Spam-Forensics

Folge 1: Mastercard-Phishing

Was ist „Spam-Forensics“? Es soll eine kleine Serie sein – und ich bin mir sehr sicher, dass es eine Serie wird -, in der ich Spam- und Phishing-Mails, die durch mein Spamfiltersystem gerutscht sind, analysiere. Es wird mich wohl nicht direkt zum Übeltäter führen, aber ich kann zumindest dem Leser aufzeigen, warum sich unsereins mit so etwas herumschlagen muss, wo die Gefahr liegt und wie man dem entgegnet.

Heute fand ich ich meinem Postfach eine Mail von „Mastercard.de“, so zumindest der Absender. Eine Mail mit dem Betreff „Datenabgleich Ihrer Kreditkarte“ und folgendem Inhalt:

Sehr geehrter Kunde,

Aufgrund von Sicherheitstlücken in diversen größeren Onlineshops in Deutschland sind wir gezwungen,
unsere Kunden einer einmaligen Kundenverifizierung zu unterziehen.

Wenn Sie eine gültige Kreditkarte besitzen, empfehlen wir Ihnen, diese Kundenverifizierung sofort durchzuführen
um eine allfällige Kartensperrung zu verhindern.

Wenn Sie Ihre Kreditkarte nicht verifizieren, sehen wir uns gezwungen, diese innerhalb von 2 Tagen zu Ihrem Schutz zu sperren.

Die Kundenverifizierung können Sie ganz bequem Online durchführen.
Dazu klicken Sie bitte auf den „Jetzt verifizieren“ Button.

[BUTTON]

Herzlichen Dank für Ihr Verständnis,

Walter Schmitz
Eurokartensysteme Deutschland GmbH

Dass das keine echte Mail von Mastercard ist, ist logisch. Kein seriöses Unternehmen würde auf Sicherheitslücken mit einem Sicherheitsarmageddon reagieren. Zudem habe ich nicht mal eine Kreditkarte und kann mir kaum vorstellen, wie die an meine Mailadresse gekommen sein könnten. Es muss sich also um eine typische Phishing-Mail handeln.

Widersprüche

Nehmen wir also zunächst mal den Identitätswiderspruch auf: Die Mail stammt angeblich von „Mastercard.de„, der offiziellen Firmenrepräsentanz im Web. Als Antwortadresse ist hingegen eine Adresse der EURO Kartensysteme GmbH hinterlegt. Hier den Verursacher zu vermuten, greift zu kurz – sowas kann jeder in seinem Mailprogramm einrichten. Da wird lediglich Missbrauch getrieben mit einer Adresse, die wahrscheinlich früher mal auf der Webseite veröffentlicht war oder für das Kontaktformular verwendet wird. Zudem müsste ein Mitarbeiter des Unternehmens wohl wissen, wie die Firma heißt, bzw. dass sie nicht „Eurokartensysteme Deutschland GmbH“ heißt. Dies ist die einfachste Methode, Phishing als solches zu erkennen.

Sourcen

In meinem Mailprogramm werden standardmäßig keine Grafiken angezeigt, bis ich sie explizit lade. Dies habe ich wohlweislich unterlassen. Der Quelltext klärt mich darüber auf, wo die Grafiken herkommen: Nicht von Mastercard, nicht von EURO Kartensysteme. Sondern von einem Bilderhoster in der Schweiz, der ähnlich arbeitet wie die ganzen Filesharingportale, z. B. Rapidshare, nur eben mit Grafiken. Diese Grafiken werden bei 7pics.info 12 Monate lang kostenlos und werbefrei gespeichert, jeder kann das – für Phisher ideal, um wieder einen Teil der eigenen Identität zu verschleiern. Dass der Betreiber Ueli Banholzer aktiv irgend etwas mit diesem Phishingversuch zu tun hat, ist unwahrscheinlich und zumindest nicht nachweisbar.

Header

Aufschluss gibt nur der Mailheader. Und der offenbart Interessantes: Den Absender.

Received: from ****.****.fastwebserver.de (HELO [217.79.179.x]) (217.79.179.x)
(smtp-auth username *******@muenzhandel.at, mechanism login)
by *********-***.de-nserver.de (qpsmtpd/0.82) with ESMTPA; Sat, 02 Jun 2012 15:18:54 +0200

Dröseln wir das mal auf. Da wäre zunächst das initiale „Received“. Dort angegeben ist ein Server, der laut DeNIC zur „fast it GmbH“ aus Düsseldorf gehört. Sucht man „fast it“, findet man die myLoc managed IT AG unter der gleichen Adresse. Dabei dürfte es sich um den Mailserver handeln, von dem die Phishing-Mail aus abgeschickt wurde. Wer sie wirklich geschickt hat, ist unklar. Dahinter steht lediglich, welcher Server sie mit welcher Kontoanmeldung entgegengenommen hat: Eine Adresse der Domain muenzhandel.at, eines anscheinend seriösen Wiener Münzhändlers, der offenbar ein Sicherheitsproblem mit seinem Email-Server und vielleicht auch seiner Domain hat. Oder er selbst ist der schlecht maskierte Übeltäter – was jedoch unwahrscheinlich ist. In Zeile 3 steht noch, wo derjenige, der sich mit der muenzhandel.at-Adresse angemeldet hat, seinen Mailserver hat: Die Domain de-nserver.de gehört der „allied internet AG“ aus Hannover, die profihost.com betreibt, einen Webhosting- und Email-Provider. Und dies ist laut WHOIS-Abfrage bei nic.at der Provider für muenzhandel.at – damit ist nachgewiesen, dass jemand tatsächlich von der Domain des Münzhändlers diese Mail verschickt hat.

Was den fastwebserver.de angeht, lässt sich vermuten, dass der Spammer den Server verwendet hat, um automatisiert Mails rauszuschicken. Entweder wurde der Server geknackt, oder er war dreist genug, den auf seinen Namen anzumelden. Dann allerdings hat er es ausreichend verschleiert, um ohne Hilfe der myLoc den Spammer zu identifizieren.

Adressat

Um es weiter einzukreisen, werfe ich einen Blick auf die Adresse, an die die Mail gerichtet ist. Und da werde ich stutzig: Es handelt sich um eine meiner vielen Adressen, die genau einem Zweck dient: Ebay. Nur dort habe ich diese eine, bestimmte Adresse verwendet. Wie also kam der Spammer an diese Adresse? Dazu gibt es drei Theorien:

1. Der Spammer ist ein Ebayer, bei dem ich früher mal was gekauft habe. Da ich bisher noch nie Gebrauchtes ersteigert habe, handelt es sich ausschließlich um professionelle Verkäufer. Möglich, aber nicht wahrscheinlich.

2. Der Spammer ist jemand, der die Adresse aus dem Datenbestand eines Ebay-Verkäufers hat, dessen Mailzugang geknackt wurde. Das halte ich für sehr wahrscheinlich.

3. Der Spammer kennt irgendwoher die Domain, hat automatisiert bestimmte Begriffe aus einem Wörterbuch wie eben diesen einen ausgetestet und damit Erfolg gehabt. Nicht sehr wahrscheinlich.

Das ist der Moment, in dem ich denke: Leute, passt auf Eure Daten besser auf!

Link

Was also bleibt noch? Richtig: Der Link zur Phishing-Seite. Der verweist auf mastersbusiness.eu. Folgt man dem Link, wird man umgeleitet auf eine Seite, die der von Mastercard nachempfunden ist. Genauer: Die Links gehen direkt zu Mastercard.com. Die Seite ist also mit sämtlichen Sourcen kopiert worden, wahrscheinlich mit wget. Damit die Besucher da nicht wild drauf rumklicken und zu Mastercard kommen, ist eine „Warnung“ vorgeschaltet, die den gleichen Text hat wie die Mail – nur der Name ist ein anderer: „Harald Fischer“, angeblich vom „Mastercard Sicherheitsteam Deutschland“. Diese Box enthält einen Link zu einem kostenlosen russischen Webhosting-Provider, Stanislav S. aus St. Petersburg. Sein Angebot ist für Phishing praktisch perfekt. Die Seite allerdings, die wieder wie eine Mastercard-Seite aussieht und den darauf befindlichen Links nach wieder von der offiziellen Seite geklaut wurde, aber ein Formular zur Eingabe von Kreditkartendaten enthält, wird in einem Frame angezeigt, so dass als Adresse weiterhin offiziell kundenverifizierung-kartensysteme.de erscheint.

Und das könnte der einzige Fehler sein, die Verbindung zum eigentlichen Spammer. Denn laut DeNIC ist die Betreiberin eine Bochumerin namens Amandine B. – der Name lässt auf eine Verbindung ins französischsprachige Afrika schließen. Die angegebene Adresse ist existent, ein mehrstöckiger Wohnblock. Webhoster der Domain ist 1&1. Und da war doch noch die mastersbusiness.eu-Adresse. Registriert wurde sie bei – 1&1, unter einer yahoo-Adresse mit dem Namen Andre W. darin. Inwieweit es da einen größeren Zusammenhang zwischen Amandine B. und Andre W., lässt sich von meiner Seite nicht weiter ermitteln. Aber vielleicht kann da der Provider etwas machen?

Herzlichst,
Euer Fuxi

Advertisements

Eine Antwort to “Spam-Forensics”

  1. Kommentator Says:

    Gut geschrieben, danke.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s


%d Bloggern gefällt das: