Was ist Phishing?

Bei Phishing wird das stehlen von Daten mit einer Webseite beschrieben, die genau gleich aussieht wie die originale. Sie unterscheiden sich meistens an der URL und an dem fehlenden SSL Zertifikat. Die E-Mails werden meistens von übernommenen Server aus aller Welt verschickt. Schweiz, Deutschland, Österreich und ähnliche Länder eignen sich dafür gut, da die IP Adressen dieser Anbieter meistens nicht gesperrt sind. IP Adressen aus Russland oder der Ukraine beispielsweise, könnten eher gesperrt sein/werden.

Paypal Phishing Seite Analyse

Wie bereits gesagt, bekam ich letzte Woche eine merkwürdige E-Mail. Der Absender lautete “paypel@help.co.uk” und der Betreff war “Alert Paypal !“. Obwohl man jede beliebige E-Mail Adresse verwenden könnte, hat sich dieser Angreifer eine merkwürdige E-Mail Adresse ausgedacht. Die Adresse fängt mit “paypel” an statt mit “paypal“. Dies diente sehr wahrscheinlich um den Spam Filter zu umgehen.

Ansonsten war die Nachricht standard Phishing. Nichts besonderes. Angstmachereien sind bei Phishing fast immer dabei – damit der Benutzer Angst bekommt und den Link anklickt.

Die rot markierten Stellen sind sehr verdächtigt:

 - Der Absender. “paypel” statt “paypal”

 - Drohung. “Wenn du nicht das machst, dann das …”

Paypal Phishing Seite Analyse

Die Seite selber sah genau gleich aus wie die richtige Paypal Seite. Was natürlich auch Sinn der Sache war. Doch an der URL sieht man direkt, dass es sich hier nicht um eine SSL Verbindung handelt. SSL steht für “Transport Layer Security” und verschlüsselt den Datenverkehr mit der Webseite die aufgerufen wird. Genauere Informationen gibt es auf Wikipedia.

Paypal Phishing Seite Analyse

Eine SSL Verbindung erkennt man an einem “Schloss”-Icon in der Adressezeile des Browsers.

Paypal Phishing Seite Analyse

Oder beim Internet Explorer.

Paypal Phishing Seite Analyse

Als ich die Seite genauer analysiert habe, wurden noch weitere Hinweise gefunden die meine Vermutung bestätigten, dass es sich hier um eine Phishing Seite handelt. Der Aufruf nach dem Login war merkwürdig.

Paypal Phishing Seite Analyse

Interessant allerdings, ist dass die Bilder direkt von der richtigen Paypal Seite geladen wurden. Dies könnte zu einer Täuschung führen, damit der Benutzer meint, dass er sich auf der originalen Seite befindet. Der oder die Angreifer hatten jedoch nicht sehr viel Ahnung und darum konnte man auch die Ordner auf dem Server anschauen (directory listing). Jedoch war hier nur dieser eine Ordner vorhanden, indem die Phishing Seite lag.

Paypal Phishing Seite Analyse

Nach dem Login wird man auf die richtige Paypal Seite eingeloggt. Daher stimmten natürlich meine eingegebene Daten nicht. Bevor die Weiterleitung zustande kam, wurden natürlich meine Daten gespeichert. (gephist)

E-Mail Analyse

Soviel zu der Phishing Seite. Wichtig ist aber auch woher denn diese E-Mail stammt. Ein Blick auf den E-Mail Header verrät erstaunliches:

Die IP führt zu einem Schweizer Unternehmen. IP-Whois verrät mehr.

Mit einer weiteren Abfrage bekommen wir auch die dazugehörige Domain.

Meine Vermutung lag nahe, dass es sich hier um einen Kunden handelt, der sich nicht bewusst ist, dass seine Seite für E-Mail Spam missbraucht wird. Muss natürlich nicht zwingend der Tatsache entsprechen. Nunja, ist fand mich verpflichtet dies dem Hoster zu melden um die E-Mails von dieser Adresse zukünftig zu unterbinden.

Obwohl es Samstag war, folgte die Antwort noch am gleichen Tag. Innert 1-2 Stunden.

Guten Tag Herr
Besten Dank für Ihre Mitteilung.
Der Verursacher konnte bereits eruiert werden und das Problem ist somit behoben.
Freundliche Gruesse

(Namen von Sender & Empfänger entfernt)

Fazit

Jeder kann auf ein Phishing E-Mail reinfallen. Umso wichtiger ist es, falls möglich, die Seite direkt zu melden oder den Hoster zu kontaktieren. Kein Hoster ist vor Spam E-Mails sicher. Einem Kunden kann beispielsweise die Daten gestohlen werden und der Angreifer hat Zugriff auf den Server. Der Anbieter ist daher machtlos und kann nur etwas unternehmen wenn man die Seite auch meldet. Leider bekam ich bis heute noch keine Antwort vom Hoster der Phishing Seite, indonusa.net.id.

Hier 5 Tipps um sich gegen solche Phishing E-Mails zu schützen:

• Achte auf die URL (Text oben in der Adresszeile). Dort sollte eine sichere Verbindung (SSL) vorhanden sein.
  
• Falls in der E-Mail Drohungen oder Angstmachereien vorkommen, löschen
• Ist die E-Mail in schlechtem Deutsch verfasst, löschen
• Ist die E-Mail auf englisch, obwohl Du dich bei dem Anbieter auf der deutschen Seite registriert hast? Löschen.
• Vertraue keinem Absender. Dieser kann gefälscht sein.