Kreuvfs Allerweltsblog

2017-01-09

WEB.DE: Wie man seine Nutzer zu Phishing-Opfern erzieht

Abgelegt unter Soziales Umfeld,Technologie,Webdesign von Kreuvf um 22:35:53
Was hat ein ><(((°> damit zu tun?

Phishing, angelehnt ans Englische „fishing“ für „Fischen, Angeln“, beschreibt allgemein Versuche mittels gefälschter Nachrichten ahnungslose Opfer zum Angeben sensibler Daten zu verführen: Zugangsdaten zu Bank- und E-Mail-Konten, Kreditkartendaten – der Rohstoff des Merkel’schen Neulands ist reichlich vorhanden und möchte ausgebeutet werden.

><(((°> im Treibnetz

Während es noch einfach ist einer E-Mail das offizielle Aussehen von beispielsweise Paypal, Amazon oder dem Zockerzirkel Ihres Misstrauens zu verpassen, so sind die oftmals ebenfalls eingestreuten Daten wie korrekter Name und korrekte E-Mail-Adresse schon schwieriger herauszufinden und ihr Fehlen oder ihre Falschangabe machen eine Fälschung leicht erkennbar. Absende- und Rückantwortadressen lassen sich problemlos fälschen, aber in der Regel lässt sich ein Phishingangriff für etwas versiertere Nutzer leicht am „Innenleben“ einer E-Mail erkennen. Beispielsweise erhielt ich vor einiger Zeit auf eine E-Mail-Adresse, die ich für einen bestimmten Anbieter angelegt und ausschließlich für diesen verwendet hatte, eine E-Mail, vorgeblich von Paypal:

Return-Path: <service@paypal.de>
Received: from loft9065.serverprofi24.de (loft9065.serverprofi24.de [188.138.33.69])
	by dd24532.kasserver.com (Postfix) with ESMTP id D0D2D6F0175E
	for <###########################>; Tue, 29 Mar 2016 02:59:47 +0200 (CEST)
From: "service@paypal.de" <service@paypal.de>
Organization: service@paypal.de

An der hervorgehobenen Zeile erkennt man, dass die Mail von einem Server kam, der nicht paypal.de ist.

Überphischung eindämmen

Nun versucht natürlich jeder Mailanbieter möglichst sichere Konten anzubieten und so versuchen WEB.DE & Co. seit einiger Zeit den Leuten E-Mail-Verschlüsselung mittels PGP/GPG schmackhaft zu machen, was über den Verschlüsselungsaspekt hinaus auch noch eine sehr starke Fälschungssicherheit mit sich bringen würde – aber das nutzen die entsprechenden Anbieter ja nicht einmal bei ihren eigenen Mails.

WEB.DE will mein Postfach löschen D:

Selbst wenn sie wichtigen Inhalt wie folgenden haben, gibt es keine PGP/GPG-Signatur:

Sehr geehrter Herr Koenig,

Sie haben Ihr kostenfreies WEB.DE Postfach mit der Adresse ###ANONYM### bereits seit längerer Zeit nicht genutzt.

Sollten Sie Ihr Postfach sechs Monate in Folge nicht nutzen, werden dessen Inhalte gelöscht. Loggen Sie sich bitte jetzt ein und bestätigen Sie so die weitere Nutzung Ihrer E-Mail-Adresse bei WEB.DE – spätestens jedoch innerhalb der nächsten 10 Tage!

Weitere Nutzung bestätigen

Ihr
WEB.‌DE Kundenmanagement

PS: Sie haben Ihr Passwort zu Ihrem WEB.‌DE FreeMail-Postfach vergessen oder Fragen zum Postfach? ‌Hier finden Sie alle wichtigen Informationen.

Hinweis: Sie erhalten diese E-Mail, da Sie als WEB.DE Nutzer diese E-Mail-Adresse als Kontaktadresse hinterlegt haben. Wenn Sie nicht Steven Koenig sind, setzen Sie sich bitte mit unserem ‌Kundenservice in Verbindung.

(Das ist aus der vereinfachten HTML-Darstellung von Thunderbird herauskopiert, einige Daten wurden anonymisiert und der Inhalt ist daher nur bedingt originalgetreu. Die entschärften Links entsprechen jedoch den Angaben. Hervorhebungen von mir.)

Riecht ><(((°>ig

Die Links gehen also auf Seiten unter der Domain „ui-portal.com“, nicht „web.de“, riecht also in höchstem Maße verdächtig nach einem Phishingversuch. Des Weiteren haben die Rechtschreibexperten bei WEB.DE (muss natürlich in Großbuchstaben stehen, weil das für die Markenbildung wichtig ist) es geschafft in den kurzen Text vier Fehler einzubauen, siehe Hervorhebungen. Auch wenn Markenfetischisten gern eine Schutzzone um ihr Logo haben wollen, so ist es schlicht ungrammatisch, wenn die Bindestriche fehlen; im Deutschen koppeln wir brav durch oder schreiben es direkt zusammen. Dabei heißt es doch ständig, dass man Phishingmails besonders daran erkennt, dass sie über schlechtes/fehlerhaftes Deutsch verfügen…

Dr. House auf Innereienjagd

Betrachten wir mal einige „Innereien“ der Mail:

    
Return-Path: <noreply_kundenmanagement@webde.de>
Received: from mout-csbulk.1and1.com (mout-csbulk.1and1.com [212.227.126.227])
	by dd24532.kasserver.com (Postfix) with ESMTPS id EE7656F00053
	for <ANONYM>> Mon,  9 Jan 2017 19:27:39 +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=produkt.web.de;
	s=isystem1; t=1483986459;
	bh=7q8YVurMDH32B26A4zlkjjjwEQLng0w1phZk0P/OK0c=;
	h=X-UI-Sender-Class:Date:To:From:Reply-to:Subject;
	b=xAfMA3DA5idKcjKSevNhnwciCled1g4vvBqLwMBD/oTpV1lvcjvjDl7ugQkndVpbM
	 PhKZlSYbyZL5YSRhrXiH2lvMfQRyJyWNABDceleN+kK4DsC0hfoM2YcAzpmGKEt/wn
	 huzOd4nPa9SoCiSLf77C+kj2UO5AbdpA8aBwCuQc=
Received: from nlsender05.ui-portal.com ([172.20.15.145]) by
 mrs-csbulk.1and1.com (mrsbulk003) with ESMTPA (Nemesis) id
 0MVeb0-1byHeW1qe7-00Z26r for <ANONYM>; Mon, 09 Jan 2017 19:27:39
 +0100
From: "WEB.DE Kundenmanagement" <kundenmanagement@webde.de>
Reply-to: noreply_kundenmanagement@webde.de

Eine gern genutzte Masche beim Phishing ist die Registrierung einer Domain, die der gefälschten sehr ähnlich sieht: beispielsweise sieht „webde.de“ dem bekannten „web.de“ sehr ähnlich. Die Angreifer bauen darauf, dass jemand nach einem langen Arbeitstag etwas Besseres zu tun hat als jeden kleinen Link aufs letzte Bit akribisch zu kontrollieren, um seine Mails nicht zu verlieren. So habe ich bereits auf die oben angesprochene E-Mail-Adresse angebliche Paypalmails bekommen, die mich auf „paypal-zahlung.de“ verwiesen haben. Nun kommen „webde.de“ und „1and1.com“ insgesamt je dreimal und „ui-portal.com“ kommt einmal vor. Wie soll ich da bitteschön nicht vermuten, dass das Phishing ist? Wie soll da ein Durchschnittsnutzer nicht vermuten, dass es Phishing ist?

Zwischendurch: Recherche

Nun, eine Googlesuche brachte einen relevanten Treffer: Echte oder gefakte Web.de Mail. Den Aussagen dort zufolge wäre also alles echt und es gibt sogar halbwegs belastbare Belege dafür.

DKIM-Signatur zur Rettung?

Eine der hervorgehobenen Stellen habe ich oben bewusst nicht erwähnt. Das ist die Zeile mit der DKIM-Signatur, in der von „produkt.web.de“ die Rede ist. Doch, was soll ich damit? Ein Blick in Wikipedia verrät nicht mehr als ich schon wusste: DKIM-Signaturen dienen der Bestätigung, dass die Mail von der korrekten Domain kommt, also praktisch eine Bestätigung, dass der versendende Server tatsächlich Mails verschicken darf, die so aussehen als gehörten sie zur Domain „produkt.web.de“. Also doch alles gut, weil es damit ja auf jeden Fall auch zur Domain web.de gehört? Dazu muss man die Signatur aber erst mal überprüfen.

m(

Leider lässt sich von Haus aus in Thunderbird nicht nachvollziehen, ob diese Signatur gültig ist. Mit dem Addon „DKIM Verifier“ lässt sich da aber Abhilfe schaffen, sodass im Kopfbereich der E-Mail folgendes angezeigt wird:

Valid (Signed by produkt.web.de) !

Sehr gut, WEB.DE, ihr verschickt Mails mit gültiger DKIM-Signatur, aber kriegt es nicht auf die Reihe eine passende Absenderadresse anzugeben.

Was bedeutet das für den arglosen Durchschnittsnutzer? Der wird von WEB.DE dazu erzogen wie blöde jeden Link anzuklicken, wenn ihm jemand schreibt, dass er das tun muss, um seinen Account zu behalten und es irgendwie nach WEB.DE aussieht – muss man sich ja nur einmal anmelden und dann kann man weiter Katzencontent auf Facebook liken. Schwupps, nicht aufgepasst und schon sind die Zugangsdaten des E-Mail-Kontos bei einer tatsächlichen Phishingseite eingegeben und Kriminelle können das Konto für ihre Zwecke missbrauchen. Wenn die das geschickt anstellen, kriegt der Durchschnittsnutzer das sogar nicht mal so schnell mit.

Bonuslevel: Nur-Text-Version der Mail

Wie oben beschrieben handelt es sich um die HTML-Version der Mail, doch WEB.DE schickt immerhin auch eine Nur-Text-Version mit:

------------------------------------------------------------------
Wichtige Information zu Ihrem WEB.DE FreeMail-Postfach – 
weitere Nutzung bestätigen
------------------------------------------------------------------

Postfachnutzung bestätigen

Sehr geehrter Herr Koenig,

Sie haben Ihr kostenfreies WEB.DE Postfach mit der Adresse 
###ANONYM### bereits seit längerer Zeit nicht genutzt.

Sollten Sie Ihr Postfach sechs Monate in Folge nicht nutzen, 
werden dessen Inhalte gelöscht. Loggen Sie sich bitte jetzt ein 
und bestätigen Sie so die weitere Nutzung Ihrer E-Mail-Adresse 
bei WEB.DE – spätestens jedoch innerhalb der nächsten 10 Tage!


Weitere Nutzung bestätigen
https://web.de/email/login-wb/


Ihr
WEB.‌DE Kundenmanagement



PS: Sie haben Ihr Passwort zu Ihrem WEB.‌DE FreeMail-Postfach 
vergessen oder Fragen zum Postfach? ‌Hier finden Sie alle 
wichtigen Informationen.
https://hilfe.web.de/


Hinweis: Sie erhalten diese E-Mail, da Sie als WEB.DE Nutzer 
diese E-Mail-Adresse als Kontaktadresse hinterlegt haben. 
Wenn Sie nicht Steven Koenig sind, 
setzen Sie sich bitte mit unserem Kundenservice in Verbindung.
https://hilfe.web.de/

Die dämlichen Schreibfehler sind zwar immer noch drin, aber dafür gehen sämtliche Links ohne irgendwelche personalisierte Schnüffelscheiße direkt auf web.de. Ausgerechnet in der Nur-Text-Version, die in der Regel ja ohnehin überwiegend von erfahreneren Nutzern eingesetzt wird.

2017-01-08

Hacker Manifesto wird 31

Abgelegt unter In eigener Sache von Kreuvf um 00:00:03

Wie auch schon 2007, 2008, 2009, 2010, 2011, 2012, 2013, 2014, 2015 und 2016 feiert das Hackermanifest auch in diesem Jahr wieder am 8. Januar Geburtstag.

The Hacker Manifesto

by
+++The Mentor+++
Written January 8, 1986

Another one got caught today, it’s all over the papers. “Teenager Arrested in Computer Crime Scandal”, “Hacker Arrested after Bank Tampering”…

Damn kids. They’re all alike.

But did you, in your three-piece psychology and 1950’s technobrain, ever take a look behind the eyes of the hacker? Did you ever wonder what made him tick, what forces shaped him, what may have molded him?

I am a hacker, enter my world…

Mine is a world that begins with school… I’m smarter than most of the other kids, this crap they teach us bores me…

Damn underachiever. They’re all alike.

I’m in junior high or high school. I’ve listened to teachers explain for the fifteenth time how to reduce a fraction. I understand it. “No, Ms. Smith, I didn’t show my work. I did it in my head…”

Damn kid. Probably copied it. They’re all alike.

I made a discovery today. I found a computer. Wait a second, this is cool. It does what I want it to. If it makes a mistake, it’s because I screwed it up. Not because it doesn’t like me… Or feels threatened by me.. Or thinks I’m a smart ass.. Or doesn’t like teaching and shouldn’t be here…

Damn kid. All he does is play games. They’re all alike.

And then it happened… a door opened to a world… rushing through the phone line like heroin through an addict’s veins, an electronic pulse is sent out, a refuge from the day-to-day incompetencies is sought… a board is found. “This is it… this is where I belong…” I know everyone here… even if I’ve never met them, never talked to them, may never hear from them again… I know you all…

Damn kid. Tying up the phone line again. They’re all alike…

You bet your ass we’re all alike… we’ve been spoon-fed baby food at school when we hungered for steak… the bits of meat that you did let slip through were pre-chewed and tasteless. We’ve been dominated by sadists, or ignored by the apathetic. The few that had something to teach found us willing pupils, but those few are like drops of water in the desert.

This is our world now… the world of the electron and the switch, the beauty of the baud. We make use of a service already existing without paying for what could be dirt-cheap if it wasn’t run by profiteering gluttons, and you call us criminals. We explore… and you call us criminals. We seek after knowledge… and you call us criminals. We exist without skin color, without nationality, without religious bias… and you call us criminals. You build atomic bombs, you wage wars, you murder, cheat, and lie to us and try to make us believe it’s for our own good, yet we’re the criminals.

Yes, I am a criminal. My crime is that of curiosity. My crime is that of judging people by what they say and think, not what they look like. My crime is that of outsmarting you, something that you will never forgive me for.

I am a hacker, and this is my manifesto. You may stop this individual, but you can’t stop us all… after all, we’re all alike.

Quellen

Spiegelung des Hacker Manifesto
Wikipedia zum Hacker-Manifest

2017-01-05

Wikipedia wechselt die CA

Abgelegt unter Technologie,Webdesign von Kreuvf um 11:41:50

Wer wie ich das Firefox-Add-on „Certificate Patrol“ verwendet, wird sicherlich mitbekommen haben, dass Wikipedia seit Kurzem neue Zertifikate hat und dabei auch die Certificate Authority gewechselt hat:
Certificate-Patrol-Meldung über verdächtige Änderung der Wikipediazertifikate

Die Frage, die sich bei einem solchen (wenig/schlecht) angekündigten CA-Wechsel stellt, ist: Versucht dort jemand eine Man-in-the-middle-Attacke mit einem gefälschten Zertifikat oder ist das tatsächlich ein Zertifikat einer anderen CA?

Wie sich herausstellt, gibt es in der Admin Log vom 4. Januar 2017 möglicherweise einen entsprechenden Eintrag:

  • […]
  • 22:51 robh@puppetmaster1001: conftool action : set/pooled=no; selector: name=mw2078.codfw.wmnet
  • 22:51 robh@puppetmaster1001: conftool action : set/pooled=no; selector: name=mw2077.codfw.wmnet
  • 22:51 robh@puppetmaster1001: conftool action : set/pooled=no; selector: name=mw2076.codfw.wmnet
  • 22:50 robh@puppetmaster1001: conftool action : set/pooled=no; selector: name=mw2075.codfw.wmnet
  • 22:49 godog: rename / reimage restbase-test1* to restbase-dev1*
  • 22:46 bblack: TLS: unified certificates in esams switching to digicert
  • 22:19 mutante: rolling out exim4 upgrades (DSA 3747-1) on mw-codfw
  • 21:55 Krinkle: mwscript deleteEqualMessages.php –wiki nowikinews (T45917)
  • 21:55 Krinkle: mwscript deleteEqualMessages.php –wiki nowiki (T45917)
  • 21:48 otto@tin: Finished deploy [eventstreams/deploy@a103be2]: (no message) (duration: 01m 32s)
  • 21:46 otto@tin: Starting deploy [eventstreams/deploy@a103be2]: (no message)
  • […]

Hervorhebung von mir.

Da die Seite aber auch via HTTPS und mit neuem Zertifikat ausgeliefert wurde, stellt sich die Frage, ob diese Info dort auch tatsächlich stimmt. Oder anders gesagt: Wenn das eine Man-in-the-middle-Attacke ist, kann die zwischengeschaltete Stelle diese Information an dieser Stelle problemlos einfügen, um den Eindruck zu erwecken, dass alles in Ordnung sei.

Würde mich also freuen, wenn mir das jemand bestätigen könnte.