Strato-Phising

Der Zugang zum System eines Webhosters gibt Zugang zur gesamten Webpräsenz des Bephishten, auch vieler darauf laufender Systeme.

Das bedeutet, der Angreifer kann die Daten für blöden Quatsch wie Defacing nutzen, aber natürlich und viel klüger kann er den Webspace verwenden, um auf ihm eigene Anwendungen zu installieren, über ihn auf andere Server zuzugreifen, über ihn Spams verschicken oder Filesharing betreiben, Zugriff auf gespeicherte Passwörter (so sie ungesalzen/ungehahs vorliegent) erlangen und so weiter.

Ein Beispiel: Der Zugang zur Webhost-Verwaltung gibt die FTP-Zugangsdaten als Info aus, FTP verschafft einem zum Beispiel bei WordPress via wp-config die MySQL-Daten … von dort aus kann man dann weitermachen. Und das alles übrigens, ohne dass der legitime Webspace-Besitzer davon irgend etwas mitkriegen muss. BTW: Die Zugangsdaten der User liegen bei WordPress zwar gehasht im SQL, aber wer Zugriff auf die Webpräsenz hat, könnte ein Trojanisches Plugin installieren, das die Passwörter schon beim Anmelden abgreift… zugegeben, das ist konstruiert – kennen Sie einen Fall? -> Kommentar!

Strato-Phising

…sieht zum Beispiel so aus:


*Sehr geehrter **Strato**-Online-Kunden:* Dies ist Ihre offizielle Mitteilung, dass unser Service aktualisiert wurde, und wir fanden heraus, dass Ihre E-Mail-Konto noch nicht auf unserem Server reagiert aufgrund eines Virus infection.Please _Login_ <http://example.com/stratoupdate.html>auf Ihr Konto zugreifen.

Oder so:

Sehr geehrter Strato-Online-Kunden:
Dies ist Ihre offizielle Mitteilung, dass unser Service aktualisiert wurde, und wir fanden heraus, dass Ihre E-Mail-Konto noch nicht auf unserem Server reagiert aufgrund eines Virus infection.Please Login <http://bit.ly/<example>>auf  Ihr Konto zugreifen.

Oder so:


Sehr geehrte Strato-Online Kunden: Dies ist Ihre offizielle Mitteilung, dass unser Service aktualisiert wurde, und wir bemerkten, dass Ihre E-Mail-Konto ein Update benцtigen, wenn Sie Ihre Account-Informationen wird nicht von unserem Billing Center erhielt, dann wird Ihre Fдhigkeit, auf Ihr Konto zugreifen wьrde eingeschrдnkt. _Klicken Sie hier_ <http://example.com/media/system/css/strato.de.htm>, um es weiter nutzen E-Mail.

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren …

7 Antworten

  1. Martin sagt:

    Der Phisher kann sich dann noch E-Mailaccounts anlegen und über die Infrastruktur sehr viel besser und schneller Mails über IPs mit einer guten Reputation versenden als über PHP-Skripte…..

    Vor allem bei Strato geht das sehr gut. Ein Postfach gesperrt worden??? einfach ein neues anlegen und weiter machen.
    Oft sind die Strato-Phishing-Mails über Strato selbst versendet worden.

  2. Jörg sagt:

    Nun, durch einen blöden Fehler im Skripting wurde mein Auftritt auch um Funktionalitäten bereichert, die er eigentlich nicht haben sollte. Eine komplette Benutzeroberfläche war sogar versteckt, von der aus man verschiedene Dinge ausführen konnte. (Genauer habe ich das Dingen nicht analysiert, es war mir zu gefährlich, ich traute es mir per know-how auch nicht zu und außerdem hatte ich Sorge, das Problem zu verschlimmern).

    Der Zweck könnte aber sicherlich neben dem Versenden von Spams auch das Infizieren aller Besucher meiner Webseite gewesen sein.
    Insofern lohnt es sich schon, auch die Webseiten kleinerer Auftritte zu hacken, immerhin könnte das noch einmal ein paar tausend Bots von Besuchern bringen.

    Jörg

  3. Jörg sagt:

    Es fiel mir auf, als ich Dateien nicht einfach per “push” Methode auf den Webserver lud (Webapplikation > neue Dateien veröffentlichen), sondern als ich mal per FTP-Client auf den Webaufritt guckte. Dabei fiel mir ein englisch beschrifteter Ordner auf, den ich so niemals angelegt hatte bzw. niemals so anlegen würde. Ein Bick in den Inhalt verriet mir, dass das nicht dahin gehörte.
    Ursache war ein Problem im Skripting. Per Parameter lade ich verschiedene Inlcudes zur Laufzeit in die PHP Seiten. Anfänglich hatte ich keine Überprüfung der Parameter, so dass auch Includes von anderen Websites (mit beliebigen Code) mit vollständiger URL akzeptiert wurden.
    Ich änderte den Code so ab, dass wenn eine URL übergeben wird, die von einer anderen Site kommt, diese abgewiesen wird.

  4. Jörg sagt:

    Na, na, na! Ich wiege zwar so um die 90, aber deswegen direkt “dicker Hund” …

    Jörg ;-)

    PS: Im MS Sicherheitsnewsletter wurde heute erzählt, wie ein Virenautor sich (unbewußt) mit einem Sicherheitstechniker unterhielt, der gerade diesen Virus untersuchte. Dabei chattete der Virenschreiber mit einem (im Virus integrierten) Chatmodul und meinte, dass es Schade wäre dass sein gegenüber gerade keine Webcam dran hätte, sonst könnte er ihn auch sehen! (große Augen)!!!