Wie man Pseudo-Hacker austrickst

Spear-Phishing-Mails: Jetzt wird zurückgeschlagen

07.07.2016 von Simon Hülsbömer und Ryan Francis
Statt die ständigen Phishing-Mails zu ignorieren, hat ein Security-Experte den Spieß umgedreht und sich auf das schmutzige Spiel eingelassen. Mit Erfolg: Am Ende konnte er den Phisher wegen Betrugs anzeigen - ohne Geld verloren zu haben.

Vor einigen Wochen wurde ein Finanzbuchhalter des IT-Security-Anbieters WatchGuard von einer Spear-Phishing-Attacke heimgesucht. Als Spear Phishing werden solche Angriffe bezeichnet, die ganz gezielt auf eine Person oder eine Personengruppe zugeschnitten sind. Die Angreifer sammeln dafür Informationen über ihre Opfer - beispielsweise in sozialen Netzen - und bauen ihre Phishing-Mails dann so auf, dass die Attackierten mit möglichst hoher Wahrscheinlichkeit darauf hereinfallen. In diesem Fall kam der Betrugsversuch in Form einer vorgeblichen E-Mail vom Chef der Finanzbuchhaltung mit der Bitte um dringende Erledigung.

Wie derartige E-Mails aussehen, haben wir Ihnen in einer kleinen Bilderstrecke zusammengestellt:

Vorsicht vor diesen Whaling-Mails!
Zu beschäftigt zum Telefonieren
Dieser Betrugsversuch fand in New York statt - der Angreifer hatte sich eine Domain gesichert, die sich der des angegriffenen Unternehmen sehr ähnelte. Die beiden "O" im Firmennamen wurden einfach durch zwei Nullen ersetzt - schnell zu übersehen.
Es muss schnell gehen
Im kanadischen Toronto arbeitete man mit einem ähnlichen Trick - hier wurde das "m" im Unternehmensnamen durch ein "rn" ersetzt. Durch den zusätzlich erzeugten Zeitdruck sollte verhindert werden, dass Frank zum Nachdenken kam.
Augen auf
Das hier sieht ein wenig semiprofessionell aus - die 1 in der Absender-Adresse fällt sofort auf. Ein vielbeschäftigter CEO schaut aber vielleicht nicht ganz so genau hin, wenn er zwischen zwei 10-Millionen-Überweisungen einmal eben etwas Sechsstelliges freigeben soll. Entdeckt wurde diese Mail hier auf einem Server in New York.
Ob es da ein Muster gibt?
Das Doppel-S im Unternehmensnamen kann man überseehen. Dass Amelia hier ansonsten annähernd denselben Text verwendet wie Richard zwei E-Mails vorher, hoffentlich nicht.
Sieht ganz so aus...
Hier meldet sich Amelia bestimmt noch einmal - sie hatte noch eine Doppel-S-Domain im Hosting-Paket frei. Der Text ist aber neu - nur, kleine Frage: "soonest"? Really?
Sofort!
Es scheint beliebt zu sein, eine nur in einem Buchstaben veränderte Domain für kriminelle Machenschaften zu organisieren. In diesem Fall - der Server, von dem die Mail verschickt wurde, stand im südafrikanischen Johannesburg - geht es um ein C zuviel.
Einfallslos
Nagut, hierauf fällt wohl hoffentlich niemand herein. Hotmail? Das gibt es noch?
Wo ist Walter?
"Breaking Bad" ist zuende, die Geschichte von Walter White lebt weiter. Ganz besonders, wenn die E-Mail-Adressen so kreativ sind - in diesem Fall sieht sie der echten (die wir nicht offenlegen) aber wirklich zum Verwechseln ähnlich.
Gmail?
Als wäre Hotmail nicht genug, versucht es hier einer mit Googles Mail-Dienst. Viel Erfolg!
Gmail!
Scheint aber zu funktionieren, sonst würden es nicht so viele E-Mail-Betrüger mit solchen Adressen versuchen.<br /><br /> Fazit: Passen Sie auf, von wem die E-Mails kommen - und seien sie noch so beiläufig, vertrauenserweckend und plausibel formuliert. Einmal mehr persönlich rückversichern kann Ihnen viel Geld sparen...

Da der Finanzbuchhalter aber nun einmal in einer IT-Sicherheitsfirma arbeitet, ist er entsprechend geschult und erkannte die E-Mail sofort als Fake - nicht nur war die Absenderadresse merkwürdig (eine siebenstellige Zahlenkombination @gmail.com), es fehlte zudem die obligatorische Signatur. Also informierte er seinen Kollegen und Bedrohungsanalysten Marc Laliberte, der sich in den folgenden Tagen einen Spaß daraus machte, vorgeblich auf den Phishing-Versuch einzugehen, um den Angreifer schließlich dingfest machen zu können.

Die Kontaktaufnahme per Mail erfolgt eher beiläufig - achten Sie daher unbedingt auf fehlende Signaturen oder merkwürdige Absenderadressen (hier unkenntlich gemacht).
Foto: REUTERS/Danish Ismail

Von wo kommt der Angriff?

Laliberte antwortete zunächst eher beiläufig auf die Phishing-Mail, woraufhin er als Antwort bekam, er möge seinem "Chef" - also dem Angreifer - ab sofort doch per SMS an seine private Mobilfunknummer antworten. Der WatchGuard-Experte recherchierte, auf wen die Telefonnummer registriert wurde und fand heraus, dass es sich um eine Festnetznummer aus dem Großraum Jacksonville/USA handelte. Laliberte nahm sofort an, dass sich der Phisher nicht wirklich dort aufhielt, sondern stattdessen einen Weiterleitungsservice bestellt hatte, um seine wirkliche Telefonnummer und Aufenthaltsort zu verdecken - eine übliche Methode in Betrügerkreisen.

Via SMS versucht der Betrüger sein "Opfer" dazu zu bringen, eine größere Summe zu überweisen.
Foto: REUTERS/Danish Ismail

Laliberte gab sich erneut als sein Kollege aus und simste den Angreifer über eine Wegwerfnummer an. Dieser reagierte tags darauf um kam gleich zum Punkt - man müsse ganz dringend noch eine Palette neuer WatchGuard-Fireboxes bezahlen, die in der kommenden Woche geliefert werden würden. Laliberte antwortete, dass eine schnelle Überweisung problemlos machbar sei und bat um weitere Informationen.

Nun geht’s ans Eingemachte

Der Angreifer schrieb daraufhin, dass 20.000 Dollar an eine von ihm benannte Person in New York überwiesen werden müssten - die nötigen Bankdaten lieferte er gleich mit. Lalibertes Recherchen ergaben keinerlei öffentlich bekannte Betrügereien im Zusammenhang mit dem genannten Namen - weil es sich um ein nationales Konto der TD Bank handelte, dessen Aktivitäten sich leicht nachvollziehen ließen, nahm Laliberte aber an, dass das Konto von den Betrügern gekapert worden war.

Das Geld soll auf ein Konto der TD Bank in New York überwiesen werden - alle benötigten Informationen liefert der Betrüger gleich mit.
Foto: REUTERS/Danish Ismail

Noch immer war die Frage offen, von wo aus genau der Phisher agierte. Hier machte sich der WatchGuard-Experte nun zunutze, dass der Angreifer eine Bestätigungsmeldung über die erfolgte Überweisung verlangte. Laliberte versteckte die IP-Adresse eines Honeypot-Servers mithilfe eines URL-Shorteners und sendete diesen an den Angreifer mit dem Hinweis, dass dies der Link zur gewünschten Bestätigungsmeldung sei.

Der Betrüger geht dem WatchGuard-Experten auf den Leim und tappt via Short-URL in einen Honeypot.
Foto: REUTERS/Danish Ismail

Als der Angreifer nun auf den Link klickte, wurde er zum Honeypot umgeleitet, wo seine IP-Adresse und User-Agent-Daten geloggt wurden. Auf diese Weise fand Laliberte heraus, dass die IP des Betrügers im Adressbereich von Airtel Networks Limited lag - einem nigerianischen Mobilfunkanbieter. Laut User-Agent-Daten war er mit einem iPhone unterwegs, auf dem das Betriebssystem iOS 9.3.1 installiert war.

Die Vermutung, dass ein Weiterleitungsdienst zum Einsatz kam, war damit bestätigt. Und auch die Wahrscheinlichkeit, dass das Bankkonto gekapert war, war gestiegen - ohne festen Wohnsitz in den USA wäre die Anmeldung des Kontos nicht möglich gewesen. Eine Option war noch, dass es einen Strohmann in den USA gibt, der sein Konto für den Betrug zur Verfügung stellt und das Geld dann direkt nach Eingang ins Ausland weitertransferiert.

Anzeige bei der Bank

Laliberte setzte sich mit der TD Bank in Verbindung und bat darum, Ermittlungen wegen eines Betrugsversuchs über eines ihrer Konten aufzunehmen.

Die Moral von der Geschichte: Heutige Web-Betrüger sind bestens über die Eigenheiten ihrer möglichen Opfer informiert, übersehen aber ab und an wichtige Details (E-Mail-Signatur). Trotzdem: Wäre der Buchhalter nicht so gut trainiert und auf der Hut gewesen, wäre sein Unternehmen nun womöglich um 20.000 Dollar ärmer.