Hallo
Es folgt ein lebensnahes Beispiel eines Angriffs!
Ebay Phishing Krimi
Ich versuche gerade, über Ebay etwas zu verkaufen.
1. Will ich mich über den Mac G4 einloggen, dann drängt sich ein obscures "securepics.ebaystatic.com" Fenster dazwischen und will dass ich "ein Zertifikat vorübergehend akzeptiere" Die Option "Ja" ist gleich markiert. Klickt man sie weg so kommt sie 5 bis 15 mal wieder, immer mit der selben Markierung. (ein System wie ich das jeweils loswerde, hab ich noch nicht fixiert, durch irgendeine Kombination von "Nicht akzeptieren, Abbrechen und Esc hört es dann plötzlich auf)
2. Beim Einloggen über den PC erscheint für winzige Sekundenbruchteile in der Unterzeile dieselbe obscure Zeichenfolge. Da wurde ich hellhörig
3. Wann immer ich in Ebay arbeiten will (Verkaufstext ändern z.B.) genügt es nicht, mich einmal einzuloggen - nein, ich muss das immer wieder machen, während einer Sitzung 10... 15 mal. Ich dachte erst Ebay ist so blöd, inzwischen denke ich, es hängt mit dem Phisher zusammen.
Was denkt ihr??
Grüße von Gerhard
Das hier ist die Phishing Site. Ich denke nicht dass sie als solche gefährlich ist. Wer reinschauen will muss nur http: davor setzen. Sie enthält weiter unten den bekannten Drohtext "...man würde mein Konto sperren wenn ich nicht... usw"
//lists.sdsc.edu/pipermail/uc-academic-assoc/2005-April/000014.html
Es ist html, kann das jemand richtig darstellen?
PS: Als eine Art Absender steht irgendwo "Akamai Subordinate CA 2)
.. klingt ja nicht nach Ebay!
PSS: Ich habe die URL von der Site gefangen - und habe mehrere Screenshots von den verschiedenenen Phasen des Angriffs.
Wen's interessiert...
Nachricht bearbeitet (09.10.2005 23:04)
Hast Du sichergestellt, dass Deine Login-Daten nicht versehentlich an Dritte weitergeleitet wurden? Falls nicht, dann würde ich mich an eBay wenden (siehe
Hallo Florian - Danke
Meine Login- Daten wurden ganz sicher weitergeleitet, und bereits verwendet! Ich nehme an sie sind jetzt in meinem account bei Ebay angekommen und erzwingen, dass ich mich ständig neu einloggen muss.
Denn: Der Angriff ging entweder vom Mac oder vom PC aus. Trotzdem sind in beiden Rechnern die Namen der ominösen Sites "secureinclude.ebaystatic.com" oder "securepics.ebaystatic com" immer wieder mal sichtbar. Ich habe zwar sorgfältig vermieden irgendwann auf Ja zu klicken, aber trotzdem -
An Ebay (Dein Link) habe ich allerhand Material geschickt - aus dem Netz kopiert. Auf meine 5 Mails kamen aber nur automatische Antworten "Danke... keine Daten an dritte geben.. usw" Aber keine echte Reaktion. Allerdings ist jetzt Sonntag nacht.
Die Jagd, mit Google, nach diesen Adressen war spannend. z.B. auch deswegen, du findest endlos lange Texte (50 Seiten o.s.ä.) mit Anweisungen in html, die diverse Phishing Aufforderungen für verschiedene Anlässe enthalten. (Ebay, PayPal und andere) Offenbar zum Abruf für die Angreifer. Aaaaaber: Setz du ein Lesezeichen, dann funktioniert es nachher nicht. Es kommt stattdessen eine Fehlermeldung.
Trotzdem würde ich sie vermutlich nochmal finden. Kann da jemand damit etwas anfangen?
Florian schrieb:
> Hast Du sichergestellt, dass Deine Login-Daten nicht
> versehentlich an Dritte weitergeleitet wurden? Falls nicht,
> dann würde ich mich an eBay wenden (siehe
>
> auf jeden Fall das Passwort ändern, ggf. sogar den ganzen
> Account löschen.
>
Beispielfundstelle. Offenbar aus einem Materiallager für Phisher
Hier eine Kopie, dieses kurze Stück Ebay PayPal betreffend. Der ganze Text in der URL ist 50 Seiten lang...
We recently noticed one or more attempts to log in to your PayPal=
account from a
foreign IP address and we have reasons to belive that your account was hij=
acked
by a third party without your authorization. If you recently accessed your=
account while
traveling, the unusual log in
attempts
may have been initiated by you.
If you are the rightful holder of the account you must click the li=
nk below and
then complete all steps from
the following page as we try to verify your identity.
usw
Grüße von: Gerhard
Gerhard schrieb:
> Es folgt ein lebensnahes Beispiel eines Angriffs!
>
> Ebay Phishing Krimi
Ist Pishing ein Angriff?
Beim Pishing wird Dir eine Seite untergeschoben (meistens per Mail), die Dir vorgaukeln soll, Du wärst beim gewünschten Anbieter, bist es aber nicht.
> Ich versuche gerade, über Ebay etwas zu verkaufen.
> 1. Will ich mich über den Mac G4 einloggen, dann drängt sich
> ein obscures "securepics.ebaystatic.com" Fenster dazwischen und
> will dass ich "ein Zertifikat vorübergehend akzeptiere" Die
> Option "Ja" ist gleich markiert.
Schriebst Du nicht vorein paar Tagen, dass Du alle Cookies auf Deinen Rechnern gelöscht hast?
In dem Fall ist es normal, dass Du das Zertifikat akzeptieren musst.
Ich hab mal nachgeschaut, wem die betreffende Domain gehört:
ebaystatic.com:
eBay Inc.
2145 Hamilton Avenue
San Jose, CA 95125
US
ebay.com:
eBay, Inc.
2005 E. Hamilton Ave., Ste. 350
2125 Hamilton Ave
San Jose, CA 95125
US
Da dürfte es sich beides mal um die gleiche Firma handeln.
Also kommt diese Abfrage von eBay...
> Klickt man sie weg so kommt
> sie 5 bis 15 mal wieder, immer mit der selben Markierung. (ein
> System wie ich das jeweils loswerde, hab ich noch nicht
> fixiert, durch irgendeine Kombination von "Nicht akzeptieren,
> Abbrechen und Esc hört es dann plötzlich auf)
Da wirst Du irgendwie auf "Aktzeptieren" geklickt haben - sonst geht es nämlich nicht weiter...
> 2. Beim Einloggen über den PC erscheint für winzige
> Sekundenbruchteile in der Unterzeile dieselbe obscure
> Zeichenfolge. Da wurde ich hellhörig
Klar kommt da das gleiche - es ist ja auch der gleiche Server bei eBay auf den Du zugreifen willst...
Warum sollte die Anmeldeprozedur sich unterscheiden, wenn Du mit verschiedenen Rechnern zugreifst?
> 3. Wann immer ich in Ebay arbeiten will (Verkaufstext ändern
> z.B.) genügt es nicht, mich einmal einzuloggen - nein, ich
> muss das immer wieder machen, während einer Sitzung 10... 15
> mal.
Wenn Du keine Cookies akzepieren willst, ist das völlig normal.
Die Information darüber, dass Du angemeldet bleiben willst, wird im Cookie gespeichert.
> Das hier ist die Phishing Site.
Wo kommt Die denn her?
Wann taucht die auf?
Bist Du in der oben beschrieben Prozedur auf diese Seite gestoßen?
> //lists.sdsc.edu/pipermail/uc-academic-assoc/2005-April/000014.html
Das ist die Webseite der "uc-academic-assoc"-Mailingliste :
The Academic Associates program, formerly known as the Block Grant program, was started in 1995 to give University of California (UC) researchers access to computational resources at the San Diego Supercomputer Center (SDSC). Any UC researcher can request supercomputing time through the Academic Associates administrator at their campus.
Für mich sieht das aus, als hätte da ein Phisher eine Mail an diese Mailingliste geschickt.
Diese Mail sieht dann bei den Teilnehmern der Liste aus, wie eine Mail, die von eBay kommt (typisches Phishing-Vorgehen). Auch ich habe solche Mails schon bekommen - die landen aber alle im Spam-Filter.
Ciao
dirk
Hallo Dirk - Danke
________________________________________________________
... drängt sich
> ein obscures "securepics.ebaystatic.com" Fenster dazwischen und
> will dass ich "ein Zertifikat vorübergehend akzeptiere" Die
> Option "Ja" ist gleich markiert.
Schriebst Du nicht vorein paar Tagen, dass Du alle Cookies auf Deinen Rechnern gelöscht hast?
In dem Fall ist es normal, dass Du das Zertifikat akzeptieren musst.
Das war im G4, da habe ich keine Cookies gelöscht!
__________________________________________________________
"Ich hab mal nachgeschaut, wem die betreffende Domain gehört:
ebaystatic.com:"
Ok du sagst sie gehört Ebay - hast du versucht sie als URL direkt einzugeben? http:// ... usw? Ich habe da nichts bekommen.
Ich habe im PC alle Cookies gelöscht, das war aber vor einigen Tagen. Inzwischen sind die von denen ich rede alle wieder da.
"Ist Pishing ein Angriff?"
>> Natürlich! Wofür macht er das? aus Wohltätigkeit sicher nicht! Siehe 3.)
Was bei deiner Erklärung harmlos aussieht, halte ich doch für verdächtig:
1. Beim Googeln mit secureinclude.ebaystatic.com oder securepics.ebaystatic.com stoße ich nicht auf ebay sondern auf sehr merkwürdige Seiten. (Siehe Beitrag ... Beispiel). Sie enthalten in html-Darstellung die üblichen Phishing Abfragemail-Texte: "... sonst wird ihr Konto gesperrt usw.
2. Zudem finde ich merkwürdig, dass Cookies mit gleichem Namen sowohl von ebay.de wie auch von "search-desk.ebay.de kommen. Zudem finde ich Cookies von "mindshare.de" und "thescripts.com" deren Inhalt sich teilweise deckt: Sie enthalten eine gleiche Zahlenfolge etc.
3. Aus all dem schließe ich, dass der "Angriff" (ich hoffe es ist keiner) sich nicht auf "Passwort Abfragen von naiven Nutzern" beschränkt, sondern die Abfragen selbst durch führt indem er (Kontodaten bei der jeweiligen Neueingabe selber abfängt.
4. Die UC URL kam über das oben erwähnte googeln her. Aber schau mal rein!
Grüße von: Gerhard
Nachricht bearbeitet (10.10.2005 12:22)
Gerhard schrieb:
> 1. Beim Googeln mit secureinclude.ebaystatic.com oder
> securepics.ebaystatic.com stoße ich nicht auf ebay sondern auf
> sehr merkwürdige Seiten. (Siehe Beitrag ... Beispiel). Sie
> enthalten in html-Darstellung die üblichen Phishing
> Abfragemail-Texte: "... sonst wird ihr Konto gesperrt usw.
Wenn man nach diesen Domains mit Google sucht, dann findet man eben auch Referenzen auf die Phishing-Mails. In diesen Mails ist nur ein einziger Link auf die Phisher-Site enthalten, dazu jede Menge Verweise auf echte eBay-Seiten oder Bilder, das ist durchaus normal.
> 2. Zudem finde ich merkwürdig, dass Cookies mit gleichem
> Namen sowohl von ebay.de wie auch von "search-desk.ebay.de
> kommen. Zudem finde ich Cookies von "mindshare.de" und
> "thescripts.com" deren Inhalt sich teilweise deckt: Sie
> enthalten eine gleiche Zahlenfolge etc.
Grundsätzlich sollte man allen Servern in der Domain ebay.de und ebay.com vertrauen können (wenn sie nicht gerade ge-hijackt wurden...). Wenn man auch Cookies von eBay ablehnt, dann funktioniert eBay nicht mehr richtig (ähnlich wie unser Forum). Cookies sind nicht grundsätzlich schlecht und teilweise schlicht und einfach technisch notwendig (solange sie nur für den Server lesbar sind, der sie erstellt hat - das kann man ja wie gesagt im Browser einstellen).
Wenn man einige Grundregeln beachtet (z.B. NIEMALS auf eine E-Mail zu reagieren, die irgendwelche Zugangsdaten abfragt), dann kann nicht allzuviel passieren (die üblichen Schutzmassnahmen, also SPAM- und Virenfilter auf dem AUGE-Server und zusätzlich lokaler Virenscanner vorausgesetzt).
Gerhard schrieb:
> Ok du sagst sie gehört Ebay - hast du versucht sie als URL
> direkt einzugeben? http:// ... usw? Ich habe da nichts
> bekommen.
Es gibt eine Menge URLs, die Du per direkter Eingabe nicht erreichen kannst...
DAS ist kein Beweis für irgendeine böse Absicht...
> >Ist Pishing ein Angriff?"
> Natürlich! Wofür macht er das? aus Wohltätigkeit sicher nicht! Siehe 3.)
Ein "Angriff" ist in meinen Augen etwas "aktives".
Wenn ich aber "nur" darauf warte, dass ein User etwas dummes macht, so ist das zwar immer noch böswillig, und u.U. kriminell - aber halt etwas anderes, als wenn ich versucht mittels diverser Troyaner, Hintertüren in Deinem System aufzubrechen oder zu nutzen...
> Was bei deiner Erklärung harmlos aussieht, halte ich doch für
> verdächtig:
>
> 1. Beim Googeln mit secureinclude.ebaystatic.com oder
> securepics.ebaystatic.com stoße ich nicht auf ebay sondern auf
> sehr merkwürdige Seiten. (Siehe Beitrag ... Beispiel). Sie
> enthalten in html-Darstellung die üblichen Phishing
> Abfragemail-Texte: "... sonst wird ihr Konto gesperrt usw.
Stelle Dir vor, es gäbe eine AUGE-Mailingliste, an die die Mitglieder der AUGE Mails an alle anderen Mitglieder der Auge verschicken könnten.
Die Mails an diese Liste werden auf dem AUGE Server in einem Archiv gespeichert, dass per http erreichbar ist.
Nun schickt xy (kein AUGE-Mitglied) ein Mail an diese Liste.
Durch eine Unachtsamkeit der Listadministroren (oder gar mit Absicht) ist die Liste so eingerichtet, dass jeder Mails an die Liste schicken kann und diese dann auch weitergesendet werden.
Schwups ist die Mail auch im Archiv.
Und genau das ist auch hier passiert (wie auch Florian schon schrieb).
> 2. Zudem finde ich merkwürdig, dass Cookies mit gleichem
> Namen sowohl von ebay.de wie auch von "search-desk.ebay.de
> kommen.
Wahrscheinlich auch noch von vielen anderen Servern.
So finde ich in meiner Cookie Liste ettliche Cookies namens POPUPCHECK.
So z.b: von Spiegel.de, Zeit.de und Frankfurter-Rundschau.de
Wahrscheinlich nutzen die alle das gleiche CMS...
Auch "SITESERVER" ist ein beliebter Cookie-Name.
Diese Cookies werden vom Microsoft Webserver (IIS) erzeugt.
Und zwar sogar für Webpräsenzen, die das gar nicht eplizit verlangen.
So betreue ich eine einzige Präsenz, die aus historischen Gründen auf einem IIS liegt - und obwohl ich nirgens den Cookie erstellen lasse, macht der Server das.
>Zudem finde ich Cookies von "mindshare.de" und
> "thescripts.com" deren Inhalt sich teilweise deckt: Sie
> enthalten eine gleiche Zahlenfolge etc.
Wenn da z.B. Deine IP-Adresse oder das Datum Deines letzten Besuchs auf der Seite gespeichert wird, ist das nicht verwunderlich.
Es gibt auch Webseiten, die die Standardsprache oder ähnliches in Cookies beim Benutzer speichern...
> 3. Aus all dem schließe ich, dass der "Angriff" (ich hoffe es
> ist keiner) sich nicht auf "Passwort Abfragen von naiven
> Nutzern" beschränkt, sondern die Abfragen selbst durch führt
> indem er (Kontodaten bei der jeweiligen Neueingabe selber
> abfängt.
Doch, genau darauf beschränkt er sich.
Und in Deinem Fall findet er noch nicht mal statt.
> 4. Die UC URL kam über das oben erwähnte googeln her. Aber
> schau mal rein!
Genau das habe ich gemacht - und habe deswegen meine Schlussfolgerungen gezogen.
Ciao
dirk
Hallo Dirk - Danke
Ich hoffe du hast Recht mit der Feststellung es wäre kein Angriff.
Mal sehen wie es danach aussieht:
Ich habe inzwischen alle Cookies gelöscht. Im PC und im G4. Und alle Passworteinträge (außer f Auge) . Zusätzlich habe ich meine Passwörter geändert. Weiters erlaube ich nur Cookies von der Originalseite - und sie gelöscht werden nach Ende der Sitzung.
Genauigkeit ist ja schön: Auch eine Fangfrage ist etwas "Aktives" und ist somit ein Angriff.
Und Dummheit auszunutzen ist auch ein Angriff. Deinen Darwinismus kann ich da nicht unterstützen.
Ist Phishing ein Angriff?"
> Natürlich! Wofür macht er das? aus Wohltätigkeit sicher nicht! Siehe 3.)
Ein "Angriff" ist in meinen Augen etwas "aktives".
Wenn ich aber "nur" darauf warte, dass ein User etwas dummes macht, so ist das zwar immer noch böswillig, und u.U. kriminell - aber halt etwas anderes, als wenn ich versucht mittels diverser Troyaner, Hintertüren in Deinem System aufzubrechen oder zu nutzen...
Hallo - Danke nochmal
Nach der beschriebenen Löschaktion geht alles besser und schneller. Und die "Merkwürdigkeiten" sind verschwunden. Bis jetzt jedenfalls.
> Ich habe inzwischen alle Cookies gelöscht. Im PC und im G4 (NS 9.2)
> Und alle Passworteinträge (außer f Auge) Die im Safari haeb ich nicht gefunden) . Zusätzlich habe ich
> alle wichtigen Passwörter geändert. Weiters erlaube ich nur Cookies von
> der Originalseite - und bestimme dass sie gelöscht werden nach Ende der Sitzung.
... und weil ich schon dabei war habe ich auch alle Caches gelöscht.
Grüße von: Gerhard