Freitag, 21. März 2014

Phishingmails mit Links auf Googles Cloud Dienste, ein Gastbeitrag von Lars "Stolen" Mehrtens

Hi, ich bin Lars und komme aus der IT-Branche. Weil ich ein Fan von Ace' grandiosen Geschichten bin, lese ich auch seinen Blog. Ich finde es persönlich sehr gut, dass er auch seine Erfahrungen mit den Phishingmails teilt und so ein wichtiges Bewusstsein schafft: Alles was per Email kommt ist potenziell gefährlich. Jeder aufmerksame Leser auf dieser Seite weiß, dass Links in offensichtlichen bösartigen Mails absolut Tabu sind und wenn man sich nicht sicher ob was an der Mail dran ist, sollte man einfach mit seinen eigenen Lesezeichen zu Paypal (oder was auch immer) surfen und die Tatsachen so überprüfen.
Problem sind die weniger offensichtlichen Mails. So haben die Leute bei "Symantec" Emails entdeckt, welche etwas fieser sind. Diese haben böse Buben Emails verschickt, mit einem Link zu "einem wichtigen Dokument", welches in Google Docs hinterlegt sein soll. Bei normalen Phishingmails könnte man spätestens anhand der Linkadresse zum Dokument die Gefahr erkennen. Aber diese, äußerst pfiffigen, bösen Jungs haben sich bei Google Cloudspeicher gemietet und darauf verlinkt. Es ist also ein wirklich echter Google Link mit SSL Verschlüsselung und der Browser würde bestätigen: Jepp, hier gehts nach Google. Nach einem Klick(was wir alle natürlich trotzdem nicht machen würden), landet man auf einer Seite, die genau so aussieht wie der Google Anmeldebildschirm. Selbst ein halbwegs vorsichtiger Mensch würde jetzt vielleicht denken: "Na klar, ich will ein Dokument auf Google Docs ansehen, dafür muss ich mich anmelden". In Wirklichkeit schickt diese Anmeldeseite die eingegeben Daten allerdings nicht an Google, sondern an die bösen Jungs. Zu aller Gemeinheit geht danach wirklich wohl ein Google Dokument auf, sodass man das Dilemma nicht einmal mitbekommt. Und grade der Google Account ist bares Geld wert, denn damit sind gegebenenfalls Käufe aus dem Appstore möglich. Und sämtliche andere interessanten Dienste, die Google so anbietet: Adressen, Kalender, Email und so weiter.
Nun gut, Gefahr erkannt, Gefahr gebannt. Könnte man meinen. Aber eine solche gefakte Anmeldeseite könnte auch auf andere Weise den Weg zu euch finden. Stellt euch ein Popup vor, welches diese Anmeldeseite anzeigt. Man ist vielleicht noch so vorsichtig und die prüft die Adresszeile. Hier zeigt der Browser: Seite kommt von Google und ist mit SSL verschlüsselt, alles prima. Da kann man schon mal schwach werden... Nun bietet Google immerhin eine (sehr sinnvolle) sogenannte "zwei Faktor Authentifizierung"an: Bei jedem Anmelden von einem (neuen) Rechner oder Gerät, bekommt man eine SMS (oder Anruf) mit einem Code geschickt, der zum Anmelden ebenfalls notwendig ist. So ist der Google Account sicher, solange der böse Bube nicht auch noch das eigene Handy in der Hand hat.
Nachdem man das Verfahren aktiviert hat und sich grade zurücklehnen will, "weil nun ja wirklich nichts mehr schief gehen kann". Sorry Leute, ich muss euch nochmal etwas rütteln: Welche Logindaten habt ihr eigentlich bei Google? Ist das Passwort zufällig gleich oder sehr ähnlich dem Passwort von Facebook oder anderen Diensten? Denn Emailadresse und Passwort haben die bösen Buben ja in den oben beschrieben Fällen trotzdem bekommen. Sie können sich nur bei Google, dank der zwei Faktor Authentifizierung, nicht anmelden. Wenn die bösen Buben jetzt das Passwort(vielleicht noch leicht abgewandelt) und die Emailadresse bei verschiedenen anderen interessanten Diensten (Ebay, Paypal, Facebook) ausprobieren, könnten sie Glück haben. Dieses Passwortrecycling, oder auch im Comic nebenan "password reuse" genannt, ist eine echte Gefahr. Jaja, ich weiß, für jeden Dienst vollkommen verschiedene Passwörter sind unfassbar unhandlich. Und für mich persönlich sind sämtliche Ansätze, sich unterschiedliche Passwörter zu merken, misslungen. Daher habe ich mich für einen sogenannten Passwortsafe entschieden, den ich euch noch kurz Vorstellen will.
Ein Passwordsafe, dient zum Erzeugen und Speichern von Passwörtern mit den dazugehörigen Accountdaten. Diese Passwortdatenbank wird dann verschlüsselt abgespeichert und sollte mit einem guten Passwort geschützt werden. Ein einziges Passwort für alle Dienste sozusagen. Ein solches Programm sollte Open Source sein, damit der Hersteller keine Hintertüren einbauen kann.
Ich verwende, privat wie beruflich, Keepass, welches relativ verbreitet ist. Zur praktischen Nutzung: Mit dem Programm, erzeugt man zunächst eine leere Datenbank bei der man für jeden Dienst einen Eintrag anlegt. Keepass kann auch ein Passwort nach selbst definierten Richtlinien erzeugen. Jetzt verwendet man kein Passwort mehr doppelt und wenn eine Email/Passwort Kombination, auf welchen Wege auch immer, in die falschen Hände gerät, passiert nichts, außer dass der eine Dienst eben kompromittiert ist. Nach dem Verändern des Passworts, hättte sich auch das erledigt.
Diese Vorsichtsmaßnahmen reichen aus, um kein allzu leichtes Opfer von solch "gestreuten" Angriffen zu werden. Wenn Geheimdienste etwas über euch erfahren wollen, werden sie das wohl weiterhin. Und die NSA wird vermutlich überall wo es etwas interessantes gibt, ihre Finger bereits drin haben, noch bevor wir überhaupt irgendwo ein Passwort eingeben...

Kommentare:

Nathan hat gesagt…

Ich hatte heute ne Phishingmail im Eingang

Ein Glück das ich nicht Jake mit vornamen heiße

Postbank Online-Banking

Online Banking Service


Sehr geehrter Herr Jake xxxx,


Seit dem 01. Februar 2014 ist der neue Zahlungsverkehr SEPA aktiv. Das bedeutet für Sie, dass alle Zahlungsbewegungen in Europa (einschließlich Deutschland) in dem neuen internationalen SEPA Format benutzt werden müssen.


Aus diesem Anlass müssen wir die Richtigkeit Ihrer Daten überprüfen. Damit das System ordnungsgemäß umgestellt werden kann.
Dazu bitten wir Sie sich bis zum 24.03.2014 zu verifizieren.*

*Link gelöscht*


Mit freundlichen Grüßen
Ihr Postbank Banking Service

*Wird die Verifizierung nicht innerhalb dieser Frist gemacht, wird eine Gebühr von 14,99 Euro fällig und Sie müssen sich in einer Filiale melden.


Deutsche Postbank AG
Friedrich-Ebert-Allee 114 - 126
53113 Bonn


habs schon mal weiter unter gepostet (bei der letzten phishingwarnung von Ace

Ace Kaiser hat gesagt…

Du solltest bloggen, diese Mail veröffentlichen und als den Spam bezeichnen, der sie ist. ^^

Lars Mehrtens hat gesagt…

Juhu, es ist online :)
Aus den Links hättest allerdings du ruhig echte Links machen können. Und den wenns möglich wäre den xkcd Comic als Bild einzubinden, wäre das auch nicht schlecht ;)
Aber ist auch nicht so wichtig...

Nathan hat gesagt…

Hab sie an die postbank und die verbraucherzentrale an Phishingmail weitergeleitet

Ace Kaiser hat gesagt…

Das mit den Comic kriege ich ohne Hilfe nicht hin, aber die Links einbinden sollte ich schaffen. ^^
Sorry, wollte nichts an Deinem Artikel verändern und dachte auch, die Links wären in HTML eingebettet...

Ace Kaiser hat gesagt…

Nathan, das kann helfen. Ob es das tatsächlich tut, weiß ich nicht. Bis dahin leisten wir hier Basisarbeit.

Subtra aka DJ Dimension hat gesagt…

Vergesst nicht nervige Anrufe mal miteinzufügen. "Wir rufen sie an weil sie bei einem Gewinnspiel gewonnen haben, bitte hinterlassen sie ihre Kontodaten."

Ace Kaiser hat gesagt…

Oder reine Comupterbots, die alle möglichen Nummern anrufen und ein Häkchen machen, wenn sich beim Anruf jemand meldet, um die Daten dann teuer zu verkaufen...