Link „Wenn diese Nachricht nicht richtig angezeigt wird, klicken Sie bitte hier“ verbirgt sich ein Link auf die Domain „sendibt3.com“, die mir nicht bekannt ist. Da ich den vollständigen Link nicht im Browser aufrufen möchte, nutze ich das Kommandozeilenwerkzeug „curl“, um mir das HTML anzeigen zu lassen, das sich hinter diesem Link verbirgt:

Der Inhalt ist aufgrund von verdächtigen Aktivitäten nicht mehr erreichbar.

Ich stelle fest, dass das Benutzerkonto mittlerweile aufgrund suspekter Aktivitäten gesperrt worden ist. Dies ist auf der einen Seite erfreulich, da der Dienstleister offenbar schon aktiv geworden ist. Auf der anderen Seite hätte ich mich natürlich der ursprüngliche hinterlegte Inhalt interessiert.

Dienstleister ist bereits aktiv geworden

Die Domain „sendibt3.com“ gehört dem Newsletter Dienstleister „sendinblue.com“, der unter anderem anbietet, kostenlos E-Mails zu verschicken. Als Referenzen werden große Unternehmen und auch DAX-Konzerne genannt. Ohne weitere Recherchen betrieben zu haben, erscheint die Seite seriös. Dafür spricht auch das Deaktivieren des fragwürdigen Kundenkontos. Daher gehe ich davon aus, dass jemand den Dienst für bösartige Zwecke verwendet hat. Mit dem kostenlosen Paket lassen sich laut Webseite 300 E-Mails am Tag verschicken. Ich beschließe, diese Spur nicht weiterzuverfolgen und sehe auch davon ab, „sendinblue.com“ zu kontaktieren.

Ausblick

Im nächsten Artikel werde ich meine Analyse fortführen und weitere Spuren verfolgen. Eine davon wird mich nach Osteuropa führen.

Tipp

Wenn Ihnen der Artikel gefallen hat, klicken Sie bitte auf like und share, um auch anderen Interessierten den Beitrag zugänglich zu machen. Darüber hinaus freue ich mich auch über Ihr Feedback unter Kommentare.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.