Theoretische Phishing-Attacken gegen VZ-Netzwerke

16 Kommentare zu “Theoretische Phishing-Attacken gegen VZ-Netzwerke”

1. SD
   Nov 16th, 2009 @ 12:44

   ?!?

   Der Absender einer E-Mail ist sowieso frei wählbar. Man braucht keine Formulare zu manipulieren, um Mails mit MeinVZ als Absender zu verschicken.

   Ist mir hier jetzt irgendwas entgangen?

2. markus
   Nov 16th, 2009 @ 12:47

   @SD: Jein. Man könnte zwar die Absenderadresse (email, und Name) manipulieren, allerdings ist es völlig unmöglich die Server-Absenderadresse zu fälschen und so aussehen zu lassen, als würde sie von einem offiziellen VZ Server kommen.

3. Christian
   Nov 16th, 2009 @ 12:48

   Warum müsst ihr eigentlich “drohen”? Entweder ohne Abstimmung (mir geht das ganze Rücksichtgenehme sowieso ordentlich gegen den Strich) oder in Abstimmung mit SVZ veröffentlichen. “Drohen” ist vielleicht nicht ganz die feine Art oder?

4. markus
   Nov 16th, 2009 @ 12:55

   @Christian: Wir haben freundlich darauf hingewiesen, dass wir die Sicherheitslücke publizieren werden und Zeit eingeräumt, die Lücke zu schließen. Unsere Motivation ist in diesem Fall ein besserer Datenschutz durch Datensicherheit.

5. Jonas
   Nov 16th, 2009 @ 12:56

   @markus:

   Nunja, aber wer so sicherheitsbewusst (paranoid?) ist, dass er im Mail-Header verifiziert, ob die Mail auch tatsächlich vom SVZ-Server kommt, dem wird auch die Fishing-Attacke auffallen. Und alle anderen hätten nicht gemerkt, ob die Mail vom SVZ-Server oder einem Spambot kommt.

6. Chris
   Nov 16th, 2009 @ 13:04

   Der letzte Satz ist einfach unfassbar. Super, wie die VZ-Netzwerke mit solchen Sicherheitslücken umgehen, die gemeldet werden.

   Gerade jetzt sollten die VZ-Netzwerke sofort reagieren wenn sie solche Hinweise kriegen. o.O

7. Carsten
   Nov 16th, 2009 @ 13:07

   @Jonas (5): Ist so nicht korrekt. Viele eMail-Clients, wie z.B. Thunderbird verifizieren die Serveradresse gegen Links, die in den eMails enthalten sind. In deinem Szenario (Spambot) wären die Domains nicht deckungsgleich und der eMail-Client würde in diesem Fall schon vor einer “Phishing”-Attacke warnen.
   Diese Warnung wird in dem o.g. Fall nicht ausgespuckt, von daher halte ich deine These für sehr gewagt.

   @SD: Erstens hat hier keiner über eine Manipulation von Formularen gesprochen. Und zweitens ist hier denke ich mehr als eindeutig beschrieben, dass es hier primär darum geht, dass die eMail von einem offiziellen VZ Server stammt.

8. Carsten
   Nov 16th, 2009 @ 13:13

   Nachtrag: Desweiteren hat ein potentieller Angreifer normalerweise überhaupt keine Kenntnis über die eMailadressen der Opfer. Ohne diese Lücke könnte man also einen solchen Angriff nur durchführen, wenn man die eMailadresse seines Opfers kennt. In dem oben beschriebenen Artikelt braucht man die Adresse nicht zu kennen. Es genügt, wenn das Opfer ein “VZ-Freund” ist.

9. Jonas
   Nov 16th, 2009 @ 13:24

   @Carsten: Stimmt, da hatte ich wohl etwas kurz gedacht.

   Abgesehen davon, wollte ich das auch nicht als Argument anbringen, dass das “nicht so schlimm” sei. Ich bin ebenfalls der Meinung, dass das sofort gefixt gehört – und nicht nur auf mehrfaches Nerven und Drohen.

10. boRp
    Nov 16th, 2009 @ 13:29

    Drohen ist die einzige Art. Denn ein oder zwei Leser würden eine veröffentlichte Lücke ausnutzen. Damit wäre das hier nicht nur journalistische Arbeit sondern gleichzeitig Beihilfe zum Phishing (inwieweit das ne Straftat ist habe ich keine Ahnung) und unser armer Autor hier würde viel Hate abkriegen von Leuten, die ihm unterstellen die “Hackerszene” zu unterstützen.

11. SD
    Nov 16th, 2009 @ 13:56

    Also ob man jetzt ein Formular verfummelt oder direkt den HTTP-Request ändert, kommt mal so ziemlich auf’s gleiche hinaus.

    Und ich würde mal behaupten bevor jemand nachschaut von welchem Server die Mail gekommen ist, schaut er sich eher den Link in der Mail genauer an. Im Feld “Gesendet von” steht auf jeden Fall nicht der Server, sondern irgendwas x-beliebiges.

    Und das E-Mail-Programm, das jedes Mal “Phishing!” schreit, wenn ein Link in einer E-Mail ist, der nicht mit der Domäne des Absenders übereinstimmt, will ich auch erstmal sehen. Dessen Anwender tun mir auf jeden Fall mal Leid. :P

    Was natürlich unschön ist, ist dass man die Mail-Adresse dafür nicht kennen muss, aber ein “Freund” des Opfers zu sein dürfte wohl auch eine gewisse Hürde darstellen.

12. Simon
    Nov 16th, 2009 @ 14:02

    Zu der Sicherheit bei VZ muss man nach diesem Artikel wohl nichts mehr sagen.

    Die VZ-Verantwortlichen haben aus der angeblichen Erpressung nichts gelernt und sind nicht gewillt Lücken zu schließen.

    Es ist schon mehr als grob fahrlässig was einige Firmen sich leisten, in meinen Augen sogar indirekte Beihilfe zu betrügerischen Aktivitäten, da besagte Lücke bewusst offen gelassen wurde.

    (Davon ab wäre es das sinnvollste gewesen den VZ-Link fest in die E-Mail einzubauen, anstatt ihn via URL einzubinden.)

13. Carsten
    Nov 16th, 2009 @ 14:31

    @SD(11): “Im Feld “Gesendet von” steht auf jeden Fall nicht der Server, sondern irgendwas x-beliebiges.” <– Ich verstehe nicht, was du damit meinst. Kannst Du das bitte mal erklären?

    "Und das E-Mail-Programm, das jedes Mal “Phishing!” schreit, wenn ein Link in einer E-Mail ist, der nicht mit der Domäne des Absenders übereinstimmt, will ich auch erstmal sehen. Dessen Anwender tun mir auf jeden Fall mal Leid. :P"

    Hab' ich Dir doch grad gesagt, welches eMailprogramm das beispielsweise macht!?
    Ob dir die Anwender leid tun oder nicht, tut hier ja glücklicherweise nichts zur Sache.

    @Simon(12): "(Davon ab wäre es das sinnvollste gewesen den VZ-Link fest in die E-Mail einzubauen, anstatt ihn via URL einzubinden.)". Seh ich genauso. Man hätte sich allerdings auch einfach mal 5 Minuten Zeit nehmen können, um einen vernünftigen regulären Ausdruck zu erstellen. ;)

14. SD
    Nov 16th, 2009 @ 14:41

    Also da ich aus dem Screenshot heraus nicht erkennen kann welcher Client bzw. Web-Mailer das ist, kann ich auch nicht 100% sicher sagen, was hier als “Gesendet von” angezeigt wird, aber ich bezweifle stark, dass es das Ergebnis eines Reverse-Lookups auf die IP des versendenden Servers ist. Ich schätze mal eher, dass es irgendeine Header-Information ist und die kann der Absender vollkommen frei nach Lust und Laune angeben.

    Schön ist das zwar nicht, was die VZ’ler da machen und gefixt werden sollte das natürlich auch, aber wenn ich das alles richtig verstanden habe, dann geht das alles auch ohne diese Lücke fast so effizient.

15. Carsten
    Nov 16th, 2009 @ 14:47

    @SD (14): Ich helfe Dir gerne. Im “Gesendet von” Feld des Screenshots ist folgender Server angegeben: “lm.meinvz.net”.

    “Ich schätze mal eher, dass es irgendeine Header-Information ist”

    Das ist falsch geschätzt. ;)

    “[...] dann geht das alles auch ohne diese Lücke fast so effizient.”

    Wenn du mit “fast” meinst, dass man ohne diese Lücke keine eMailadressen hat und auch keinen offiziellen VZ Server angeben kann, dann hast du Recht.

16. SD
    Nov 16th, 2009 @ 15:13

    ——-
    Ich helfe Dir gerne. Im “Gesendet von” Feld des Screenshots ist folgender Server angegeben: “lm.meinvz.net”.
    ——-
    Ja, danke, zum Lesen bin ich gerade noch so in der Lage. ;)

    ——-
    “Ich schätze mal eher, dass es irgendeine Header-Information ist”

    Das ist falsch geschätzt. ;)
    ——-
    Was ist es dann?

    ——-
    “[...] dann geht das alles auch ohne diese Lücke fast so effizient.”

    Wenn du mit “fast” meinst, dass man ohne diese Lücke keine eMailadressen hat und auch keinen offiziellen VZ Server angeben kann, dann hast du Recht.
    ——-
    Das mit dem Server halte ich, wie gesagt, für überschätzt, da keine Sau den wirklichen Absende-Server überprüft.
    Das mit den Adressen ist unschön, das stimmt wohl, aber wer ist schon mit einem Phisher befreudet? :P

Schreibe einen Kommentar

Beachte bitte: Wir behalten uns eine Moderation der Kommentare vor und filtern zusätzlich nach Spam. Halte Dich bitte an die üblichen Benimmregeln!