46

Fischers Spiegel

phishing

In den letzen Jahren wird eine Technik immer populärer, die als „Phishing“ bezeichnet wird. Es geht um den Diebstahl von persönlichen Informationen mit denen sich Geld verdienen lässt, bevorzugt natürlich Kreditkartendaten oder Kontonummern mit dazugehörigen TAN-Nummern. Es ist ganz einfach: Man richtet eine Seite ein, auf der die Kunden ihre Daten eingeben sollen, und schickt dann ein paar Millionen Spam Mails raus um das Eingabeformular zu bewerben:

Mit den so gesammelten Daten geht der Phisher dann erst mal schön einkaufen.

Natürlich ist diese Variante schon etwas ausgelutscht — wer auf einen so billigen Trick reinfällt, ist wahrscheinlich schon seit langer Zeit seinen gesamten Besitz los. Die Phisher müssen also cleverer sein:

Das ist schon mal viel besser. Die Phisher geben sich als jemand aus, dem man prinzipiell vertraut und bieten einen logisch klingenden Anreiz, warum man ihnen seine Daten geben sollte. Genau so funktioniert Phishing. Natürlich bauen die Phisher normalerweise noch Logos der Firmen ein, als die sie sich ausgeben, und bauen das Design der Seite nach. Bei gut gemachten Phishingseiten ist es auf den allerersten Blick tatsächlich kaum möglich festzustellen, ob es sich um eine echte Seite handelt oder um eine Fälschung. Gäbe es nicht ein ziemlich sicheren Hinweis: die Adresse der Seite. Wenn nämlich die Postbank zum Beispiel ihre Kunden tatsächlich auffordern würde mal eben zehn TAN-Nummern einzugeben, würde sie dies mit ziemlicher Sicherheit nicht unter der Domain www48.buy-vitalis.de.ru, sondern wahrscheinlich unter postbank.de tun. Gut für den Phisher ist also, wenn er es schafft seine gefälschten Inhalte irgendwie unter einer vertrauenswürdigen Domain unterzubringen. Das ist bei weitem nicht so einfach wie nur eine Seite irgendwo ins Netz zu packen — dafür erhält der Phisher aber auch eine Seite, die nur mit sehr viel Fachwissen und etwas Glück als Phishing Seite zu entlarven ist. Oder gibt es irgendeinen Grund einem solchen Angebot nicht zu trauen?

An dieser Seite stimmt einfach alles: Sie liegt ganz offensichtlich auf dem Server von spiegel.de, das Layout stimmt. Und das kleine Schloss in der Adressleiste sagt mir: diese Seite ist verschlüsselt, mach dir keine Sorgen um Datenklau. Allein, es handelt sich um eine ziemlich plumpe Beispielseite, die ich in 15 Minuten gebastelt hatte. Eine voll funktionsfähige Beispielseite allerdings. Hätte ich über ein paar hunderttausend E-Mail-Adressen und eine gehörige Portion krimineller Energie verfügt, hätte ich mir ohne Probleme noch am gleichen Abend einige hundert oder tausend frische und gültige Kreditkartennummern besorgen können.

Eine solche Fälschung ist nicht leicht zu erstellen und sie setzt einen Fehler in der Programmierung der Website voraus. Einen Fehler, wie ich ihn am 27.10. durch Zufall in den Seiten von Spiegel Online fand. Anfangs als harmloser Fehler von uns unterschätzt, haben wir die Beispiel-Links aus dem Artikel sofort entfernt, nachdem wir die gesamte Tragweite des Problems erkannt hatten. Wichtiger jedoch, als den Fehler geheim zu halten, ist, diesen dann auch wirklich zu beseitigen.

Das ist nun nach immerhin zwei Wochen geschehen.

46 Kommentare

  1. 01
    Franz

    ach du dickes huhn ….

  2. 02

    Ich habe das jetzt vor zwei Wochen ausgefüllt und habe den ersten Spiegel immer noch nicht erhalten, noch nicht einmal eine Abo-Bestätigung.

    Ich setze ihnen hiermit eine Nachfrist von 5 Werktagen dies zu tun – mir eine Bestätigung, den Spiegel und den iPod zu übersenden.

  3. 03
    Richard

    Hallo Max,

    sehr eingängig beschrieben. Klasse.

    Darf ich, unter Nennung der Quelle selbstverständlich, Dein Beispiel in meinen Vortrag ‚Medienkompetenz für die Eltern von Grundschülern‘ einbauen?

  4. 04

    Warum nicht? Gibts einen Link zu dem Vortrag?

  5. 05

    Phishers Fritze phisht frische Phische.
    Phishe Frische fischt Fischers Phrits.

    Phantastish!

    :-)

  6. 06

    2 Wochen so eine Lücke – und die wussten das???

  7. 07

    Ja, wussten sie.

  8. 08
    Malte

    wie erklärst du dir, dass sie dafür zwei wochen gebraucht haben? ist das sehr kompliziert? anworte mir bitte, als wäre ich drei jahre alt :)

  9. 09

    Die einfachste Möglichkeit wäre sicherlich gewesen, den Text einfach nicht mehr anzuzeigen. Diese Lösung hätte mit Systemen wie ich sie verwende vielleicht 5 Minuten gedauert. Nun handelt es sich aber bei dem System das Spiegel Online einsetzt natürlich um ein sehr teures System. Wahrscheinlich dauert es da schon einen halben Tag auszubaldowern wer überhaupt die Rechte hat eine solche Änderung zu machen. Ins Blaue rein, sehr, sehr großzügig gerechnet: einen Tag.

  10. 10

    ausbaldowern, herrlich! spiegel-lingo at its best!

  11. 11
    verwirrter

    War, als ihr den Link rausgenommen habt, nur euch oder auch Spiegel-Online schon die Tragweite des Problems bewusst?

  12. 12

    Die von Spiegel haben angerufen und uns gebeten den Link zu entfernen, weil die mit genaueren Kenntnissen des Systems noch wesentlich mehr anstellen konnten als ich mit diesem kleinen Phishingtrick.

  13. 13

    Wir haben mit dem Posting damals auch SpOn angemailt und auf das Problem aufmerksam gemacht. Bis jemand zurück rief, hatte Max bemerkt, dass das Ganze nicht so harmlos war, wie es zunächst schien und wir haben die Links entfernt, worum der Anrufer von SpOn auch bat.

    Nach einer Woche haben wir nochmal nachgehakt, da kam aber keine Reaktion mehr. Aber Max hat Recht: Womöglich musste an das Problem die Firma ran, die für das CMS von SpOn verantwortlich ist (das könnte Vignette sein, weiß ich aber nicht genau) und das dauert dann halt ein wenig… denn evtl. waran ja (wenn der Fehler im gesamten System lag) auch noch andere Sites betroffen.

    Wie auch immer: Sowas kommt halt vor und jemand, der sich auskennt, entdeckt das eher zufällig. Der Artikel von Max lag hier eine Woche lang rum. In einschlägigen Foren wäre er sicher schneller online gewesen…

  14. 14
    alfredo

    Mir wird ganz anders, wenn ich das lese. Habe nicht mitbekommen, dass Phishing inzwischen so raffiniert ablaufen kann.

  15. 15

    Sehr schöne Aufbereitung des Unheils das die Phisher-Chöre über die Menschheit bringen.

    LG aus dem Netz… Tobiwabohu

  16. 16

    aber selber ;)
    ist wohl ein K2-Bug, sollte aber einfach zu fixen sein.

  17. 17

    Aber selber – Fabian, das ist genau das was mir hier bei der Spreeblick Verlag KG immer einfällt.

    Du bist gut.

    Gibt es die Lücke generell in WordPress, oder nur in K2?

  18. 18

    Nachtrag: Nach etwas ausprobieren glaube ich eher generell.

    Nachtrag2: Doch nicht.

    Mit welcher Abfrage lässt sich das vermeiden, was ist bei spreeblick.com anders gemacht als bei spreeblick.com/trackback/ – in Hinblick auf die Suchfunktion?

    (Wäre wahrscheinlich interessant für sehr viele die Lösung für die Lücke zu veröffentlichen.)

  19. 19

    Die Lösung ist wirklich nicht schwer: http://www.finanso.de/blog/wordpress-suchfunktion-sicherheitsproblem-fixen/

    Nur kann man den Code im Artikel trotz < und > nicht lesen – bitte um kurzen Hinweis dazu.

  20. 20
    stmartin

    Hätte mich technisch gesehen auch reingelegt.
    Obwohl ich sicher auf nicht dagegen gefeit bin, frage ich mich aber schon manchmal, wie man inhaltlich darauf reinfallen kann.
    Denn wozu brauchen SPON und Visa meine gesamten Daten um festzustellen, dass ich VISA-Kunde bin?
    Würden Name und Adresse nicht reichen?

  21. 21

    Aber selber – Fabian, das ist genau das was mir hier bei der Spreeblick Verlag KG immer einfällt.

    Naja, war eigentlich eher lustig gemeint – bin halt nur zufällig auf das mit dem K2-Theme gestossen.

    Die Lösung ist wirklich nicht schwer: http://www.finanso.de/blog/wordpress-suchfunktion-sicherheitsproblem-fixen/

    jo, entweder man entschärft die HTML-Tags oder man stellt die Suchanfrage einfach gar nicht oder in nem Textfeld dar wie es hier auf Spreeblick ist.

  22. 22

    @fabian: Na ja, bei SpOn war das ja auch nicht lustig gemeint, oder?

    Zu den anderen Lösungen – „man stellt die Suchanfrage einfach gar nicht“ – was meinst du damit?

    Und wie funktioniert das mit einem Textfeld?

    Danke.

  23. 23

    man stellt die Suchanfrage einfach gar nicht dar (bei Spreeblick wird nur „Suchergebniss“ angezeigt) oder nimmt ein Textfeld, in dem die Variable $s als value gesetzt wird (ist hier so, wenn nichts gefunden wird).

  24. 24

    Gute Autoren machen es vor und ich mache es nach: es wird mit Ph geschrieben, deshalb lautet die richtige URL des Trackback gerade eben:
    http://www.finanso.de/blog/phishing-sicherheitsprobleme-bei-spiegel-online-und-spreeblick-rbbonline-und-ard/

  25. 25

    @fabian: Danke für die Erläuterung. Habs verstanden.

  26. 26

    Fabian, schön erwischt. Bei uns war es ein k2 Problem – das Theme ist also fehlerhaft. Taucht bestimmt noch bei mehr Themes auf.

    In diesem Fall reichte es, die Zeile 28 in der Datei theloop.php, die so aussieht:

    printf(__(‚Search Results for \’%s\“,’k2_domain‘), htmlspecialchars($s));

    durch das hier zu ersetzen:

    printf(__(‚Search Results for \’%s\“,’k2_domain‘), htmlspecialchars(substr($s, 0, 50)));

    Ist auf jeden Fall mal einen Tipp an den Entwickler wert. Danke für den Hinweis.

  27. 27

    Ist auf jeden Fall mal einen Tipp an den Entwickler wert. Danke für den Hinweis.

    jau, hab eben schon nen bugreport gepostet.

  28. 28

    @Max: Die Lösung, die du vorschlägst kürzt doch wohl die ganze Geschichte auf max. 50 Zeichen ein. Verstehe ich das richtig?

    Wenn ja, ist doch aber eine Entschärfung von z.B. kürzeren html-Eingaben nicht gegeben, oder?

  29. 29

    die funktion htmlspecialchars entschärft die html tags.

  30. 30

    @fabian: Ist schon richtig, stand ja eigentlich vorher aber auch schon drin.

    Kann doch so nicht die eigentliche Ursache / Lösung des Problems sein – so wie ich es verstehe.

  31. 31

    @Max kann es sein das euer Kommentare editieren Script auch ne Fehlfunktion hat? Mir wurde heut morgen angezeigt das ich n fremden Kommentar editieren könnte: screenshot

    Als ich den angeklickt hab kam dann: You aren’t allowed to edit this comment, either because you didn’t write it or you passed the 10 minute time limit., das war ca. 15 Minuten nach dem Posting

  32. 32
  33. 33

    Nach 15 Minuten hat man das 10 Minuten Limit tatsächlich überschritten. :)

    Zunächst war das auf 30 Minuten gesetzt, jetzt sind es nur 10.

  34. 34

    Da es sehr viele verschiendene WordPress-Templates betrifft, wäre es vielleicht gut, die Reichweite von Spreeblick zu nutzen und in einem gesondertem Beitrag darauf hinzuweisen.

    Das würde sicherlich vielen helfen.

  35. 35

    Ja Johnny, über Leser lachen und abschneiden passt natürlich nicht zu vorher richtig lesen:

    scholt meint, dass ihm ein fremder Kommentar zum editieren angeboten wurde und dass dann nur nicht mehr ging, weil die 10 Minuten schon überschritten waren, sonst meint er, dass es wohl gegangen wäre – FREMDE KOMMENTARE ZU EDITIEREN.

  36. 36

    @Andre genau, was wäre wenn ich innerhalb der 10 Minuten auf den Link geklickt hätte? will nicht sagen das es dann auch geht aber es könnte sein das man fremde Kommentare editieren kann

  37. 37
    Lukasch

    Was sagt uns das?
    Das Internet ist auch mit seinen ganzen Passwörtern und Kontrollfragen (Wie heisst die Schildkröte deines besten Freundes dessen Nichte?) alles andere als sicher. Selber muss ich auch zugeben, dass ich die Gefahren ständig unterschätze. Mir passiert doch so was nicht, oder?!

  38. 38

    Andre, ich habe einen Undo-Schritt zu früh gepostet. Tatsächlich staqnd das htmlspecialchars vorher nicht drin – das entschärft den html-Code. Die begrenzung auf 50 Zeichen dient dann nur noch der Optik.

  39. 39

    Danke Max. Dann bin ich also doch nicht dumm.

    Ist also letztendlich nichts anderes, als wie ich oben als Lösung verlinkt habe, nur dass du eine anderen Funktion zum „entschärfen“ nimmst.

    Soweit ich es Nachts gefunden hatte, ist aber glaube ich die andere die bessere.

    Da gab es wohl auch „bei“ WordPress eine lange Diskussion darum, aber aus irgendeinem Grund soll es wohl so besser sein.

  40. 40
    avision

    Ihr habt ja keine Ahnung ;)

    Das Problem ist weit grösser. Wäre es nur der Spiegel.
    Ein ganzer Haufen BANKEN kümmert sich kaum um das Thema.

    Auf dem Phischmarkt könnt ihr mal schaun wie es mit eurer Bank aussieht.
    http://baseportal.com/baseportal/phishmarkt/de

    Grüsse,
    Alex

  41. 41
    y

    cool ich freu mich schon auf den iPod shuffle

  42. 42

    Und ich wunder mich schon warum ich mit meiner Kohle nicht mehr hinkomme ;)

  43. 43
    kleines frühstück

    mein horror ist immer, dass einer meine daten/passwörter knackt und in meinem namen bücher ausleiht oder irgendwelches zeug bestellt!

  44. 44
    Dagger

    Überrascht? Willkommen in der Wirklichkeit.

    Das manche Fehler im Internet Exploder auch nach Monaten nicht beseitigt werden haut hoffentlich niemandem vom Hocker.

    Als erste Anlaufstelle ist auch http://www.heise.de/security ganz gut.

Diesen Artikel kommentieren