Nachdem heute jede Menge wilder Mailserver versucht haben meinem eigenen Mailserver eine Mail von Apple unterzuschieben, und das nach 6 Stunden sogar einmal geklappt hat, erlaube ich mir wieder diesen Versuch des netten Pishings hier zu dokumentieren. Ein kurzer Blick in den Header der Mail reicht hierbei eigentlich völlig aus und wenn das noch nicht ausreicht, dann sieht man sich die Mail einfach direkt als Source an:
Vorher schon einmal ein kurzer Blick in das Logfile des Servers:
>> Connection from 66.7.198.92, Thu Mar 05 11:49:27 2015
>> EHLO server.for?t?pia.com
Da müsste man jetzt eigentlich nicht weiterlesen, denn das sieht schon nicht nach Apple aus und die IP führt uns zu einem ISP nach Florida/US.
>> STARTTLS
<< 220 OK, begin SSL/TLS negotiation now.
<<
[*] SSL/TLS session established
Nun gut, per SSL/TLS verschlüsselt.
>> MAIL FROM:<[email protected]> SIZE=6086
<< 250 Sender and size (6086) OK - send RCPTs.
>> RCPT TO:<support@?????.de>
<< 250 Recipient OK - send RCPT or DATA.
>> DATA<cr><lf>
Oooh, Apple schreibt mir
. Allerdings verwendet keine seriöse Software Groß- & Kleinschreibung. Was soll's, nach dem DATA kommt jetzt der Teil der Mail, den auch der normale User sieht:
>> Received: from [185.62.188.102] (port=50195) by server.for?t?pia.com with esmtpa (Exim 4.80.1) (envelope-from <[email protected]>)
Das sollte vielleicht der Server-Betreiber eventuell seine Kiste absichern, denn da hat laut IP irgendein Niederländer etwas durch eine Hintertür eingeliefert (der ungewöhnliche Port 50195 könnte darauf hindeuten).
>> Subject: Apple Pay
>> Date: Mon, 8 Dec 2014 00:53:54 -0800
Na guten Morgen, der 8.Dezember ist wohl auch schon leicht vorbei. Wir üben wohl noch etwas ...
>> X-Get-Message-Sender-Via: server.forotopia.com: authenticated_id: test@com??aplat??ar??a.com
Jetzt wird's Spanisch, denn die unter der Mail-Domain erreichbare Webadresse ist in spanisch verfasst. Nein im Ernst, der zuständige Server für diese Adresse steht ebenfalls in Florida/US.
Jetzt geht es aber los:
>> This message is in MIME format. Since your mail reader does not understand this format, some or all of this message may not be legible.
Mein "mail reader" nennt sich gerade "Brain v1.0" und wenn ich solche Zeilen lese, dann ahne ich was folgen wird. Schade eigentlich, denn in diesem Teil der Mail könnten Informationen stehen, denen ich auch vertraue ...
>> ----=BOUNDARY_128053_OPKI_HMYD_CQAL_BKLQ
>> Content-type: text/plain; charset=iso-8859-1; format=flowed
Was, es gibt doch einen Text-Teil ...
>> html, body {padding:0; margin:0; width:100%; height: 100%; font-family:
>> ...
Nein nicht, oder? Jungs, mit euren Script müsst ihr aber unbedingt noch üben, denn HTML-Müll gehört nicht in den reinen Text-Teil. Ein vernünftiger Reader zeigt den Schrott vielleicht sogar noch als HTML-Code an und der User sieht sofort, dass diese Mail Müll ist.
Also weiter ...
>> Sehr geehrte/r Thomas ?????,
Eine persönliche Anrede, aber das Thema Vertrauen ist schon lange durch.
>> wie Sie vielleicht schon mitbekommen haben, steht Ihnen seit einiger Zeit unser neues Payment System "Apple Pay" zur verfügung ...
Deutsch Sprach, schwierige Sprache ...
>> Registrieren Sie sich jetzt Kostenlos und sichern Sie sich einen iTunes Gutschein im Wert von 15 Euro
Ne, kostenlos ist das garantiert nicht. Dafür bekomme ich mit hoher Wahrscheinlichkeit einen Trojaner untergeschoben ...
>> Jetzt registrieren
... und wo? Jungs, ich vermisse einen Link!!!!
>> ----=BOUNDARY_128053_OPKI_HMYD_CQAL_BKLQ
>> Content-type: text/html; charset=iso-8859-1
>> Content-transfer-encoding: quoted-printable
Es geht doch, endlich der HTML-Teil der Mail, wo ihr mir mit Sicherheit das Fell über die Ohren ziehen wollt.
>> <IMG [...] http://fs1.directupload.net/images/.../....jpg" [...]>
So ein Tag, so wunderschön wie heute ...: Ein Tracking-Cookie!!! Also wird überprüft, ob ich die Mail auch gelesen habe.
Der Witz an der Geschichte ist: Brain v1.0 müsste die URL jetzt aus der Mail in die URL-Leiste des Browser kopieren und zusätzlich noch die Enter-Taste betätigen. Apples Email-Software erledigt dieses per Default aber meist schon von alleine und verrät somit die Echtheit der Adresse, im Gegensatz zu Software-Clients für Linux oder Windows, die per Default solche Versuche blockieren.
Jetzt aber noch das wichtigste:
>> [...] submit href="http://7..ly/?????">Jetzt registrieren</P>
Im HTML-Teil der Mail versteckt sich unter dem sichtbaren Text "Jetzt registrieren" der relativ unsichtbare Link zu http://7..ly/????? Hierbei handelt es sich um einen Weiterleiter-Dienst, der mit hoher Sicherheit auf eine Pishing-Seite führt oder auf eine Seite, die den Rechner auf alle möglichen aktuellen Schwachstellen untersucht und dann auch infizieren wird!
Jetzt bin ich aber doch gespannt, was passiert wenn ich diese Seite aufrufen werde, zumal die Geschichte ja nun bereits seit Stunden auf meinen Mailserver einprasselt.
Also Hacken zusammen, keine Angst und los geht's:
Vorher schon einmal ein kurzer Blick in das Logfile des Servers:
>> Connection from 66.7.198.92, Thu Mar 05 11:49:27 2015
>> EHLO server.for?t?pia.com
Da müsste man jetzt eigentlich nicht weiterlesen, denn das sieht schon nicht nach Apple aus und die IP führt uns zu einem ISP nach Florida/US.
>> STARTTLS
<< 220 OK, begin SSL/TLS negotiation now.
<<
[*] SSL/TLS session established
Nun gut, per SSL/TLS verschlüsselt.
>> MAIL FROM:<[email protected]> SIZE=6086
<< 250 Sender and size (6086) OK - send RCPTs.
>> RCPT TO:<support@?????.de>
<< 250 Recipient OK - send RCPT or DATA.
>> DATA<cr><lf>
Oooh, Apple schreibt mir
. Allerdings verwendet keine seriöse Software Groß- & Kleinschreibung. Was soll's, nach dem DATA kommt jetzt der Teil der Mail, den auch der normale User sieht:>> Received: from [185.62.188.102] (port=50195) by server.for?t?pia.com with esmtpa (Exim 4.80.1) (envelope-from <[email protected]>)
Das sollte vielleicht der Server-Betreiber eventuell seine Kiste absichern, denn da hat laut IP irgendein Niederländer etwas durch eine Hintertür eingeliefert (der ungewöhnliche Port 50195 könnte darauf hindeuten).
>> Subject: Apple Pay
>> Date: Mon, 8 Dec 2014 00:53:54 -0800
Na guten Morgen, der 8.Dezember ist wohl auch schon leicht vorbei. Wir üben wohl noch etwas ...
>> X-Get-Message-Sender-Via: server.forotopia.com: authenticated_id: test@com??aplat??ar??a.com
Jetzt wird's Spanisch, denn die unter der Mail-Domain erreichbare Webadresse ist in spanisch verfasst. Nein im Ernst, der zuständige Server für diese Adresse steht ebenfalls in Florida/US
.Jetzt geht es aber los:
>> This message is in MIME format. Since your mail reader does not understand this format, some or all of this message may not be legible.
Mein "mail reader" nennt sich gerade "Brain v1.0" und wenn ich solche Zeilen lese, dann ahne ich was folgen wird. Schade eigentlich, denn in diesem Teil der Mail könnten Informationen stehen, denen ich auch vertraue ...
>> ----=BOUNDARY_128053_OPKI_HMYD_CQAL_BKLQ
>> Content-type: text/plain; charset=iso-8859-1; format=flowed
Was, es gibt doch einen Text-Teil ...
>> html, body {padding:0; margin:0; width:100%; height: 100%; font-family:
>> ...
Nein nicht, oder? Jungs, mit euren Script müsst ihr aber unbedingt noch üben, denn HTML-Müll gehört nicht in den reinen Text-Teil. Ein vernünftiger Reader zeigt den Schrott vielleicht sogar noch als HTML-Code an und der User sieht sofort, dass diese Mail Müll ist.
Also weiter ...
>> Sehr geehrte/r Thomas ?????,
Eine persönliche Anrede, aber das Thema Vertrauen ist schon lange durch.
>> wie Sie vielleicht schon mitbekommen haben, steht Ihnen seit einiger Zeit unser neues Payment System "Apple Pay" zur verfügung ...
Deutsch Sprach, schwierige Sprache ...
>> Registrieren Sie sich jetzt Kostenlos und sichern Sie sich einen iTunes Gutschein im Wert von 15 Euro
Ne, kostenlos ist das garantiert nicht. Dafür bekomme ich mit hoher Wahrscheinlichkeit einen Trojaner untergeschoben ...
>> Jetzt registrieren
... und wo? Jungs, ich vermisse einen Link!!!!
>> ----=BOUNDARY_128053_OPKI_HMYD_CQAL_BKLQ
>> Content-type: text/html; charset=iso-8859-1
>> Content-transfer-encoding: quoted-printable
Es geht doch, endlich der HTML-Teil der Mail, wo ihr mir mit Sicherheit das Fell über die Ohren ziehen wollt.
>> <IMG [...] http://fs1.directupload.net/images/.../....jpg" [...]>
So ein Tag, so wunderschön wie heute ...: Ein Tracking-Cookie!!! Also wird überprüft, ob ich die Mail auch gelesen habe.
Der Witz an der Geschichte ist: Brain v1.0 müsste die URL jetzt aus der Mail in die URL-Leiste des Browser kopieren und zusätzlich noch die Enter-Taste betätigen. Apples Email-Software erledigt dieses per Default aber meist schon von alleine und verrät somit die Echtheit der Adresse, im Gegensatz zu Software-Clients für Linux oder Windows, die per Default solche Versuche blockieren.
Jetzt aber noch das wichtigste:
>> [...] submit href="http://7..ly/?????">Jetzt registrieren</P>
Im HTML-Teil der Mail versteckt sich unter dem sichtbaren Text "Jetzt registrieren" der relativ unsichtbare Link zu http://7..ly/????? Hierbei handelt es sich um einen Weiterleiter-Dienst, der mit hoher Sicherheit auf eine Pishing-Seite führt oder auf eine Seite, die den Rechner auf alle möglichen aktuellen Schwachstellen untersucht und dann auch infizieren wird!
Jetzt bin ich aber doch gespannt, was passiert wenn ich diese Seite aufrufen werde, zumal die Geschichte ja nun bereits seit Stunden auf meinen Mailserver einprasselt.
Also Hacken zusammen, keine Angst und los geht's:
Request "http://7..ly/?????"
HTTP/1.1 302 Found
Server: Apache/2.2.22 (Debian)
Set-Cookie: language=en; path=/
Set-Cookie: uuid=[...]
Location: http://applesecure.de/apple/pay/
Content-Type: text/html; charset=utf-8
Content-Length: 311
Accept-Ranges: bytes
Date: Thu, 05 Mar 2015 12:04:13 GMT
Connection: keep-alive
... und finden eine Weiterleitung auf die Apple Pay Seiten. Also doch eine völlig harmlose und seriöse Mail
.
HTTP/1.1 302 Found
Server: Apache/2.2.22 (Debian)
Set-Cookie: language=en; path=/
Set-Cookie: uuid=[...]
Location: http://applesecure.de/apple/pay/
Content-Type: text/html; charset=utf-8
Content-Length: 311
Accept-Ranges: bytes
Date: Thu, 05 Mar 2015 12:04:13 GMT
Connection: keep-alive
... und finden eine Weiterleitung auf die Apple Pay Seiten. Also doch eine völlig harmlose und seriöse Mail
.
.
