Kreuvfs Allerweltsblog

Das müssen diese intelligenten Assistenten und ihre smarten Funktionen sein, von denen man immer so viel hört.

Was hat ein ><(((°> damit zu tun?

Phishing, angelehnt ans Englische „fishing“ für „Fischen, Angeln“, beschreibt allgemein Versuche mittels gefälschter Nachrichten ahnungslose Opfer zum Angeben sensibler Daten zu verführen: Zugangsdaten zu Bank- und E-Mail-Konten, Kreditkartendaten – der Rohstoff des Merkel’schen Neulands ist reichlich vorhanden und möchte ausgebeutet werden.

><(((°> im Treibnetz

Während es noch einfach ist einer E-Mail das offizielle Aussehen von beispielsweise Paypal, Amazon oder dem Zockerzirkel Ihres Misstrauens zu verpassen, so sind die oftmals ebenfalls eingestreuten Daten wie korrekter Name und korrekte E-Mail-Adresse schon schwieriger herauszufinden und ihr Fehlen oder ihre Falschangabe machen eine Fälschung leicht erkennbar. Absende- und Rückantwortadressen lassen sich problemlos fälschen, aber in der Regel lässt sich ein Phishingangriff für etwas versiertere Nutzer leicht am „Innenleben“ einer E-Mail erkennen. Beispielsweise erhielt ich vor einiger Zeit auf eine E-Mail-Adresse, die ich für einen bestimmten Anbieter angelegt und ausschließlich für diesen verwendet hatte, eine E-Mail, vorgeblich von Paypal:

Return-Path: <service@paypal.de>
Received: from loft9065.serverprofi24.de (loft9065.serverprofi24.de [188.138.33.69])
	by dd24532.kasserver.com (Postfix) with ESMTP id D0D2D6F0175E
	for <###########################>; Tue, 29 Mar 2016 02:59:47 +0200 (CEST)
From: "service@paypal.de" <service@paypal.de>
Organization: service@paypal.de

An der hervorgehobenen Zeile erkennt man, dass die Mail von einem Server kam, der nicht paypal.de ist.

Überphischung eindämmen

Nun versucht natürlich jeder Mailanbieter möglichst sichere Konten anzubieten und so versuchen WEB.DE & Co. seit einiger Zeit den Leuten E-Mail-Verschlüsselung mittels PGP/GPG schmackhaft zu machen, was über den Verschlüsselungsaspekt hinaus auch noch eine sehr starke Fälschungssicherheit mit sich bringen würde – aber das nutzen die entsprechenden Anbieter ja nicht einmal bei ihren eigenen Mails.

WEB.DE will mein Postfach löschen D:

Selbst wenn sie wichtigen Inhalt wie folgenden haben, gibt es keine PGP/GPG-Signatur:

Sehr geehrter Herr Koenig,

Sie haben Ihr kostenfreies WEB.DE Postfach mit der Adresse ###ANONYM### bereits seit längerer Zeit nicht genutzt.

Sollten Sie Ihr Postfach sechs Monate in Folge nicht nutzen, werden dessen Inhalte gelöscht. Loggen Sie sich bitte jetzt ein und bestätigen Sie so die weitere Nutzung Ihrer E-Mail-Adresse bei WEB.DE – spätestens jedoch innerhalb der nächsten 10 Tage!

Weitere Nutzung bestätigen

Ihr
WEB.‌DE Kundenmanagement

PS: Sie haben Ihr Passwort zu Ihrem WEB.‌DE FreeMail-Postfach vergessen oder Fragen zum Postfach? ‌Hier finden Sie alle wichtigen Informationen.

Hinweis: Sie erhalten diese E-Mail, da Sie als WEB.DE Nutzer diese E-Mail-Adresse als Kontaktadresse hinterlegt haben. Wenn Sie nicht Steven Koenig sind, setzen Sie sich bitte mit unserem ‌Kundenservice in Verbindung.

(Das ist aus der vereinfachten HTML-Darstellung von Thunderbird herauskopiert, einige Daten wurden anonymisiert und der Inhalt ist daher nur bedingt originalgetreu. Die entschärften Links entsprechen jedoch den Angaben. Hervorhebungen von mir.)

Riecht ><(((°>ig

Die Links gehen also auf Seiten unter der Domain „ui-portal.com“, nicht „web.de“, riecht also in höchstem Maße verdächtig nach einem Phishingversuch. Des Weiteren haben die Rechtschreibexperten bei WEB.DE (muss natürlich in Großbuchstaben stehen, weil das für die Markenbildung wichtig ist) es geschafft in den kurzen Text vier Fehler einzubauen, siehe Hervorhebungen. Auch wenn Markenfetischisten gern eine Schutzzone um ihr Logo haben wollen, so ist es schlicht ungrammatisch, wenn die Bindestriche fehlen; im Deutschen koppeln wir brav durch oder schreiben es direkt zusammen. Dabei heißt es doch ständig, dass man Phishingmails besonders daran erkennt, dass sie über schlechtes/fehlerhaftes Deutsch verfügen…

Dr. House auf Innereienjagd

Betrachten wir mal einige „Innereien“ der Mail:

    
Return-Path: <noreply_kundenmanagement@webde.de>
Received: from mout-csbulk.1and1.com (mout-csbulk.1and1.com [212.227.126.227])
	by dd24532.kasserver.com (Postfix) with ESMTPS id EE7656F00053
	for <ANONYM>> Mon,  9 Jan 2017 19:27:39 +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=produkt.web.de;
	s=isystem1; t=1483986459;
	bh=7q8YVurMDH32B26A4zlkjjjwEQLng0w1phZk0P/OK0c=;
	h=X-UI-Sender-Class:Date:To:From:Reply-to:Subject;
	b=xAfMA3DA5idKcjKSevNhnwciCled1g4vvBqLwMBD/oTpV1lvcjvjDl7ugQkndVpbM
	 PhKZlSYbyZL5YSRhrXiH2lvMfQRyJyWNABDceleN+kK4DsC0hfoM2YcAzpmGKEt/wn
	 huzOd4nPa9SoCiSLf77C+kj2UO5AbdpA8aBwCuQc=
Received: from nlsender05.ui-portal.com ([172.20.15.145]) by
 mrs-csbulk.1and1.com (mrsbulk003) with ESMTPA (Nemesis) id
 0MVeb0-1byHeW1qe7-00Z26r for <ANONYM>; Mon, 09 Jan 2017 19:27:39
 +0100
From: "WEB.DE Kundenmanagement" <kundenmanagement@webde.de>
Reply-to: noreply_kundenmanagement@webde.de

Eine gern genutzte Masche beim Phishing ist die Registrierung einer Domain, die der gefälschten sehr ähnlich sieht: beispielsweise sieht „webde.de“ dem bekannten „web.de“ sehr ähnlich. Die Angreifer bauen darauf, dass jemand nach einem langen Arbeitstag etwas Besseres zu tun hat als jeden kleinen Link aufs letzte Bit akribisch zu kontrollieren, um seine Mails nicht zu verlieren. So habe ich bereits auf die oben angesprochene E-Mail-Adresse angebliche Paypalmails bekommen, die mich auf „paypal-zahlung.de“ verwiesen haben. Nun kommen „webde.de“ und „1and1.com“ insgesamt je dreimal und „ui-portal.com“ kommt einmal vor. Wie soll ich da bitteschön nicht vermuten, dass das Phishing ist? Wie soll da ein Durchschnittsnutzer nicht vermuten, dass es Phishing ist?

Zwischendurch: Recherche

Nun, eine Googlesuche brachte einen relevanten Treffer: Echte oder gefakte Web.de Mail. Den Aussagen dort zufolge wäre also alles echt und es gibt sogar halbwegs belastbare Belege dafür.

DKIM-Signatur zur Rettung?

Eine der hervorgehobenen Stellen habe ich oben bewusst nicht erwähnt. Das ist die Zeile mit der DKIM-Signatur, in der von „produkt.web.de“ die Rede ist. Doch, was soll ich damit? Ein Blick in Wikipedia verrät nicht mehr als ich schon wusste: DKIM-Signaturen dienen der Bestätigung, dass die Mail von der korrekten Domain kommt, also praktisch eine Bestätigung, dass der versendende Server tatsächlich Mails verschicken darf, die so aussehen als gehörten sie zur Domain „produkt.web.de“. Also doch alles gut, weil es damit ja auf jeden Fall auch zur Domain web.de gehört? Dazu muss man die Signatur aber erst mal überprüfen.

m(

Leider lässt sich von Haus aus in Thunderbird nicht nachvollziehen, ob diese Signatur gültig ist. Mit dem Addon „DKIM Verifier“ lässt sich da aber Abhilfe schaffen, sodass im Kopfbereich der E-Mail folgendes angezeigt wird:

Valid (Signed by produkt.web.de) !

Sehr gut, WEB.DE, ihr verschickt Mails mit gültiger DKIM-Signatur, aber kriegt es nicht auf die Reihe eine passende Absenderadresse anzugeben.

Was bedeutet das für den arglosen Durchschnittsnutzer? Der wird von WEB.DE dazu erzogen wie blöde jeden Link anzuklicken, wenn ihm jemand schreibt, dass er das tun muss, um seinen Account zu behalten und es irgendwie nach WEB.DE aussieht – muss man sich ja nur einmal anmelden und dann kann man weiter Katzencontent auf Facebook liken. Schwupps, nicht aufgepasst und schon sind die Zugangsdaten des E-Mail-Kontos bei einer tatsächlichen Phishingseite eingegeben und Kriminelle können das Konto für ihre Zwecke missbrauchen. Wenn die das geschickt anstellen, kriegt der Durchschnittsnutzer das sogar nicht mal so schnell mit.

Bonuslevel: Nur-Text-Version der Mail

Wie oben beschrieben handelt es sich um die HTML-Version der Mail, doch WEB.DE schickt immerhin auch eine Nur-Text-Version mit:

------------------------------------------------------------------
Wichtige Information zu Ihrem WEB.DE FreeMail-Postfach – 
weitere Nutzung bestätigen
------------------------------------------------------------------

Postfachnutzung bestätigen

Sehr geehrter Herr Koenig,

Sie haben Ihr kostenfreies WEB.DE Postfach mit der Adresse 
###ANONYM### bereits seit längerer Zeit nicht genutzt.

Sollten Sie Ihr Postfach sechs Monate in Folge nicht nutzen, 
werden dessen Inhalte gelöscht. Loggen Sie sich bitte jetzt ein 
und bestätigen Sie so die weitere Nutzung Ihrer E-Mail-Adresse 
bei WEB.DE – spätestens jedoch innerhalb der nächsten 10 Tage!


Weitere Nutzung bestätigen
https://web.de/email/login-wb/


Ihr
WEB.‌DE Kundenmanagement



PS: Sie haben Ihr Passwort zu Ihrem WEB.‌DE FreeMail-Postfach 
vergessen oder Fragen zum Postfach? ‌Hier finden Sie alle 
wichtigen Informationen.
https://hilfe.web.de/


Hinweis: Sie erhalten diese E-Mail, da Sie als WEB.DE Nutzer 
diese E-Mail-Adresse als Kontaktadresse hinterlegt haben. 
Wenn Sie nicht Steven Koenig sind, 
setzen Sie sich bitte mit unserem Kundenservice in Verbindung.
https://hilfe.web.de/

Die dämlichen Schreibfehler sind zwar immer noch drin, aber dafür gehen sämtliche Links ohne irgendwelche personalisierte Schnüffelscheiße direkt auf web.de. Ausgerechnet in der Nur-Text-Version, die in der Regel ja ohnehin überwiegend von erfahreneren Nutzern eingesetzt wird.

Wer wie ich das Firefox-Add-on „Certificate Patrol“ verwendet, wird sicherlich mitbekommen haben, dass Wikipedia seit Kurzem neue Zertifikate hat und dabei auch die Certificate Authority gewechselt hat:

Die Frage, die sich bei einem solchen (wenig/schlecht) angekündigten CA-Wechsel stellt, ist: Versucht dort jemand eine Man-in-the-middle-Attacke mit einem gefälschten Zertifikat oder ist das tatsächlich ein Zertifikat einer anderen CA?

Wie sich herausstellt, gibt es in der Admin Log vom 4. Januar 2017 möglicherweise einen entsprechenden Eintrag:

• […]
• 22:51 robh@puppetmaster1001: conftool action : set/pooled=no; selector: name=mw2078.codfw.wmnet
• 22:51 robh@puppetmaster1001: conftool action : set/pooled=no; selector: name=mw2077.codfw.wmnet
• 22:51 robh@puppetmaster1001: conftool action : set/pooled=no; selector: name=mw2076.codfw.wmnet
• 22:50 robh@puppetmaster1001: conftool action : set/pooled=no; selector: name=mw2075.codfw.wmnet
• 22:49 godog: rename / reimage restbase-test1* to restbase-dev1*
• 22:46 bblack: TLS: unified certificates in esams switching to digicert
• 22:19 mutante: rolling out exim4 upgrades (DSA 3747-1) on mw-codfw
• 21:55 Krinkle: mwscript deleteEqualMessages.php –wiki nowikinews (T45917)
• 21:55 Krinkle: mwscript deleteEqualMessages.php –wiki nowiki (T45917)
• 21:48 otto@tin: Finished deploy [eventstreams/deploy@a103be2]: (no message) (duration: 01m 32s)
• 21:46 otto@tin: Starting deploy [eventstreams/deploy@a103be2]: (no message)
• […]

Hervorhebung von mir.

Da die Seite aber auch via HTTPS und mit neuem Zertifikat ausgeliefert wurde, stellt sich die Frage, ob diese Info dort auch tatsächlich stimmt. Oder anders gesagt: Wenn das eine Man-in-the-middle-Attacke ist, kann die zwischengeschaltete Stelle diese Information an dieser Stelle problemlos einfügen, um den Eindruck zu erwecken, dass alles in Ordnung sei.

Würde mich also freuen, wenn mir das jemand bestätigen könnte.

Offenbar füllt dieses Jahr kein Krokodil im Rhein das Sommerloch, sondern eher ein Relaxo auf dem Weg. Auf heise wimmelt es nur so vor Pokémon-Go-Nachrichten (Beispiel), deren Nachrichtenwert in der Regel sehr gering ist. Auffällig an dem aktuellen Hype ist, dass auch Spielerkreise erschlossen werden, die zuvor nicht oder so gut wie nicht mit Pokémon vertraut waren – was man vor allem daran merkt, dass der im Deutschen falsche Plural „Pokémons“ verwendet wird, obwohl das selbst Wiktionary schon seit Langem weiß.

Obwohl ich die aktuellen Hauptreihenspiele sehr gern spiele, missfällt mir dieser Hype doch sehr. Das liegt vor allem daran, dass das Pokémon-Go-Universum abgetrennt ist vom Rest. Im Grunde ist Pokémon Go ein Ingress-Klon, nur bunter und mit Pokémon. Weil sich das aber so schön anbietet, denke ich, dass es an der Zeit ist Pokémon-Go-Spieler mit einem eigenen Wort zu bedenken.

Da ich Wortspielen sehr zugeneigt bin, liegt es daher auch nicht allzu fern, das Wort „Pokémongo“ dafür zu benutzen. Ein entsprechendes Meme, das eine Person mit Trisomie 21 zeigt, die als Pokémontrainer verkleidet ist, und den Text „Pokémongo“ enthält, erspare ich mir – gibt aber möglicherweise so oder so einen Shitstorm der Berufsempörten.

So langsam kann ich aus meinen Erfahrungen mit Google Translate eine eigene Kategorie aufmachen. Heute erwischt es die deutsche Übersetzung einer japanischen Aufforderung.

Offenbar hat Google versucht einen Turm zu hoch zu bauen.