Immer dieselbe Leier? Phishing-Kampagnen scheinen immer nach dem selben Prinzip vorzugehen: Ein Link oder ein Anhang platziert in einer E-Mail leitet auf eine Phishing-Website weiter, um dort bestimmte Daten des Empfängers abzugreifen. Bei einigen Usern hat sich jedoch mittlerweile eine bestimmte Vorgehensweise etabliert, die die herkömmlichen Phishing-Taktiken entlarven soll. Nun hat das Hornetsecurity Security Lab ein Phishing-Schema entdeckt, das die Methode umgehen soll.
Die Vorgehensweise
Im Falle des entdeckten Phishing-Schemas, wird die gesamte Phishing-Webseite als HTML-Anhang an das Opfer gesendet und dann lokal im Browser ausgeführt.
Bei der Untersuchung einer solchen Phishing-Aktivität entdeckte das Security Lab eine interessante Taktik in einem der verwendeten Phishing-Web-Formulare. In einem Formular wird das erste vom Opfer eingegebene Passwort immer als falsch zurückgewiesen und nur die zweite Passworteingabe akzeptiert.
Damit soll vermutlich die Methode umgangen werden, welche einige Nutzer zum Schutz vor Phishing-Attacken anwenden. Denn diese User sind der Meinung, dass Phishing-Websites immer jedes Passwort akzeptieren würden. Daher könne man eine Phishing-Website erkennen, indem man ein falsches Passwort eingibt. Eine Phishing-Website wird das falsche Passwort akzeptieren, während die legitime Seite es als falsch ablehnt. Diese Annahme ist jedoch nicht richtig. Das Security Lab erläutert im Folgenden mehr dazu.
Hintergrund
Phishing, wobei dem Opfer die gesamte HTML-Quelle der Phishing-Webseite als E-Mail-Anhang zugestellt wird, ist nichts Neues [1]. Das Opfer erhält vom Angreifer eine E-Mail mit einem HTML-Dokument im Anhang.
Hier ein aktuelles Beispiel für einen solchen Phishing-Versuch gegen eine Bank:
In der E-Mail wird dem Benutzer mitgeteilt, dass das Benutzerprofil aktualisiert werden muss, da sonst die Dienstleistungen der Bank nicht mehr genutzt werden könnten. Wenn der Benutzer den Anhang öffnet, fragt ein Formular nach den Zugangsdaten des Benutzers oder in diesem Fall eine ganze Reihe von privaten und vertraulichen Informationen ab:
Das Dokument ist dabei sogar hilfreich und prüft (lokal über HTML5-Funktionen), ob die vom Benutzer eingegebenen Informationen ein gültiges Format haben, z.B. ob die E-Mail ein @-Symbol enthält:
Sobald die Eingabe des Benutzers lokal validiert wurde, wird eine HTTP-POST-Anfrage abgesendet, welche die eingegebenen Informationen an einen entfernten Server senden:
Dieses Schema ist hilfreich, um zu verhindern, dass die Phishing-Website auf eine Blacklist gesetzt wird, da es keine sichtbare Phishing-Webseite im Internet gibt, die ein Hosting-Provider abschalten könnte.
Eine Website zu sperren, weil sie HTTP-POST-Anfragen erhält, ist ein, an einen Hosting-Provider oder Eigentümer einer kompromittierten Website, schwer zu vermittelnder Sachverhalt.
Kürzlich entdeckte das Security Lab einen interessanten Trick in diesem bekannten Schema in einer schon länger aktiven HTML-Phishing-Kampagne. Die Angreifer geben vor, zu einem der größten integrierten Containerlogistik- und Lieferkettenunternehmen zu gehören.
Analyse
Die Phishing-Kampagne läuft bereits seit Monaten – in ähnlichen Formen wahrscheinlich sogar schon mehrere Jahre:
Die Tatsache, dass an Werktagen mehr E-Mails dieser Kampagne verschickt werden, weist darauf hin, dass die Aktivitäten vor allem auf Unternehmen abzielen:
Auch wenn die Sprache der Phishing-E-Mails ausschließlich Englisch ist, werden die E-Mails vorwiegend an deutsche, US-amerikanische und britische Unternehmen geschickt:
Die Verteilung der Empfängerländer ist durch den Kundenstamm von Hornetsecurity leicht verzerrt, da Hornetsecurity in der DACH-Region Marktführer ist.
Interessanterweise sind die Netzwerke, aus denen diese E-Mails gesendet werden, folgende:
Mit den Besitzern der 7 AS, die das höchste Volumen an gesendeten E-Mails aufweisen:
| Volume | ASN | ASN Besitzer |
| 5450 | 199653 | ARUBAFR-AS, FR |
| 5425 | 6697 | BELPAK-AS BELPAK, BY |
| 3300 | 266772 | TRIMOTION S.R.L., AR |
| 1450 | 8374 | PLUSNET Plus network operator in Poland, PL |
| 1375 | 15704 | XTRA TELECOM S.A., ES |
| 1275 | 54290 | HOSTWINDS, US |
| 1225 | 1221 | ASN-TELSTRA Telstra Corporation Ltd, AU |
Den Benutzer zweimal fragen
Während die meisten der beobachteten Phishing-Dokumente dem zuvor skizzierten Schema folgen – mit Ausnahme der Tatsache, dass der Benutzer nur nach einem Passwort gefragt wird und die E-Mail-Adresse des Benutzers im Dokument bereits vorausgefüllt ist – haben ein paar andere Phishing-Dokumente dieser Kampagne einen besonderen Trick.
Beim Öffnen des Phishing-Dokuments wird der Benutzer aufgefordert, das Passwort einzugeben, um eine Vorschau einiger Versanddokumente zu erhalten:
Unabhängig von dem eingegebenen Passwort wird dem Benutzer sofort ein weiteres Kennwort-Popup-Formular angezeigt, in dem behauptet wird, dass das eingegebene Kennwort falsch war:
Dies geschieht wahrscheinlich aus dem Grund, das oben beschriebene Vorgehen einiger Benutzer zu verhindern: Die User geben zunächst ein falsches Passwort ein. Erst wenn dieses abgewiesen wird, geben sie ihr echtes Passwort ein, um sich zu verifizieren.
Aber nur das zuletzt eingegebene Passwort wird an den entfernten Server gesendet:
Zu guter Letzt wird der Benutzer auf den Bilderhosting-Dienst Imgur weitergeleitet und bekommt dort ein Bild von Versanddokumenten präsentiert:
Offensichtlich sind die abgebildeten Dokumente genauso gefälscht wie die Phishing-E-Mail selbst.
Schlussfolgerung und Abhilfe
Der von einigen Anwendern vorgeschlagene Trick zum Schutz vor Phishing funktioniert bei dieser Vorgehensweise also nicht. Die Logik hinter diesem Trick ist vermutlich die Annahme, dass die meisten Phishing-Formen jedes Passwort akzeptieren. Wenn ein System also ein falsches Passwort zurückweist, muss es rechtmäßig sein, wie sonst sollte es wissen, dass das Passwort falsch ist. Aber wie dieses Beispiel gezeigt hat, kann ein Phishing-Formular einfach auch das Passwort ablehnen. Tatsächlich könnte es sogar alle Passwörter ablehnen und alle ausprobierten Passwörter an den Angreifer senden, in der Hoffnung, dass das Opfer bei dem Versuch sich einzuloggen gleich alle seine Passwörter aushändigt.
Die Abhilfe gegen diese Art von Phishing ist nicht so einfach. Da die Phishing-Webseite lokal im Browser des Opfers geladen wird, werden Blacklists, wie z.B. Googles Safebrowsing, den Benutzer nicht davor warnen, dass gerade eine Phishing-Webseite geöffnet wird. Eine andere Sache ist der Exfiltrationsmechanismus. Die einzelne HTTP-POST-Anfrage wird an eine wahrscheinlich kompromittierte WordPress-Website gesendet, was es schwer macht, den Aufruf in einem ausgelastetem Netzwerk zu entdecken. Und weil es keine sichtbare Phishing-Website online gibt, ist der Sachverhalt durch einen Netzwerkanalytiker ebenfalls schwer zu untersuchen.
Der sicherste Weg, sich vor diesen HTML-Phishing-Dokumenten zu schützen, ist sie gar nicht erst in die Mailbox des Benutzers gelangen zu lassen. So erkennen beispielsweise die präzisen Analysemechanismen von Hornetsecuritys Spam and Malware Protection solche E-Mails in den ersten Filterinstanzen und lassen eine Zustellung dieser Phishing-E-Mails in ein Postfach nicht zu.
