2020-09-03 7 Minuten

Mein neues Hobby: Menschen beim Phishen zusehen 🎣

Du hast dich mit den falschen angelegt.

Es ist zu lange her. Zu lange, dass ich mit den Scammern, GlĂŒcksrittern und Spammern dieses Internets zu tun hatte. Sie haben mir gefehlt, ehrlich.

Doch dann kamst du. Philipp Koenig. Wie ein Ritter in weißer RĂŒstung auf einem Pegasus fliegst du in meine Inbox.

Und auf den ersten Blick ist mir klar, das wird ein Blogartikel. Die Signatur sagt Brass Precision Components, deine E-Mail-Domain sagt Davis Art, jeder Englischlehrer sagt „5, setzen!“. Doch mein Herz sagt JA!

Spaß beiseite. Ich lade mir die Attachments herunter (Ein Bild mit dem Excel Icon), jage alle Files und Links in der E-Mail durch Virustotal. Schadsoftware scheint das schon einmal nicht zu sein.

Hast du einen Excel-Account?

Gut, klicken wir mal auf das mini mini „Download“ unter dem riesigen Icon.

Ein relativ abstruser Link fĂŒhrt zu einem aus meiner Sicht relativ gut gemachten Phishing-Login:

Das „Test“ in „Test Secured Excel Portal“ Wird sogar je nach E-Mail, die man eingibt geĂ€ndert. Der verschwommene Hintergrund lĂ€sst uns schon erahnen, dass hinter dem Login ein Dokument liegt. Ein Auftrag? Eine Rechnung? Die beiden Dinge scheint Herr Koenig zu verwechseln, wenn man den E-Mail-Text liest.

Naja, auf jeden Fall:

Dieses Portal soll dazu dienen, echte Logins von den Opfern zu sammeln.

Wobei mich schon interessieren wĂŒrde, was die Phishing-Opfer da so eingeben. Einen dedizierten Excel-Account gibt es ja nicht. Wir werden es herausfinden.

Ich werde sofort an den Artikel von Christian Haschek erinnert, der es geschafft hat, ein Phishing Portal offline zu nehmen, indem er einfach zufÀllige Daten abgesendet hat.

Vielleicht können wir es hier sogar weiter treiben?

Philipp, lern coden

Ich sehe mir an, wo denn die Daten hingeliefert werden, wenn ich etwas eingebe und auf „Login“ klicke:

Okay, dahinter steckt also PHP. Ich lade die Datei mal einfach so, und werde nur mit einer Fehlermeldung begrĂŒĂŸt. Hmm. Dann versuche ich, auf den Order zuzugreifen.

HA!

Ich finde einen weiteren Ordner namens „logs“. Das sollte so nicht möglich sein, wĂ€re alles richtig konfiguriert. Und in diesem Ordner?

Alles klar. emails.txt. Ich sehe mir die Datei an und staune.

Jeder. Einzelne. Loginversuch. Ist. Hier. Protokolliert.

Es sind 15 oder so. 3 davon von mir. Das Ding ist brandneu. Unser Cyberkrimineller hat gerade erst angefangen.

Ich aktualisiere meinen Browser hin und wieder, und sehe, wie die Loginversuche mit echten Passwörtern eintrudeln. Ich ĂŒberlege, das irgendwo zu melden. Aber so etwas wird sehr wahrscheinlich nicht einmal verfolgt.

Zum GlĂŒck wird mir diese Entscheidung dann abgenommen.

Aber vorher sehe ich mir ein paar Statistiken an. Ich analysiere die Loginversuche. Wir haben inzwischen:

  • 65 EintrĂ€ge insgesamt
  • von 38 E-Mails

Sehe ich mir die Daten so an, versuchen tatsÀchlich manche Personen sich mit mehreren Passwörtern einzuloggen.

Weiters sind 53 einzigartige Passwörter in der Datei, wovon 14 das Wort „fuck“ in allen Variationen enthalten.

Das sind die Personen, die kapiert haben, dass es hier um Cybercrime geht.

Wir haben hier also eine – ich nenne es liebevoll die fuck-ratio – von sage und schreibe 26%.

Ich habe gerade so meinen Spaß, da erscheinen folgende Logins:

Und zwar viele davon. 231, um genau zu sein.

Hat hier jemand Haschek’s Post gelesen, und automatisiert hier zufĂ€llige Fake-Logins? Die IP-Adresse ist aus den Niederlanden.

Und dann?

Geht die Plattform offline.

Fehlermeldungen, nicht verfĂŒgbar.

Das war also der Spaß mit Philipp Koenig. Oder?

Versuch 2

Aber ein GlĂŒcksritter wĂ€re kein GlĂŒcksritter, wenn er beim ersten RĂŒckschlag aufgeben wĂŒrde, nein. Einen Tag spĂ€ter erhalte ich genau die selbe E-Mail. Selber Login, selber Fail mit den protokollierten Logins. Egal, ich habe anderes zu tun. Wird sich der NiederlĂ€nder schon wieder darum kĂŒmmern, oder?

Leider nein.

Noch einen Tag spÀter erfreut sich die Phishing-Plattform weiterhin bester Gesundheit.

Wo ist unser NiederlÀnder? Der RÀcher der gephishten?

Aber wenn das Ding schon wieder einen Tag lÀuft, interessiert es mich doch: Wie viele Opfer konnte unser Cyberkrimineller schon finden?

Wow.

1324 EintrÀge, 599 einzigartige E-Mail Adressen.

992 einzigartige Passwörter, davon enthalten 32 das Wort „fuck“, was eine fuck-ratio von ziemlich miesen 3 % ergibt.

Er ist erfolgreicher geworden, keine Frage.

With great power comes great responsibility

hat einmal ein weiser Mann gesagt (Uncle Ben aus Spider Man). Und irgendwie kann ich nicht mit ansehen, wie hier im Sekundentakt Personen (wahrscheinlich) gehackt werden. Auch wenn da Unternehmensberatungen dabei sind, die selbst IT-Infrastruktur und IT-Consulting anbieten und ein Passwort wie rosalinde1979 haben.

Ich muss irgendetwas tun.

Da fÀllt mir wieder ein, wie Christian Haschek eine dieser Plattformen zum Absturz brachte.

Ich habe einen Plan.

1. Kann ich das Absenden automatisieren?

Ja, kann ich. NĂ€chster Schritt.

2. Wie kann ich dem Kriminellen schaden?

Haschek hat es geschafft, die gesamte Plattform offline zu nehmen. Ich weiß nicht, ob das hier auch möglich ist. Aber auf jeden Fall kann ich mal eine große Menge sinnloser Logins abgeben.

Und, wenn sonst nichts funktioniert, hat unser GlĂŒcksritter zumindest eine sehr sehr große Textdatei, die unnötig lange dauert, um sie zu öffnen.

FĂŒr diese Fake-Logins wĂŒhle ich ganz tief in der Geschichte des Internets, und werde beim Film Taken fĂŒndig. Falls du ihn nicht gesehen hast, der Hauptcharakter hĂ€lt einen berĂŒhmten Monolog, den ich ein wenig anpasse:

I don’t know who you are. I don’t know what you want. If you are looking for ransom I can tell you I don’t have money, but what I do have are a very particular set of skills. Skills I have acquired over a very long career. Skills that make me a nightmare for people like you. If you let my credentials go now that’ll be the end of it. I will not look for you, I will not pursue you, but if you don’t, I will look for you, I will find you and I will kill you.

Ich probiere es aus, und siehe da:

Aber das ist mir zu wenig. Ich will diese Datei zur GĂ€nze befĂŒllen. Ich passe meinen Code an, dass er mit jedem Fake-Login dieses Zitat in hundertfacher AusfĂŒhrung absendet:

Das sieht dann so aus:

Es ist wunderschön 🙃

404

Kurz halte ich inne und feiere die Idee, dass irgendwo ein Cyberkrimineller ewig wartet, bis seine Opfer-Datei sich öffnet. Vielleicht freut er sich sogar, dass so viele auf seinen Trick reingefallen sind.

Nur um dann – in hundertausendfacher AusfĂŒhrung – von einem Zitat aus einem Film begrĂŒĂŸt zu werden, in dem es darum geht, dass er ausfindig gemacht wird.

Ich sehe zu, wie die Opfer-Datei anwÀchst. 10, 15, 30, 35 Megabytes.

Und dann: bzzt.

Fehler. 404 Not Found.

Die Phishing Plattform ist offline. Sieg! FĂŒr wie lange? Das bleibt abzuwarten

Zum Schluss noch ein kurzes Statement an Philipp Koenig:

Betreff: Come at me bro!

Lieber Philipp, du wirst mich nicht los. Morgen schreibe ich mir ein Skript, das mir eine Nachricht sendet, sobald deine Plattform wieder aktiv ist. In der Sekunde werden schlechte Meme-Quotes auf dich niederregnen. Und wenn ich nicht online bin, wird irgendwo auf dieser Welt jemand diese Arbeit weiterfĂŒhren.

lg, Martin

Ich hoffe nur, dass die Opfer keinen allzu großer Schaden durch unseren TĂ€ter hier erfahren haben.

Von Hackern, Wordpress, SEO & Co

  • Wo kommt mein Spam her?
  • Wie leicht ist es, eine Wordpress Seite zu hacken?
  • Wie Umzugsfirmen ihre Gaunereien mit SEO umsetzen

...wöchentlich in deiner Inbox! 🚀

3 Kommentare

  1. Lieber Martin!

    🙂

    Recht so!

    Mir ist auch aufgefallen, daß seine Mailadresse hinkt:
    philippoenig@…
    er heißt Koenig, da fehlt ein k; bei einem CFO & Executive VP…

    Und Dir fehlt ein n:
    „Okay, dahinter steckt also PHP. Ich lade die Datei mal einfach so, und werde nur mit einer Fehlermeldung begrĂŒĂŸt. Hmm. Dann versuche ich, auf den Order zuzugreifen.“

    Ordner

    Liebe GrĂŒĂŸe und gib uns mehr davon 😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.