Phishback – die Rache der Fische

Jeder kennt diese Mails: Ein freundlicher Kundenberater meiner Bank schickt mir eine Mail in gebrochenem Deutsch, dass mein Account nix mehr Funktion und ich mich loggen ein soll mit meinen Zugangsdaten und 5 unbenutzten TANs. In der Mail ist ein Link, der mich auf eine Webseite weiterleitet. Die Webseite sieht der offiziellen Webseite meines vertrauten Kreditinstitutes zum Verwechseln ähnlich – nur der Blick auf den Domainnamen in der Browser-Leiste sollte mich stutzig machen: http://deutschebank.baldbistdupleite.ru

Phishing Mails sind weder neu noch besonders originell. Zwei Dinge wundern mich allerdings immer wieder aufs Neue: Warum besuchen die pickeligen Absender dahinter nicht endlich mal einen Grundkurs in Deutsch. Und zweitens: warum sind diese Art von Mails immer noch im Umlauf? Der letzte Punkt ist der eigentlich erschreckende – denn auch hier gilt: Was Erfolg hat, bleibt auf dem Markt. Und der Erfolg dieser Mails spricht nicht unbedingt für die Intelligenz seiner Adressaten.

„Ihr Konto wurde gesperrt!“

Heute erreichte mein Postfach mal wieder so ein digitaler Angelhaken. Dieses Mal bemühte sich jemand, die Zugangsdaten zu einem der größten deutschen Web-Hosts zu sammeln. Das Formular war einfach gestrickt: Zwei Felder für Username und Passwort und ein Senden-Button. Anhand der Domain konnten man sehen, dass die Seite bei einem kostenlosen Anbieter gehostet war.

Mit einem Netzwerk-Tool war auch die weitere Reise meiner theoretischen Zugangs-Daten zu verfolgen: Username und Passwort wanderten fröhlich und ungeschützt an einen zweiten Host, der sich auf das Speichern und Auswerten von Umfragen spezialisiert hat. Hier wurden also die Beute gesammelt um sie später zu Tisch zu tragen. Insgesamt also ein eher klassisches Konstrukt um Spuren zu verwischen.

Echte Handarbeit

Da bekannt ist, dass der betroffene Host über einige recht gute Absicherungen gegen Brute-Force-Attacken verfügt, ist abzusehen, dass der Hacker hier manuell Hand anlegen muss. Vermutlich wird er warten, bis ausreichend viele Benutzer / Passwort-Kombinationen eingegangen sind. Dann wird er sich in ein Internet-Café oder in ein Starbucks-WLAN begeben und mit lüsternem Grinsen beginnen, sich die ftp-Zugangsdaten und Bankverbindungen aus dem Loginbereich der Kunden anzueignen.

Phishback

Genau hier kam mir eine Idee: Wenn es schon sehr unwahrscheinlich ist, den Kerl juristisch an den Pranger zu bekommen, dann wäre es doch zumindest schön, ihm möglichst viel Arbeit zu machen. Das passende Script war schneller geschrieben als dieser Blog-Eintrag und umfasste genau 17 Zeilen Code. Einziges Ziel: Die Datenbank des Phishers mit Müll zu füllen, ganz nach dem Prinzip: Je größer der Heuhaufen ist, desto schwerer findet man die Nadeln.

function humanize() {…}

Aber reiner Müll wäre zu leicht zu erkennen und filtern gewesen. Das Script macht es etwas geschickter: Es generiert als Benutzername nicht nur zufällige Kundennummern mit der korrekten Anzahl an Ziffern, sondern in zufälligem Wechsel auch „echt“ klingende Domain-Namen mit realen Top-Level-Domains, weil der Host (eigentlich nicht sehr klug) beide Möglichkeiten für den Login akzeptiert. Auch die generierten Passwörter sind keine wahllose Aneinanderreihungen von Buchstaben und Ziffern – sie bestehen aus lesbaren Wortteilen mit Zahlen davor oder dahinter. Alles wirkt so „menschlich“ wie nur möglich – und so „echt“ wie die Phishing-Seite selbst.

Der endgültige Abschied von der Mülltrennung

Was bleibt dem Hacker noch, um die unechten Einträge von echten zu unterscheiden? Zum einen der Zeitraum, in denen die Daten vom Formular kommen. Würde das Script auf einen Schlag mehrere Tausend Einträge machen, könnte man einfach Zeit/Datum vergleichen und verdächtige Einträge leicht entfernen. Also macht es das Script immer in schönen, kleinen Intervallen: Zwischen jedem Eintrag ist eine zufällige, längere oder kürzere Pause. Dann bleibt da natürlich noch die IP-Nummer: Er könnte einfach alle Einträge löschen, die von der gleichen IP kamen. Nur – Pech für den Hacker – bietet der Host für die Formularauswertung diese Option nicht an.

Selbst wenn der Hacker es schafft, eine Routine zu entwickeln, die seine Datenbank von den „Fakes“ bereinigt, so wäre er doch einige Stunden bis Tage mit dem Code für dieses Programm beschäftigt. Das dürfte zumindest seine Kaffekosten im Starbucks ordentlich nach oben treiben.

Bing! Sie haben 32.163.271 neue Mails!

Das Script läuft jetzt seit etwa 4 Stunden von 6 Servern gleichzeitig und hat schon knapp 60.000 Einträge generiert. Besonders schön finde ich die Vorstellung, dass der Hacker wahrscheinlich die Option gewählt hat, die Formulardaten in Kopie auf ein anonymes E-Mail-Konto zu bekommen. Mal schauen, vielleicht lasse ich es noch über das Wochenende laufen.

Auch wenn wir das Resultat des Phishbacks nie erfahren werden: Die beglückende Vorstellung, welche wunderbaren Variationen animalischer Laute unserem lieben Mr. Phisher entweichen werden, sobald er seine Netze aus dem Netz einholt, finde ich äußerst befriedigend.

Warten wir es ab. Ich lasse die Fenster heute offen – vielleicht hört man es bis Wiesbaden.

Wäre es nicht schön…

… wenn mal jemand ein ähnliches Script auf einer Webseite zur Verfügung stellen könnte – aber so weit ausgeklügelt, das man einfach den Link aus der Phishing-Mail in ein Formular eingibt und „Phishback“ dann automatisch die Formularfelder erkennt, die das Phishing-Formular verwendet – um es dann systematisch zuzumüllen? Endlich müsste man nicht mehr tatenlos zusehen und hoffen, dass die mediale Allgemeinbildung der User weit genug fortgeschritten ist, um sich nicht von dieser Art Mails ködern zu lassen.

Wenn jemand Lust hat: Wir gestalten gerne das Interface dazu und die Kampagne 🙂

Nachtrag: Klasse – hier ist die Webseite dazu: phishfighting.com