Vorsicht Hacker! (2)

Vor einigen Tagen wurde ich Opfer eines Phishing-Angriffs. Als Köder wurde eine E-Mail benutzt, in der von DHL ein Paket angekündigt wurde. Die vermeintliche Paketankündigung entpuppte sich als gut gemachte Fälschung.

Ich bat Alexander Simons (Senior Technical Consultant & IT-Security Professional, CCSP*) um Hilfe. In seinem 3-teiligen Gastbeitrag erklärt er, wie man Phishing-Mails erkennt und was man tun kann, um gravierende Schäden zu vermeiden.

*CCSP steht für: Certified Cloud Security Professional, IT-Zertifikat des International Information System Security Certification Consortiums (ISC)² Certified Cloud Security Professional, IT-Zertifikat, siehe auch https://www.isc2.org/Certifications/CCSP?

Screenshot der Phishing-E-Mail

Analyse und Spurensuche

Nachdem ich im letzten Beitrag eine kurze technische Einführung in die Analyse einer Phishing E-Mail gegeben habe und die erste Spur des Urhebers nicht weiterverfolgte, soll es in diesem Beitrag um eine tiefer gehende Analyse und die Verfolgung weiterer Spuren gehen. Sie haben den ersten Beitrag verpasst? Dann klicken Sie bitte hier.

Sammeln weiterer Anhaltspunkte

Da ich die Phishing E-Mail in HTML vorliegen und bereits eine erste Spur verfolgt habe, beginne ich damit nach weiteren Quellen und Auffälligkeiten zu suchen. Zunächst überprüfe ich, ob JavaScript-Dateien nachgeladen beziehungsweise JavaScript enthalten ist. Meine Suche nach „.js“ sowie „JavaScript“ liefert keine Ergebnisse. Das ist allerdings erwartungskonform, da dies unüblich ist und von den meisten E-Mail Clients verhindert wird. Gleiches gilt für Design-/Layout -Informationen in Form von sogenannten Cascading-Stylesheets, kurz CSS. Diese sind direkt in der Datei hinterlegt und jedes Element für sich ist formatiert. Hierbei spricht man von Inline-CSS, das bei professionellen Webauftritten eher verpönt ist, bei HTML E-Mails aber leider nach wie vor üblich. Beim CSS bestehen übrigens eher geringe Sicherheitsprobleme im Vergleich zu JavaScript.

Wie im letzten Beitrag beschrieben, konzentriere ich mich erneut auf Links in Form von „<a href“. Es stellt sich heraus, dass in allen Links hier immer wieder die bekannte Domain „sendibt3.com“ auftaucht. Es besteht allerdings die Möglichkeit, nicht nur JavaScript, CSS oder direkt auf Domains zu verlinken – viel mehr ist es auch möglich, Bilder von externen Quellen nachzuladen. Bei der Suche nach „src“ werde ich fündig! Ich stelle fest, dass nun eine weitere Domain mir unbekannten Ursprungs für das Nachladen von Bildern verwendet wird:

Eingebundenes Bild einer fremden Domain

Auffällig dabei – es werden offenbar sogenannte Query-Parameter mitgegeben, zu erkennen an dem „?“. Dies ist eher ungewöhnlich, aber ein bekannter Mechanismus, der auch für Tracking-Pixel verwendet wird. Spannend dabei unter anderem: Folgendes „?orig_uri=https://mailing.dhl.de/assets/bm/binary/c/9/3/4/c9343a0716f438184fc738e423faeca0_3548.png“. Hier wird mittels eines Parameters auf das Original Bild der DHL verwiesen. Was passiert hier konkret?

Die Phishing Mail liefert DHL-Bilder im „Original“ aus

Der E-Mail Client ruft die „bösartige URL“ auf, die auch den Link zum Originalbild erhält. Mittels dieses Parameters weiß der Angreifer, welches Bild ausgeliefert werden soll. So liegt die Kontrolle zunächst beim Angreifer, der Daten abgreifen oder ähnliches tun kann, um dann anschließend das Originalbild auszuliefern.

Ich untersuche den Link zu dem Bild im Detail und interessiere mich zunächst für die Funktionsweise des versteckten Servers. Dabei verwende ich erneut das Kommandozeilenwerkzeug „curl“ und eine virtuelle Maschine, welche als Sandbox fungiert und manipuliere die mir bekannten Parameter, in dem ich Parameter entferne, hinzufüge oder deren Namen ändere. Ich erhalte jeweils unterschiedliche Fehlermeldungen in kyrillischer Schreibweise.

Russische Fehlermeldung der verdächtigen Domain

Da ich der russischen Sprache nicht mächtig bin, füttere ich Google Translate mit den Meldungen und stelle fest, dass diese tatsächlich aussagekräftig sind, im konkreten Fall:“Unsicherer oder ungültiger Link.“. Ich stoße dabei auch auf andere Fehlermeldungen wie beispielsweise „Parameter fehlt“.

In jedem Fall ist die Domain noch aktiv. Aus diesem Grund werde ich diese hier auch nicht veröffentlichen bzw. benennen.

Sackgasse?

An dieser Stelle habe ich, wenigstens, zwei Möglichkeiten:

a) Ich untersuche das Skript, das zur Bildauslieferung auf dem bösartigem Server hinterlegt ist auf weitere Schwachstellen und versuche es zu manipulieren. Dies wäre illegal und ich würde mich strafbar machen. Oder

b) Ich untersuche die Domain mit legalen Mitteln und versuche dahinter zu kommen, wer für die Domain verantwortlich ist.

Ich nutze einen WHOIS-Service und stelle fest, dass die Domain über den Registrar „godaddy.com“ registriert und dass dafür ein Dienstleister genutzt wurde, der dafür sorgt, dass der eigentliche Eigentümer anonym bleibt.

Die Domain wurde über godaddy.com registriert

Dies ist mittlerweile gängige Praxis. So kann jemand, der nicht erkannt werden möchte, recht gut im verborgenen bleiben, da die Herausgabe der Daten erschwert wird. Weiter stelle ich fest, dass sich der Server in den USA lokalisiert ist. Da ich weder den Hoster noch den Registrar kontaktieren möchte (und im Prinzip auch nicht die rechtliche Handhabe habe), befinde mich in einer Sackgasse.

Kontakt nach Russland

Ich gehe noch einmal einen Schritt zurück und untersuche nicht das Skript, das die Bilder ausliefert, sondern die Domain. Dabei rufe ich zufällige URLs der Domain auf und lande bei einem meiner Versuche auf einer Seite, die zwar keine E-Mail Adresse erhält, aber auf ein Profil des russischen Sozialen Netzwerkes „vk.com“ verweist. Kurzerhand registriere ich ein Profil und kontaktiere – auf Englisch – das genannte Profil.

Ausblick

In meinem nächsten Beitrag erfahren Sie, wie ich Kontakt zu dem vermeintlich aus Russland stammenden Urheber der Phishing E-Mail aufgenommen habe und wie die Reaktion ausgefallen ist.

Tipp

Wenn Ihnen der Artikel gefallen hat, klicken Sie bitte auf Gefällt mir und Teilen mit, um auch anderen Interessierten den Beitrag zugänglich zu machen. Darüber hinaus freue ich mich auch über Ihr Feedback unter Kommentare.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.