In den letzen Jahren wird eine Technik immer populärer, die als „Phishing“ bezeichnet wird. Es geht um den Diebstahl von persönlichen Informationen mit denen sich Geld verdienen lässt, bevorzugt natĂĽrlich Kreditkartendaten oder Kontonummern mit dazugehörigen TAN-Nummern. Es ist ganz einfach: Man richtet eine Seite ein, auf der die Kunden ihre Daten eingeben sollen, und schickt dann ein paar Millionen Spam Mails raus um das Eingabeformular zu bewerben:
Mit den so gesammelten Daten geht der Phisher dann erst mal schön einkaufen.
Natürlich ist diese Variante schon etwas ausgelutscht – wer auf einen so billigen Trick reinfällt, ist wahrscheinlich schon seit langer Zeit seinen gesamten Besitz los. Die Phisher müssen also cleverer sein:
Das ist schon mal viel besser. Die Phisher geben sich als jemand aus, dem man prinzipiell vertraut und bieten einen logisch klingenden Anreiz, warum man ihnen seine Daten geben sollte. Genau so funktioniert Phishing. Natürlich bauen die Phisher normalerweise noch Logos der Firmen ein, als die sie sich ausgeben, und bauen das Design der Seite nach. Bei gut gemachten Phishingseiten ist es auf den allerersten Blick tatsächlich kaum möglich festzustellen, ob es sich um eine echte Seite handelt oder um eine Fälschung. Gäbe es nicht ein ziemlich sicheren Hinweis: die Adresse der Seite. Wenn nämlich die Postbank zum Beispiel ihre Kunden tatsächlich auffordern würde mal eben zehn TAN-Nummern einzugeben, würde sie dies mit ziemlicher Sicherheit nicht unter der Domain www48.buy-vitalis.de.ru, sondern wahrscheinlich unter postbank.de tun. Gut für den Phisher ist also, wenn er es schafft seine gefälschten Inhalte irgendwie unter einer vertrauenswürdigen Domain unterzubringen. Das ist bei weitem nicht so einfach wie nur eine Seite irgendwo ins Netz zu packen – dafür erhält der Phisher aber auch eine Seite, die nur mit sehr viel Fachwissen und etwas Glück als Phishing Seite zu entlarven ist. Oder gibt es irgendeinen Grund einem solchen Angebot nicht zu trauen?
An dieser Seite stimmt einfach alles: Sie liegt ganz offensichtlich auf dem Server von spiegel.de, das Layout stimmt. Und das kleine Schloss in der Adressleiste sagt mir: diese Seite ist verschlüsselt, mach dir keine Sorgen um Datenklau. Allein, es handelt sich um eine ziemlich plumpe Beispielseite, die ich in 15 Minuten gebastelt hatte. Eine voll funktionsfähige Beispielseite allerdings. Hätte ich über ein paar hunderttausend E-Mail-Adressen und eine gehörige Portion krimineller Energie verfügt, hätte ich mir ohne Probleme noch am gleichen Abend einige hundert oder tausend frische und gültige Kreditkartennummern besorgen können.
Eine solche Fälschung ist nicht leicht zu erstellen und sie setzt einen Fehler in der Programmierung der Website voraus. Einen Fehler, wie ich ihn am 27.10. durch Zufall in den Seiten von Spiegel Online fand. Anfangs als harmloser Fehler von uns unterschätzt, haben wir die Beispiel-Links aus dem Artikel sofort entfernt, nachdem wir die gesamte Tragweite des Problems erkannt hatten. Wichtiger jedoch, als den Fehler geheim zu halten, ist, diesen dann auch wirklich zu beseitigen.
Das ist nun nach immerhin zwei Wochen geschehen.
01
ach du dickes huhn ….
Alle Kommentare von Franz
02
Ich habe das jetzt vor zwei Wochen ausgefüllt und habe den ersten Spiegel immer noch nicht erhalten, noch nicht einmal eine Abo-Bestätigung.
Ich setze ihnen hiermit eine Nachfrist von 5 Werktagen dies zu tun - mir eine Bestätigung, den Spiegel und den iPod zu übersenden.
Alle Kommentare von André Fiebig
03
Hallo Max,
sehr eingängig beschrieben. Klasse.
Darf ich, unter Nennung der Quelle selbstverständlich, Dein Beispiel in meinen Vortrag ‘Medienkompetenz fĂĽr die Eltern von GrundschĂĽlern’ einbauen?
Alle Kommentare von Richard
04
Warum nicht? Gibts einen Link zu dem Vortrag?
Alle Kommentare von Max
05
Phishers Fritze phisht frische Phische.
Phishe Frische fischt Fischers Phrits.
Phantastish!
:-)
Alle Kommentare von KopfschĂĽttler
06
2 Wochen so eine LĂĽcke - und die wussten das???
Alle Kommentare von Don Alphonso
07
Ja, wussten sie.
Alle Kommentare von Max
08
wie erklärst du dir, dass sie dafür zwei wochen gebraucht haben? ist das sehr kompliziert? anworte mir bitte, als wäre ich drei jahre alt :)
Alle Kommentare von Malte
09
Die einfachste Möglichkeit wäre sicherlich gewesen, den Text einfach nicht mehr anzuzeigen. Diese Lösung hätte mit Systemen wie ich sie verwende vielleicht 5 Minuten gedauert. Nun handelt es sich aber bei dem System das Spiegel Online einsetzt natürlich um ein sehr teures System. Wahrscheinlich dauert es da schon einen halben Tag auszubaldowern wer überhaupt die Rechte hat eine solche Änderung zu machen. Ins Blaue rein, sehr, sehr großzügig gerechnet: einen Tag.
Alle Kommentare von Max
10
ausbaldowern, herrlich! spiegel-lingo at its best!
Alle Kommentare von r0ssi
11
War, als ihr den Link rausgenommen habt, nur euch oder auch Spiegel-Online schon die Tragweite des Problems bewusst?
Alle Kommentare von verwirrter
12
Die von Spiegel haben angerufen und uns gebeten den Link zu entfernen, weil die mit genaueren Kenntnissen des Systems noch wesentlich mehr anstellen konnten als ich mit diesem kleinen Phishingtrick.
Alle Kommentare von Max
13
Wir haben mit dem Posting damals auch SpOn angemailt und auf das Problem aufmerksam gemacht. Bis jemand zurück rief, hatte Max bemerkt, dass das Ganze nicht so harmlos war, wie es zunächst schien und wir haben die Links entfernt, worum der Anrufer von SpOn auch bat.
Nach einer Woche haben wir nochmal nachgehakt, da kam aber keine Reaktion mehr. Aber Max hat Recht: Womöglich musste an das Problem die Firma ran, die fĂĽr das CMS von SpOn verantwortlich ist (das könnte Vignette sein, weiĂź ich aber nicht genau) und das dauert dann halt ein wenig… denn evtl. waran ja (wenn der Fehler im gesamten System lag) auch noch andere Sites betroffen.
Wie auch immer: Sowas kommt halt vor und jemand, der sich auskennt, entdeckt das eher zufällig. Der Artikel von Max lag hier eine Woche lang rum. In einschlägigen Foren wäre er sicher schneller online gewesen…
Alle Kommentare von Johnny
14
Mir wird ganz anders, wenn ich das lese. Habe nicht mitbekommen, dass Phishing inzwischen so raffiniert ablaufen kann.
Alle Kommentare von alfredo
15
Sehr schöne Aufbereitung des Unheils das die Phisher-Chöre über die Menschheit bringen.
LG aus dem Netz… Tobiwabohu
Alle Kommentare von Tobiwabohu
16
aber selber ;)
ist wohl ein K2-Bug, sollte aber einfach zu fixen sein.
Alle Kommentare von fabian
17
Aber selber - Fabian, das ist genau das was mir hier bei der Spreeblick Verlag KG immer einfällt.
Du bist gut.
Gibt es die LĂĽcke generell in Wordpress, oder nur in K2?
Alle Kommentare von André Fiebig
18
Nachtrag: Nach etwas ausprobieren glaube ich eher generell.
Nachtrag2: Doch nicht.
Mit welcher Abfrage lässt sich das vermeiden, was ist bei spreeblick.com anders gemacht als bei spreeblick.com/trackback/ - in Hinblick auf die Suchfunktion?
(Wäre wahrscheinlich interessant für sehr viele die Lösung für die Lücke zu veröffentlichen.)
Alle Kommentare von André Fiebig
19
Die Lösung ist wirklich nicht schwer: http://www.finanso.de/blog/wordpress-suchfunktion-sicherheitsproblem-fixen/
Nur kann man den Code im Artikel trotz < und > nicht lesen - bitte um kurzen Hinweis dazu.
Alle Kommentare von André Fiebig
20
Hätte mich technisch gesehen auch reingelegt.
Obwohl ich sicher auf nicht dagegen gefeit bin, frage ich mich aber schon manchmal, wie man inhaltlich darauf reinfallen kann.
Denn wozu brauchen SPON und Visa meine gesamten Daten um festzustellen, dass ich VISA-Kunde bin?
WĂĽrden Name und Adresse nicht reichen?
Alle Kommentare von stmartin
21
Naja, war eigentlich eher lustig gemeint - bin halt nur zufällig auf das mit dem K2-Theme gestossen.
jo, entweder man entschärft die HTML-Tags oder man stellt die Suchanfrage einfach gar nicht oder in nem Textfeld dar wie es hier auf Spreeblick ist.
Alle Kommentare von fabian
22
@fabian: Na ja, bei SpOn war das ja auch nicht lustig gemeint, oder?
Zu den anderen Lösungen - “man stellt die Suchanfrage einfach gar nicht” - was meinst du damit?
Und wie funktioniert das mit einem Textfeld?
Danke.
Alle Kommentare von André Fiebig
23
man stellt die Suchanfrage einfach gar nicht dar (bei Spreeblick wird nur “Suchergebniss” angezeigt) oder nimmt ein Textfeld, in dem die Variable $s als value gesetzt wird (ist hier so, wenn nichts gefunden wird).
Alle Kommentare von fabian
24
Gute Autoren machen es vor und ich mache es nach: es wird mit Ph geschrieben, deshalb lautet die richtige URL des Trackback gerade eben:
http://www.finanso.de/blog/phishing-sicherheitsprobleme-bei-spiegel-online-und-spreeblick-rbbonline-und-ard/
Alle Kommentare von André Fiebig
25
@fabian: Danke für die Erläuterung. Habs verstanden.
Alle Kommentare von André Fiebig
26
Fabian, schön erwischt. Bei uns war es ein k2 Problem - das Theme ist also fehlerhaft. Taucht bestimmt noch bei mehr Themes auf.
In diesem Fall reichte es, die Zeile 28 in der Datei theloop.php, die so aussieht:
printf(__(’Search Results for \’%s\”,’k2_domain’), htmlspecialchars($s));
durch das hier zu ersetzen:
printf(__(’Search Results for \’%s\”,’k2_domain’), htmlspecialchars(substr($s, 0, 50)));
Ist auf jeden Fall mal einen Tipp an den Entwickler wert. Danke fĂĽr den Hinweis.
Alle Kommentare von Max
27
jau, hab eben schon nen bugreport gepostet.
Alle Kommentare von fabian
28
@Max: Die Lösung, die du vorschlägst kürzt doch wohl die ganze Geschichte auf max. 50 Zeichen ein. Verstehe ich das richtig?
Wenn ja, ist doch aber eine Entschärfung von z.B. kürzeren html-Eingaben nicht gegeben, oder?
Alle Kommentare von André Fiebig
29
die funktion htmlspecialchars entschärft die html tags.
Alle Kommentare von fabian
30
@fabian: Ist schon richtig, stand ja eigentlich vorher aber auch schon drin.
Kann doch so nicht die eigentliche Ursache / Lösung des Problems sein - so wie ich es verstehe.
Alle Kommentare von André Fiebig
31
@Max kann es sein das euer Kommentare editieren Script auch ne Fehlfunktion hat? Mir wurde heut morgen angezeigt das ich n fremden Kommentar editieren könnte: screenshot
Als ich den angeklickt hab kam dann: You aren’t allowed to edit this comment, either because you didn’t write it or you passed the 10 minute time limit., das war ca. 15 Minuten nach dem Posting
Alle Kommentare von scholt
32
@scholt: Das passiert sehr oft.
Alle Kommentare von André Fiebig
33
Nach 15 Minuten hat man das 10 Minuten Limit tatsächlich überschritten. :)
Zunächst war das auf 30 Minuten gesetzt, jetzt sind es nur 10.
Alle Kommentare von Johnny
34
Da es sehr viele verschiendene Wordpress-Templates betrifft, wäre es vielleicht gut, die Reichweite von Spreeblick zu nutzen und in einem gesondertem Beitrag darauf hinzuweisen.
Das wĂĽrde sicherlich vielen helfen.
Alle Kommentare von André Fiebig
35
Ja Johnny, ĂĽber Leser lachen und abschneiden passt natĂĽrlich nicht zu vorher richtig lesen:
scholt meint, dass ihm ein fremder Kommentar zum editieren angeboten wurde und dass dann nur nicht mehr ging, weil die 10 Minuten schon überschritten waren, sonst meint er, dass es wohl gegangen wäre - FREMDE KOMMENTARE ZU EDITIEREN.
Alle Kommentare von André Fiebig
36
@Andre genau, was wäre wenn ich innerhalb der 10 Minuten auf den Link geklickt hätte? will nicht sagen das es dann auch geht aber es könnte sein das man fremde Kommentare editieren kann
Alle Kommentare von scholt
37
Was sagt uns das?
Das Internet ist auch mit seinen ganzen Passwörtern und Kontrollfragen (Wie heisst die Schildkröte deines besten Freundes dessen Nichte?) alles andere als sicher. Selber muss ich auch zugeben, dass ich die Gefahren ständig unterschätze. Mir passiert doch so was nicht, oder?!
Alle Kommentare von Lukasch
38
Andre, ich habe einen Undo-Schritt zu früh gepostet. Tatsächlich staqnd das htmlspecialchars vorher nicht drin - das entschärft den html-Code. Die begrenzung auf 50 Zeichen dient dann nur noch der Optik.
Alle Kommentare von Max
39
Danke Max. Dann bin ich also doch nicht dumm.
Ist also letztendlich nichts anderes, als wie ich oben als Lösung verlinkt habe, nur dass du eine anderen Funktion zum “entschärfen” nimmst.
Soweit ich es Nachts gefunden hatte, ist aber glaube ich die andere die bessere.
Da gab es wohl auch “bei” Wordpress eine lange Diskussion darum, aber aus irgendeinem Grund soll es wohl so besser sein.
Alle Kommentare von André Fiebig
40
Ihr habt ja keine Ahnung ;)
Das Problem ist weit grösser. Wäre es nur der Spiegel.
Ein ganzer Haufen BANKEN kĂĽmmert sich kaum um das Thema.
Auf dem Phischmarkt könnt ihr mal schaun wie es mit eurer Bank aussieht.
http://baseportal.com/baseportal/phishmarkt/de
GrĂĽsse,
Alex
Alle Kommentare von avision
41
cool ich freu mich schon auf den iPod shuffle
Alle Kommentare von y
42
Und ich wunder mich schon warum ich mit meiner Kohle nicht mehr hinkomme ;)
Alle Kommentare von boomboom
43
mein horror ist immer, dass einer meine daten/passwörter knackt und in meinem namen bücher ausleiht oder irgendwelches zeug bestellt!
Alle Kommentare von kleines frĂĽhstĂĽck
44
Ăśberrascht? Willkommen in der Wirklichkeit.
Das manche Fehler im Internet Exploder auch nach Monaten nicht beseitigt werden haut hoffentlich niemandem vom Hocker.
Als erste Anlaufstelle ist auch http://www.heise.de/security ganz gut.
Alle Kommentare von Dagger