Category Archives: Phishing

Italian Internet Mafia

Just returned from Italy, where I attended NSPW and spent a few days on the beaches of Rimini. It seems the Italian Internet Mafia is after me: I just received a load of malware in an e-mail message colorably coming from Banca Popolare dell’Emilia Romagna – Emilia-Romagna was my destination region – and asking me in italian to open an attachment. I really wonder where they harvested my e-mail address. Any idea?

Was könnte schiefgehen?

Eine brilliante Idee. Um sich vor Trojanischen Pferden auf ihrem PC zu schützen, gehen Sie auf eine Website, klicken Sie einen Button und installieren Sie damit ein Programm auf ihrem Rechnern. Danach sind Sie sicher:

»Dem im Netz kursierenden Duqu-Trojaner kann man durch einen Klick auf einer Microsoft-Seite den Zugang zum Windows-Rechner verwehren. Anwender müssen folgendes tun: Anwender sollten auf http://dpaq.de/VH2BY unter «Enable» den Button «Fix it» drücken und damit ein kleines Programm installieren, das den Zugriff auf die betroffene Windows-Schwachstelle in einer Programmbibliothek verhindert, erklärt das Bundesamt für Sicherheit in der Informationstechnik.«

(LVZ Online: Duqu-Trojaner einfach aussperren)

Was könnte dabei schiefgehen? Seht selbst, das sind die Buttons:

Toll, nicht wahr?

Phishing mal anders

Siehe da, phishen kann man nicht nur bei privaten Bankkunden, sondern auch bei Unternehmen. Zu gewinnen gibt’s kein Geld, sondern Emissionszertifikate.

»Nach Informationen der “FTD” täuschten die Betrüger in einer E-Mail an mehrere europäische sowie einige japanische und neuseeländische Unternehmen eine Mitteilung der Potsdamer DEHSt vor. Darin habe es ironischerweise geheißen, zur Abwehr drohender Hackerangriffe müssten sich die Empfänger neu registrieren.«

(Spiegel Online, Datendiebstahl: Hacker plündern Emissionshandelsregister)

Mal sehen, was die sich als Lösung einfallen lassen, falls das öfter passiert.

Richtig Geld verdienen kann man vermutlich auch, indem man ein Loch in die Erde bohrt, die Einlagerung von CO2 verspricht und weiter nichts tut.

P.S.: Heise hat noch ein paar Details.

P.P.S.: Der Inhalt der Phishing-Mail.

Spendenaufruf

Zwei Euro im Monat für ein gutes Gefühl, das ist das Kerngeschäft der Versicherungswirtschaft:

»Oft reichen einige Minuten Surfen im Internet – und schon sind Ihre Bankdaten in die Hände von Betrügern gelangt. Phishing-Angriffe, die gezielt Online-Banking Kunden im Visier haben, verursachen immer wieder hohe Schäden.
(…)
Anfang 2010 bietet CosmosDirekt die passende Lösung: Den Konto-Schutzbrief, der Sie ab 2€ im Monat gegen die Plünderung Ihres Kontos schützt*. Er sichert alle Schäden aus dem Missbrauch Ihrer EC- und Kreditkarte sowie Ihrer Kontodaten ab.«

Für ungefähr dieselbe Summe bekommt man übrigens schon eine kleine Haftpflichtversicherung. Der Preis taugt also noch nicht einmal als Risikometrik.

Liebe Sparkasse,

dass Verified by Visa und MasterCard SecureCode Werbegags ohne sicherheitstechnischen Mehrwert für den Karteninhaber sind, wisst Ihr sicher selbst. Dass es eine Scheißidee ist, die überflüssige Registrierung dafür unter der Adresse https://secure5.arcot.com/ durch eine Organisation abwickeln zu lassen, die Eure Kunden nicht kennen können, muss man Euch aber offensichtlich noch einmal erklären. Ratet mal, was Ihr Euren Kunden damit beibringt.

Oder ist das gar nicht Euer Werk, sondern jemand hat Eure Websites gehackt?

Digital Cold Reading: The CSS History Hack

[See only posts in English]

Cold reading is a technique used by mentalists to simulate psychic powers and impress people. Essentially, the cold reader is supplying words and the other person supplies their meaning as well as hints for the reader.

The CSS history hack, which seems to impress quite a few people, is nothing more than the Web’s version of cold reading. Your impression is that any Web site can read your browser history. Now there is indeed an information leak and no Web site should get access to history information. But this leak is very small. It doesn’t reveal the history altogether to anyone daring to ask. The CSS history issue only gives us an oracle. We can ask the oracle whether a particular URL is in the history or not. So to find out that you’ve read this blog post we would have to ask the oracle about the precise URL of this post.

Nonetheless demonstrations of the history hack impress people. The trick is simple and similar to the cold reading technique. History hack demos use a set of URLs that leads to a hit for almost every Internet user on the world: Google, YouTube, Microsoft, Wikipedia, Flickr, Apple, Slashdot, Amazon, and so on. A mentalist would guess and suggest these until you start giving feedback on which to hook. The CSS history hack replaces this interaction with asking the oracle to avoid wrong guesses. The trick is really to use a set of Web sites that guarantees a hit, and use a minor information leak to remove the wrong guesses from the set that would spoil the effect. This works well with the top 20/top 50/top 1000 sites on the Web, but it won’t scale to arbitrary URLs.

Unterschätzte Risiken: Hackerwettbewerbe

Lehrreiches Scheitern:

»A Webmail service that touts itself as hack-proof and offered $10,000 to anyone who could break into the CEO’s e-mail has lost the challenge.
(…)
The hacking team of Aviv Raff, Lance James and Mike Bailey set up the attack by sending an e-mail to the company’s CEO Darren Berkovitz. When he opened the e-mail, the team exploited an XSS flaw to take control of the account.«

(Zero Day: StrongWebmail CEO’s mail account hacked via XSS)

Die 10.000 Dollar hätten sie auch gleich bei einem fähigen Security-Tester anlegen können, dann hätten sie für dasselbe Geld wahrscheinlich mehr über ihre Irrtümer gelernt. Allzu weit kommt man mit diesem Betrag zwar nicht, aber die Tester arbeiten wenigstens bis zum Ende des Geldes weiter, statt mit dem ersten gefundenen Problem den Preis abzuräumen. Damit sinkt auf lange Sicht der Preis pro gefunder Verwundbarkeit, während er bei einer Folge von Hackerwettbewerben vielleicht sogar steigen würde.

Digitalräuberpistole

Erinnert sich noch jemand an die Story von vor sechs Wochen, derzufolge es mit einem manipulierten Nokia 1100 möglich sei, Kurznachrichten an GSM-Teilnehmer abzufangen? Kriminelle würden bis zu 25.000 Euro für ein solches Gerät bieten, weil auf diese Weise mTAN-Sendungen abzufangen seien. Glauben wollte das keiner so recht.

Inzwischen macht die Meldung die Runde, der Firma UltraScan – die das Thema damals in die Nachrichten brachte – sei es gelungen, die Sache (ein einzges Mal) nachzuvollziehen. Von löschbarem ROM in einigen Modellen der Serie aus dem Bochumer Nokia-Werk ist die Rede und von Schlüsseln für eine verschlüsselte Firmware, die in falsche Hände geraten seien. Dann wird es wirr: man könne durch Firmware-Hacking neben der IMEI, die das Gerät identifiziert, auch die IMSI, die Identität der SIM-Karte, manipulieren – wozu man allerdings eine SIM-Karte klonen müsse, was aber trivial sei.

Alles verstanden? Ich auch nicht. Und die Websites von Ultrascan erwecken nicht gerade den Eindruck hoher Kompetenz und Seriosität.

Starke Passworte

Ein Nachtrag zu meinem Passwort-Post neulich:

Im aktuellen Risks Digest 25:60 findet sich ein Hinweis auf ein Paper mit dem Titel Do Strong Web Passwords Accomplish Anything? das ähnlich argumentiert und außerdem die unterschiedlichen Perspektiven einzelner Nutzer und einer ganzen Organisation betrachtet. Die Autoren weisen am Ende aber auch darauf hin, dass ihr Paper nicht dazu gedacht ist, Verhaltensregeln für Benutzer abzuleiten.