nicht angemeldet
Phishing über gesicherte Verbindung
Tag,
ich sitze gerade an einem offenbar verseuchten Rechner und bin hellauf begeistert.
Beim Aufruf der Loginseite zu einem Commerzbank-Konto unter https://www.commerzbank-privat.de/servlet/N/SSA_MLS_PPP_PUBLIC_N/loginLogout.do?timestamp=1287675347182 (wohlgemerkt: https und Firefox zeigt an, dass das Zertifikat korrekt sei) erscheint die gewohnte Commerzbank-Seite, allerdings mit einem kleinen Anhängsel ganz am Ende:
</body><script id="injScp" type="text/javascript" language="JavaScript">
(function(){if(typeof(window.leSLoad)=="undefined"){window.leSLoad=false}ifblafasel
Gibt man seine Zugangsdaten ein, wird über die Seite eine Maske gelegt, in die man doch bitte 100 TANs eintippen soll, denn "die Laufzeit der TAN-Liste für Ihr account beträgt 30 Tagen". Jaja.
Der Anhang steckt _im_ HTML-Code, da wird also nix von irgendwo per Javascript hinzugeladen (Stichwort XSS). Auch mit abgeschaltetem Javascript erscheint der Anhang im Code.
Das Gleiche passiert beim Aufruf mit dem IE. Aber: Beim Abruf der URL mit wget kommt der Code ohne Anhang.
Wie kommt der Phishing-Anhang in den Code einer gesicherten Seite? Hängt der Herr Phish sich in den Firefox- bzw. IE-Prozess?
-
Tach,
Wie kommt der Phishing-Anhang in den Code einer gesicherten Seite? Hängt der Herr Phish sich in den Firefox- bzw. IE-Prozess?
Browser-Addons o.ä.
Bei Verseuchung eines Rechners gilt immer, komplett neu aufsetzen und ein Backup der Dateien vor der Verseuchung nutzen.
mfg
Woodfighter -
Moin Moin!
ich sitze gerade an einem offenbar verseuchten Rechner und bin hellauf begeistert.
Ich finde richtig "cool", dass die Phisher gleich die ganze TAN-Liste absammeln wollen, und nicht nur 2 oder 10 TANs ...
Der Anhang steckt _im_ HTML-Code, da wird also nix von irgendwo per Javascript hinzugeladen (Stichwort XSS). Auch mit abgeschaltetem Javascript erscheint der Anhang im Code.
Aber dein Screenshot kommt aus einem Browser mit aktivem Javascript, denn ohne JS sieht die Seite deutlich anders ("suboptimal") aus. Schade eigentlich, andere Banken kommen durchaus ohne Javascript aus.
Wie kommt der Phishing-Anhang in den Code einer gesicherten Seite? Hängt der Herr Phish sich in den Firefox- bzw. IE-Prozess?
Nicht notwendigerweise, das könnte auch ein "ganz normaler" HTTP(S)-Proxy sein, der per Man-in-the-middle die Zusätze in die Seite frickelt. Dagegen spricht allerdings das vermutlich gültige Zertifikat. Hast Du mal überprüft, ob die Fingerprints des Zertifikats zu denen passen, die die Bank veröffentlicht hat? Hast Du mal Deine Proxy-Einstellungen geprüft?
Hast Du mal JS ausgeschaltet, die Browser-Caches komplett geleert und die Seite nochmal aufgerufen?
Wohin sollen die TANs denn laut <form action="..."> geschickt werden? Firebug kann das per Inspect recht schnell herausfinden. Du könntest natürlich auch einfach mal Müll ins Formular eingeben und auf die Meldung "hereinfallen", dabei beobachten, wohin der Request geschickt wird.
Interessant wäre auch, ob das Phishing auch dann passiert, wenn Du von einer Linux-Live-CD bootest. Wenn das passiert, ist die Ursache definitiv außerhalb Deines Rechners.
Alexander
--
Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".-
Ich finde richtig "cool", dass die Phisher gleich die ganze TAN-Liste absammeln wollen, und nicht nur 2 oder 10 TANs ...
Das ist seit etlichen Jahren Usus. Mit zehn TANs, geschweige denn noch weniger, wird es für Herrn Phish zum Losbudenspiel, schließlich fragen die Banken nicht mehr irgendeine, sondern eine bestimmte TAN der durchnummerierten Liste ab (wenn sie denn überhaupt noch solche Listen verwenden).
Der Anhang steckt _im_ HTML-Code, da wird also nix von irgendwo per Javascript hinzugeladen (Stichwort XSS). Auch mit abgeschaltetem Javascript erscheint der Anhang im Code.
Aber dein Screenshot kommt aus einem Browser mit aktivem Javascript,
Logisch, sonst hätte ich ja nicht die hübsche Phishing-Seite zeigen können. Wenn ich ausdrücklich schreibe, der Code wäre auch mit abgeschaltetem Javascript da, dann darfst du das gerne glauben, anstatt mich rundheraus für blöd zu erklären.
Nicht notwendigerweise, das könnte auch ein "ganz normaler" HTTP(S)-Proxy sein, der per Man-in-the-middle die Zusätze in die Seite frickelt. Dagegen spricht allerdings das vermutlich gültige Zertifikat. Hast Du mal überprüft, ob die Fingerprints des Zertifikats zu denen passen, die die Bank veröffentlicht hat?
Ja.
Hast Du mal Deine Proxy-Einstellungen geprüft?
Ja.
Hast Du mal JS ausgeschaltet
Nein, ich schreibe zum Spaß, dass der Code auch mit abgeschaltetem Javascript da wäre.
Wohin sollen die TANs denn laut <form action="..."> geschickt werden?
Uninteressant, irgendeine .eu-Domain war's.
Firebug kann das per Inspect recht schnell herausfinden.
Ein Blick in den Code war noch schneller.
Interessant wäre auch, ob das Phishing auch dann passiert, wenn Du von einer Linux-Live-CD bootest.
Es passiert, wie geschrieben, beim Abruf mit wget nicht, das reicht mir.
PS: Sag mal, verteilt ihr eure "fachlich hilfreich"-Bewertungen eigentlich nur zwecks gegenseitiger Bauchpinselei? Du hast ja wenigstens noch ein wenig geschrieben, aber die Antwort von Jens war ja nun restlos beknackt da am Thema vorbei.
-
Tach,
PS: Sag mal, verteilt ihr eure "fachlich hilfreich"-Bewertungen eigentlich nur zwecks gegenseitiger Bauchpinselei? Du hast ja wenigstens noch ein wenig geschrieben, aber die Antwort von Jens war ja nun restlos beknackt da am Thema vorbei.
könntest du dich bitte für einen Nick entscheiden, damit ich in Zukunft keine Zeit mehr an dich verschwenden muß?
Ich stehe zu meiner Antwort, was auch immer da auf dem Rechner abläuft, ist total uninteressant. Es wird auf dem Rechner offensichtlich Software ausgeführt, die nach der Übermittlung der Seiten Änderungen vornimmt; würde ich sowas bauen, wäre ein Browser-AddOn erstmal naheliegend und simpel umzusetzen. Da es mehrere Browser betrifft, wird es eine zentrale Installation gegeben haben, was sonst noch alles auf dem System verändert wurde, ist eh nicht nachvollziehbar, also _muß_ eh alles platt gemacht werden und durch ein überprüftes Backup ersetzt werden.
mfg
Woodfighter
-
-
-
Tag,
Hihö!
Ich würde den Fall im jedem Falle der Comerzbank melden und evtl auch der Polizei. Evtl kann da jmd Unvorsichtiges aus dem Verkehr gezogen werden...
Zumindest wissen die Comerzbankler dann worauf sie achten müssen/können.Greezez!
-
Hallo,
bist du dir sicher, das du auf der Original-Seite der Commerzbank bist?
Soweit ich weis gibt es nur die Commerzbank.de und nicht Commerzbank-privat.de. Aber bitte korrigiere mich wenn ich da falsch liege. Das ist mir nämlich als erstes aufgefallen.Gruß
Sipatshi
-
Hallo,
bist du dir sicher, das du auf der Original-Seite der Commerzbank bist?
SipatshiHallo , laut DENIC
Domain commerzbank-privat.de
Letzte Aktualisierung 21.12.2009Domaininhaber: Commerzbank AG
Adresse: Kaiserstr.16
PLZ: 60311
Ort: Frankfurt
Land: DEmfg
-