Kreuvfs Allerweltsblog

2017-01-09

WEB.DE: Wie man seine Nutzer zu Phishing-Opfern erzieht

Abgelegt unter Soziales Umfeld,Technologie,Webdesign von Kreuvf um 22:35:53
Was hat ein ><(((°> damit zu tun?

Phishing, angelehnt ans Englische „fishing“ für „Fischen, Angeln“, beschreibt allgemein Versuche mittels gefälschter Nachrichten ahnungslose Opfer zum Angeben sensibler Daten zu verführen: Zugangsdaten zu Bank- und E-Mail-Konten, Kreditkartendaten – der Rohstoff des Merkel’schen Neulands ist reichlich vorhanden und möchte ausgebeutet werden.

><(((°> im Treibnetz

Während es noch einfach ist einer E-Mail das offizielle Aussehen von beispielsweise Paypal, Amazon oder dem Zockerzirkel Ihres Misstrauens zu verpassen, so sind die oftmals ebenfalls eingestreuten Daten wie korrekter Name und korrekte E-Mail-Adresse schon schwieriger herauszufinden und ihr Fehlen oder ihre Falschangabe machen eine Fälschung leicht erkennbar. Absende- und Rückantwortadressen lassen sich problemlos fälschen, aber in der Regel lässt sich ein Phishingangriff für etwas versiertere Nutzer leicht am „Innenleben“ einer E-Mail erkennen. Beispielsweise erhielt ich vor einiger Zeit auf eine E-Mail-Adresse, die ich für einen bestimmten Anbieter angelegt und ausschließlich für diesen verwendet hatte, eine E-Mail, vorgeblich von Paypal:

Return-Path: <service@paypal.de>
Received: from loft9065.serverprofi24.de (loft9065.serverprofi24.de [188.138.33.69])
	by dd24532.kasserver.com (Postfix) with ESMTP id D0D2D6F0175E
	for <###########################>; Tue, 29 Mar 2016 02:59:47 +0200 (CEST)
From: "service@paypal.de" <service@paypal.de>
Organization: service@paypal.de

An der hervorgehobenen Zeile erkennt man, dass die Mail von einem Server kam, der nicht paypal.de ist.

Überphischung eindämmen

Nun versucht natürlich jeder Mailanbieter möglichst sichere Konten anzubieten und so versuchen WEB.DE & Co. seit einiger Zeit den Leuten E-Mail-Verschlüsselung mittels PGP/GPG schmackhaft zu machen, was über den Verschlüsselungsaspekt hinaus auch noch eine sehr starke Fälschungssicherheit mit sich bringen würde – aber das nutzen die entsprechenden Anbieter ja nicht einmal bei ihren eigenen Mails.

WEB.DE will mein Postfach löschen D:

Selbst wenn sie wichtigen Inhalt wie folgenden haben, gibt es keine PGP/GPG-Signatur:

Sehr geehrter Herr Koenig,

Sie haben Ihr kostenfreies WEB.DE Postfach mit der Adresse ###ANONYM### bereits seit längerer Zeit nicht genutzt.

Sollten Sie Ihr Postfach sechs Monate in Folge nicht nutzen, werden dessen Inhalte gelöscht. Loggen Sie sich bitte jetzt ein und bestätigen Sie so die weitere Nutzung Ihrer E-Mail-Adresse bei WEB.DE – spätestens jedoch innerhalb der nächsten 10 Tage!

Weitere Nutzung bestätigen

Ihr
WEB.‌DE Kundenmanagement

PS: Sie haben Ihr Passwort zu Ihrem WEB.‌DE FreeMail-Postfach vergessen oder Fragen zum Postfach? ‌Hier finden Sie alle wichtigen Informationen.

Hinweis: Sie erhalten diese E-Mail, da Sie als WEB.DE Nutzer diese E-Mail-Adresse als Kontaktadresse hinterlegt haben. Wenn Sie nicht Steven Koenig sind, setzen Sie sich bitte mit unserem ‌Kundenservice in Verbindung.

(Das ist aus der vereinfachten HTML-Darstellung von Thunderbird herauskopiert, einige Daten wurden anonymisiert und der Inhalt ist daher nur bedingt originalgetreu. Die entschärften Links entsprechen jedoch den Angaben. Hervorhebungen von mir.)

Riecht ><(((°>ig

Die Links gehen also auf Seiten unter der Domain „ui-portal.com“, nicht „web.de“, riecht also in höchstem Maße verdächtig nach einem Phishingversuch. Des Weiteren haben die Rechtschreibexperten bei WEB.DE (muss natürlich in Großbuchstaben stehen, weil das für die Markenbildung wichtig ist) es geschafft in den kurzen Text vier Fehler einzubauen, siehe Hervorhebungen. Auch wenn Markenfetischisten gern eine Schutzzone um ihr Logo haben wollen, so ist es schlicht ungrammatisch, wenn die Bindestriche fehlen; im Deutschen koppeln wir brav durch oder schreiben es direkt zusammen. Dabei heißt es doch ständig, dass man Phishingmails besonders daran erkennt, dass sie über schlechtes/fehlerhaftes Deutsch verfügen…

Dr. House auf Innereienjagd

Betrachten wir mal einige „Innereien“ der Mail:

    
Return-Path: <noreply_kundenmanagement@webde.de>
Received: from mout-csbulk.1and1.com (mout-csbulk.1and1.com [212.227.126.227])
	by dd24532.kasserver.com (Postfix) with ESMTPS id EE7656F00053
	for <ANONYM>> Mon,  9 Jan 2017 19:27:39 +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=produkt.web.de;
	s=isystem1; t=1483986459;
	bh=7q8YVurMDH32B26A4zlkjjjwEQLng0w1phZk0P/OK0c=;
	h=X-UI-Sender-Class:Date:To:From:Reply-to:Subject;
	b=xAfMA3DA5idKcjKSevNhnwciCled1g4vvBqLwMBD/oTpV1lvcjvjDl7ugQkndVpbM
	 PhKZlSYbyZL5YSRhrXiH2lvMfQRyJyWNABDceleN+kK4DsC0hfoM2YcAzpmGKEt/wn
	 huzOd4nPa9SoCiSLf77C+kj2UO5AbdpA8aBwCuQc=
Received: from nlsender05.ui-portal.com ([172.20.15.145]) by
 mrs-csbulk.1and1.com (mrsbulk003) with ESMTPA (Nemesis) id
 0MVeb0-1byHeW1qe7-00Z26r for <ANONYM>; Mon, 09 Jan 2017 19:27:39
 +0100
From: "WEB.DE Kundenmanagement" <kundenmanagement@webde.de>
Reply-to: noreply_kundenmanagement@webde.de

Eine gern genutzte Masche beim Phishing ist die Registrierung einer Domain, die der gefälschten sehr ähnlich sieht: beispielsweise sieht „webde.de“ dem bekannten „web.de“ sehr ähnlich. Die Angreifer bauen darauf, dass jemand nach einem langen Arbeitstag etwas Besseres zu tun hat als jeden kleinen Link aufs letzte Bit akribisch zu kontrollieren, um seine Mails nicht zu verlieren. So habe ich bereits auf die oben angesprochene E-Mail-Adresse angebliche Paypalmails bekommen, die mich auf „paypal-zahlung.de“ verwiesen haben. Nun kommen „webde.de“ und „1and1.com“ insgesamt je dreimal und „ui-portal.com“ kommt einmal vor. Wie soll ich da bitteschön nicht vermuten, dass das Phishing ist? Wie soll da ein Durchschnittsnutzer nicht vermuten, dass es Phishing ist?

Zwischendurch: Recherche

Nun, eine Googlesuche brachte einen relevanten Treffer: Echte oder gefakte Web.de Mail. Den Aussagen dort zufolge wäre also alles echt und es gibt sogar halbwegs belastbare Belege dafür.

DKIM-Signatur zur Rettung?

Eine der hervorgehobenen Stellen habe ich oben bewusst nicht erwähnt. Das ist die Zeile mit der DKIM-Signatur, in der von „produkt.web.de“ die Rede ist. Doch, was soll ich damit? Ein Blick in Wikipedia verrät nicht mehr als ich schon wusste: DKIM-Signaturen dienen der Bestätigung, dass die Mail von der korrekten Domain kommt, also praktisch eine Bestätigung, dass der versendende Server tatsächlich Mails verschicken darf, die so aussehen als gehörten sie zur Domain „produkt.web.de“. Also doch alles gut, weil es damit ja auf jeden Fall auch zur Domain web.de gehört? Dazu muss man die Signatur aber erst mal überprüfen.

m(

Leider lässt sich von Haus aus in Thunderbird nicht nachvollziehen, ob diese Signatur gültig ist. Mit dem Addon „DKIM Verifier“ lässt sich da aber Abhilfe schaffen, sodass im Kopfbereich der E-Mail folgendes angezeigt wird:

Valid (Signed by produkt.web.de) !

Sehr gut, WEB.DE, ihr verschickt Mails mit gültiger DKIM-Signatur, aber kriegt es nicht auf die Reihe eine passende Absenderadresse anzugeben.

Was bedeutet das für den arglosen Durchschnittsnutzer? Der wird von WEB.DE dazu erzogen wie blöde jeden Link anzuklicken, wenn ihm jemand schreibt, dass er das tun muss, um seinen Account zu behalten und es irgendwie nach WEB.DE aussieht – muss man sich ja nur einmal anmelden und dann kann man weiter Katzencontent auf Facebook liken. Schwupps, nicht aufgepasst und schon sind die Zugangsdaten des E-Mail-Kontos bei einer tatsächlichen Phishingseite eingegeben und Kriminelle können das Konto für ihre Zwecke missbrauchen. Wenn die das geschickt anstellen, kriegt der Durchschnittsnutzer das sogar nicht mal so schnell mit.

Bonuslevel: Nur-Text-Version der Mail

Wie oben beschrieben handelt es sich um die HTML-Version der Mail, doch WEB.DE schickt immerhin auch eine Nur-Text-Version mit:

------------------------------------------------------------------
Wichtige Information zu Ihrem WEB.DE FreeMail-Postfach – 
weitere Nutzung bestätigen
------------------------------------------------------------------

Postfachnutzung bestätigen

Sehr geehrter Herr Koenig,

Sie haben Ihr kostenfreies WEB.DE Postfach mit der Adresse 
###ANONYM### bereits seit längerer Zeit nicht genutzt.

Sollten Sie Ihr Postfach sechs Monate in Folge nicht nutzen, 
werden dessen Inhalte gelöscht. Loggen Sie sich bitte jetzt ein 
und bestätigen Sie so die weitere Nutzung Ihrer E-Mail-Adresse 
bei WEB.DE – spätestens jedoch innerhalb der nächsten 10 Tage!


Weitere Nutzung bestätigen
https://web.de/email/login-wb/


Ihr
WEB.‌DE Kundenmanagement



PS: Sie haben Ihr Passwort zu Ihrem WEB.‌DE FreeMail-Postfach 
vergessen oder Fragen zum Postfach? ‌Hier finden Sie alle 
wichtigen Informationen.
https://hilfe.web.de/


Hinweis: Sie erhalten diese E-Mail, da Sie als WEB.DE Nutzer 
diese E-Mail-Adresse als Kontaktadresse hinterlegt haben. 
Wenn Sie nicht Steven Koenig sind, 
setzen Sie sich bitte mit unserem Kundenservice in Verbindung.
https://hilfe.web.de/

Die dämlichen Schreibfehler sind zwar immer noch drin, aber dafür gehen sämtliche Links ohne irgendwelche personalisierte Schnüffelscheiße direkt auf web.de. Ausgerechnet in der Nur-Text-Version, die in der Regel ja ohnehin überwiegend von erfahreneren Nutzern eingesetzt wird.

2017-01-05

Wikipedia wechselt die CA

Abgelegt unter Technologie,Webdesign von Kreuvf um 11:41:50

Wer wie ich das Firefox-Add-on „Certificate Patrol“ verwendet, wird sicherlich mitbekommen haben, dass Wikipedia seit Kurzem neue Zertifikate hat und dabei auch die Certificate Authority gewechselt hat:
Certificate-Patrol-Meldung über verdächtige Änderung der Wikipediazertifikate

Die Frage, die sich bei einem solchen (wenig/schlecht) angekündigten CA-Wechsel stellt, ist: Versucht dort jemand eine Man-in-the-middle-Attacke mit einem gefälschten Zertifikat oder ist das tatsächlich ein Zertifikat einer anderen CA?

Wie sich herausstellt, gibt es in der Admin Log vom 4. Januar 2017 möglicherweise einen entsprechenden Eintrag:

  • […]
  • 22:51 robh@puppetmaster1001: conftool action : set/pooled=no; selector: name=mw2078.codfw.wmnet
  • 22:51 robh@puppetmaster1001: conftool action : set/pooled=no; selector: name=mw2077.codfw.wmnet
  • 22:51 robh@puppetmaster1001: conftool action : set/pooled=no; selector: name=mw2076.codfw.wmnet
  • 22:50 robh@puppetmaster1001: conftool action : set/pooled=no; selector: name=mw2075.codfw.wmnet
  • 22:49 godog: rename / reimage restbase-test1* to restbase-dev1*
  • 22:46 bblack: TLS: unified certificates in esams switching to digicert
  • 22:19 mutante: rolling out exim4 upgrades (DSA 3747-1) on mw-codfw
  • 21:55 Krinkle: mwscript deleteEqualMessages.php –wiki nowikinews (T45917)
  • 21:55 Krinkle: mwscript deleteEqualMessages.php –wiki nowiki (T45917)
  • 21:48 otto@tin: Finished deploy [eventstreams/deploy@a103be2]: (no message) (duration: 01m 32s)
  • 21:46 otto@tin: Starting deploy [eventstreams/deploy@a103be2]: (no message)
  • […]

Hervorhebung von mir.

Da die Seite aber auch via HTTPS und mit neuem Zertifikat ausgeliefert wurde, stellt sich die Frage, ob diese Info dort auch tatsächlich stimmt. Oder anders gesagt: Wenn das eine Man-in-the-middle-Attacke ist, kann die zwischengeschaltete Stelle diese Information an dieser Stelle problemlos einfügen, um den Eindruck zu erwecken, dass alles in Ordnung sei.

Würde mich also freuen, wenn mir das jemand bestätigen könnte.

2016-07-17

Bist du auch ein Pokémongo?

Abgelegt unter Humor,In eigener Sache,Pokémon,Soziales Umfeld,Technologie,Wortspiele von Kreuvf um 20:04:57

Offenbar füllt dieses Jahr kein Krokodil im Rhein das Sommerloch, sondern eher ein Relaxo auf dem Weg. Auf heise wimmelt es nur so vor Pokémon-Go-Nachrichten (Beispiel), deren Nachrichtenwert in der Regel sehr gering ist. Auffällig an dem aktuellen Hype ist, dass auch Spielerkreise erschlossen werden, die zuvor nicht oder so gut wie nicht mit Pokémon vertraut waren – was man vor allem daran merkt, dass der im Deutschen falsche Plural „Pokémons“ verwendet wird, obwohl das selbst Wiktionary schon seit Langem weiß.

Obwohl ich die aktuellen Hauptreihenspiele sehr gern spiele, missfällt mir dieser Hype doch sehr. Das liegt vor allem daran, dass das Pokémon-Go-Universum abgetrennt ist vom Rest. Im Grunde ist Pokémon Go ein Ingress-Klon, nur bunter und mit Pokémon. Weil sich das aber so schön anbietet, denke ich, dass es an der Zeit ist Pokémon-Go-Spieler mit einem eigenen Wort zu bedenken.

Da ich Wortspielen sehr zugeneigt bin, liegt es daher auch nicht allzu fern, das Wort „Pokémongo“ dafür zu benutzen. Ein entsprechendes Meme, das eine Person mit Trisomie 21 zeigt, die als Pokémontrainer verkleidet ist, und den Text „Pokémongo“ enthält, erspare ich mir – gibt aber möglicherweise so oder so einen Shitstorm der Berufsempörten.

2016-06-29

Englisch ist das bessere Deutsch

Abgelegt unter Kurioses,Software,Technologie von Kreuvf um 20:56:12

So langsam kann ich aus meinen Erfahrungen mit Google Translate eine eigene Kategorie aufmachen. Heute erwischt es die deutsche Übersetzung einer japanischen Aufforderung.

Google Translate übersetzt das japanische „頑張って!“ nicht mit einer passenden deutschen Übersetzung wie „Streng' dich an!“, sondern mit dem englischen „Go for it!“, was so viel bedeutet wie „Mach' es!“.

Offenbar hat Google versucht einen Turm zu hoch zu bauen.

2016-05-14

PDFs, Musik & Videos kaufen

Abgelegt unter Recht & Gesetz,Soziales Umfeld,Technologie von Kreuvf um 19:25:21

Ich habe Musik und Videos gern lokal auf der Festplatte. Während man für Musik heutzutage immerhin schon aus einem großen Angebot ohne kundenvergraulendes DRM wählen kann, sieht es an anderen Fronten leider recht karg aus. DVDs und Blurays – beide mit digitalen Kopierschutzmechanismen ausgestattet – dominieren den Offlinemarkt. Im Buchbereich gibt viel zu oft auch nur Angebote mit DRM-belasteten Dateien, die ein freies Kopieren und/oder Nutzen der bezahlten Ware erschweren oder sogar unmöglich machen können.

Streaming-Anbieter machen sich auch hierzulande breit und liefern Filme, Serien und Musik auf Abruf, ohne dass ein gesonderter physischer Datenträger benötigt wird oder eine Datei auf dem Rechner geöffnet werden muss. Einige Verlage bieten auch PDFs ihrer Bücher ohne DRM. Beispiele sind der Rheinwerk-Verlag (vormals „Galileo Computing“) und die Ulisses Medien & Spiel Distribution GmbH. Verlage für wissenschaftliche Veröffentlichungen bieten das zwar auch an, machen es aber zu halsabschneiderischen Preisen von gern mal 50 € für ein paar Seiten; selbst dann, wenn die öffentliche Hand die dahinterstehende Forschung bereits bezahlt hat! Wissenschaftler sind eben keine guten Geschäftsmänner.

Nun sind Musikdateien selbst in Form von verlustfreien FLAC-Dateien für heutige Festplattengrößen und Verbindungsgeschwindigkeiten kein Problem mehr, auch PDFs sind ähnlich klein, sodass auf einer handelsüblichen 16-GBSD-Karte tausende solcher Dateien überallhin mitgenommen werden können. Allein die Vorstellung bei einem Umzug statt einem Regal mit Büchern nur eine SD-Karte mitzunehmen, strahlt einen ganz besonderen Reiz auf mich aus.

Doch wundert es mich sehr, dass „die“ Filmindustrie offenbar kein Downloadangebot für Filme schaffen möchte, das es mir als Endkunden gestattet einen Film vollkommen legal mit sämtlichen Ton- und Untertitelspuren als MKV zum beliebigen Herumkopieren zu erwerben. Stattdessen setzt man auf die tonnenweise Produktion von DVDs und Blurays, die alle einem Alterungsprozess unterliegen, irgendwann nicht mehr funktionieren werden und letzten Endes nur aufwendig recyclebarer Plastikmüll werden. Natürlich ist es das gute Recht der Rechteinhaber die Filme nach eigenem Gutdünken zu vermarkten, aber wäre es nicht ähnlich sinnvoll wie bei Musik auch Videos zum Download anzubieten? Die illegalen Angebote florieren ohnehin und bieten dem enttäuschten Kunden das, was er haben möchte. Dass dabei eher Geld an die Anbieter des Downloads fließt als an die Rechteinhaber, ist meiner Ansicht nach aber nur zum kleineren Teil die Schuld der illegalen Anbieter.

Ich habe mich dazu entschlossen mich nicht auf Bluray und etwaige weitere Nachfolgetechnologien einzulassen. Optische Medien haben ihren Platz, aber für die Verteilung von Filmen sollte auch „die“ Filmindustrie die Zeichen der Zeit erkennen und endlich vernünftige Angebote schaffen. Ich jedenfalls werde keinen Cent in Streamingangebote investieren und verzichte lieber so lange, bis auch diese Industrie gelernt hat auf die Wünsche ihrer Kunden zu hören anstatt sie in Grund und Boden zu klagen. Des Weiteren hoffe ich, dass innerhalb der nächsten Jahre patentverseuchte MP3-Dateien in Rente geschickt werden oder der Kunde zumindest die Wahl bekommt, ob er stattdessen nicht lieber eine verlustfreie FLAC-Datei erwerben möchte.

Nächste Seite »