Freitag, 6. Juni 2014

Analyse einer Phishingmail

Bei der Durchsicht meines Spamorders fand ich kürzlich eine Phishingmail die mein Interesse weckte. Sie stammte angeblich von support@amazon.de und versprach die Sicherheit bei der Zahlung im Internet zu erhoehen. Dies sollte durch ein zusaetzliches Passwort erreicht werden und obendrein sollte der Kunde eine 30 Euro Gutschrift erhalten. Das Ganze war sehr professional aufgemacht und imitierte das Amazon-Layout perfekt.


Mein ursprüngliches Interesse lag darin begründet, dass die Email an einen Alias adressiert war, den ich ausschließlich im Zusammenhang mit der Comdirect Bank verwendet habe. Folgende Szenarien kommen dafür meines Erachtens in Frage:
  • Ein Rechner der Comdirect Bank wurde gehackt und die Email-Adresse entwendet
  • Die Comdirect Bank hat die Adresse absichtlich an Dritte weitergegeben, die wiederum entweder gehackt wurden oder die Adresse verkauft haben
  • Einer meiner Email Accounts wurde gehackt und die Adresse dort abgegriffen
  • Eine von der Comdirect Bank an mich adressierte Email wurde auf dem Übertragungsweg mitgelesen (man sagt nicht umsonst, dass Emails wie Postkarten sind)
Ich persönlich tendiere zur ersten Variante. Da ich mein Comdirect Konto vor einiger Zeit gekündigt habe, ist die letzte legitime Mail über ein Jahr alt. Auch habe ich bis jetzt noch nie Spam an diese Adresse erhalten.
Eine Anfrage an die Bank wurde folgendermaßen beantwortet:


Sehr geehrter Herr ,

vielen Dank für Ihre E-Mail und Ihren Hinweis auf eine Phishing E-Mail.

Wir haben den Vorgang geprüft und können nicht nachvollziehen auf welchem Wege die E-Mail- Adresse an Fremde weitergegeben wurde. Wir leiten grundsätzlich keine E-Mail-Adressen von Kunden an Dritte weiter.

Wir empfehlen Ihnen, einen aktuellen Virenscanner und eine Firewall zu verwenden. Weitere Informationen finden Sie auf unserer Website unter:

www.comdirect.de/sicherheit
...


Auf zum nächsten Punkt. Die Analyse des Email-Headers ergab, dass die Email über den Server einer Infoseite über nachhaltigen Hausbau verschickt. Offensichtlich wurde dieser Server kompromittiert. Mein Hinweis an den Seitenbetreiber wurde anscheinend ernst genommen und ich bekam eine Rückfrage nach zusätzlichen Informationen.

Nun zur Zielseite der Phishing-Mail. Der enthaltene Link führte zur Seite http://www.karten-gutschrift.net, die inzwischen an eine offizielle Amazon-Seite weiterleitet. Zum Zeitpunkt der Recherche erwartete den Besucher jedoch eine erneut im Amazon gehaltene Phishing-Seite, die einen sehr professionellen Eindruck machte und die Kreditkartendaten abfragte.



Durchaus überrascht war ich als ich sah, dass die Domain in Deutschland registriert ist. Eine Google-Suche brachte dann auch noch weitere Domains der gleichen "Firma" zutage, die jedoch alle nicht mehr erreichbar sind.



Leider konnte ich ich keine zentrale Anlaufstelle zur Meldung von Internetkriminalität in Deutschland finden; Österreich scheint so etwas jedoch schon implementiert zu haben. Ich habe jedoch den Datenschutzbeauftragten des BKA sowie die bayrische Polizei jeweils per Kontaktformular informiert - bis jetzt ohne Rückmeldung.

An sich sollte es eine leichtes sein, dem Seitenbetreiber Betrug nachzuweisen. Besonders optimistisch bin ich jedoch nicht. Sollte es noch eine Reaktion der Behörden geben, dann werde ich das hier kundtun.


Posted by
Labels: ,

Keine Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post (Atom)