Sicherheitslücke in mehreren Online-Shops:
Personal Phishing Welle gegen DHL-Kunden

von Lars Bube (lars.bube@crn.de)

Share
08.02.2010

Eine Personal Phishing Welle versucht derzeit gezielt die Daten von Kunden der DHL-Packstationen abzugreifen. Die Hintermänner hatten zuvor die korrekten Namen und Email-Anschriften der potentiellen Opfer über eine Sicherheitslücke in einem bekannten Onlineshop-System geklaut, das mehrere große Onlinehändler einsetzen.

Keine Beiträge im Forum. » Diskussion starten!

Im Gegensatz zu früheren Anläufen sieht die Phishing-Mail dieses Mal relativ glaubwürdig aus. (Bild: G Data)

Kunden der Packstationen der Post-Tochter DHL sollten sich derzeit gut vorsehen, was in ihrem elektronischen Postfach landet. Der Antiviren-Experte G Data [1] warnt aktuell vor gezielten Phishing-Angriffen gegen Nutzer der Packstationen. In einer scheinbar von DHL stammenden Mail werden diese dazu aufgefordert, sich über einen Link neu mit ihren Zugangsdaten beim Servicecenter zu registrieren.

Auch wenn es für den Besucher oberflächlich so aussieht, führt der bereitgestellte Link jedoch keineswegs zu einer Service-Seite der DHL. Stattdessen leitet er die Opfer auf eine mit Trojanern verseuchte Webseite im DHL-Design um, die umgehend den Rechner des Besuchers infiziert. Zudem wird er dort aufgefordert, seine Logindaten für DHL zu bestätigen. Kommt er dem nach, gibt er den Angreifern damit neben seinem Rechner gleich noch seinen entsprechenden DHL-Account mit in die Hände.

Besonders erstaunlich ist, wie professionell die Angreifer bei dieser aktuellen Phishing-Aktion vorgehen: Im Gegensatz zu früheren Spam- und Phishing-Wellen, bei denen teils auch schon die DHL als vermeintlicher Absender missbraucht worden war, sind die Emails sehr »gut« gemacht. So sind die Anschreiben dieses Mal in sauberem Deutsch formuliert und erwecken einen täuschend echten Eindruck.

Das wichtigste Kriterium jedoch: Name und Email-Adresse stimmen und passen zusammen. »Die Qualität der erbeuteten Datensätze muss sehr hoch sein. So gelingt es den Tätern, jeden Empfänger mit dem passenden Namen anzusprechen. Die persönliche Anrede macht die betrügerischen Nachrichten sehr authentisch und unachtsame Nutzer können so schnell zu Opfern werden«, erläutert G Data Security-Experte Ralf Benzmüller.

Daten über Lücke in Shopsystem geklaut

Bereits seit Monaten ist die Lücke Gesprächsthema in diversen Untergrundforen.

Diese erstaunlich hohe Qualität ihrer Datensätze verdanken die cyberkriminellen Hintermänner einer ebenfalls außergewöhnlich gründlichen Vorarbeit. Über eine Sicherheitslücke in einem bekannten Shopsystem des Anbieters JTL [2] war es ihnen gelungen sich die Namen und Email-Adressen von tausenden aktiver Kunden aus verschiedenen Onlineshops zu besorgen.

Die entsprechende Lücke war bereits Ende vergangenen Jahres bekannt geworden und seit Dezember wurden in diversen Online-Untergrundforen auch Anleitungen veröffentlicht, wie sie ausgenutzt werden kann, um Daten aus dem Shop-System auszulesen. Nach Angaben des Herstellers der Shop-Software wurde die Lücke inzwischen zwar geschlossen.

Über eine SQL-Injection konnten die Angreifer die Datenbanken auslesen und dabei neben Namen und Email-Adressen vereinzelt sogar Kreditkarteninformationen ergattern. Diese wurden anschließen offenbar an weitere Cyberkriminelle verkauft, die sie nun für ihre personalisierte Phishing-Welle nutzen. Laut Aussage der Angreifer wurden auf diesem Weg aber bereits über 100 Web-Shops erfolgreich attackiert und eine entsprechend große Zahl von Datensätzen erobert.

»Die Verknüpfung aus gestohlenen persönlichen Daten und der realen E-Mail Adresse, ist eine ganz neue Stufe im Bezug auf Phishing-Mails. Wir bezeichnen diese Form der E-Mails als „Personal Phishing“ - eine Phishing-Mail mit vollständiger persönlicher Anrede, die nicht aus der E-Mail-Adresse abgeleitet oder geraten werden kann.«, so Benzmüller. »Im vorliegenden Fall nutzen die Täter Datensätze, die sie durch eine Sicherheitslücke eines verbreiteten Web-Shop-Systems erbeuten konnten. Es könnten somit mehrere hunderttausend Online-Käufer betroffen sein und diese personalisierten Phishing-Mails erhalten«.

Hinweise auf Fälschungen

G Data experte Ralf Benzmüller warnt vor einer neuen professionellen Qualität des Phishings.

Nur wer ganz genau hinsieht, hat eine Chance, die Mails als Fälschungen zu enttarnen, bevor es zu spät ist: Wer sich beispielsweise von der Echtheit der Email überzeugen will und dazu die angegebene Service-Adresse in Berlin überprüft oder dort anruft, merkt schnell, dass der Briefkopf des Anschreibens zwar seriös klingt – das angebliche Servicecenter dort jedoch nicht wirklich existiert.

Ebenfalls nur schwer zu entdecken ist eine Auffälligkeit im angegebenen Link. Wer diesen genau anschaut, wird feststellen, dass die verlinkte Adresse auf ».to« endet und damit auf eine Webseite in Tonga verweißt.

»Wir können nur immer wieder davor warnen, Links in E-Mails unbedacht anzuklicken. Prüfen Sie die Adressen sorgfältig und seien Sie misstrauisch! Nicht immer ist der angezeigte Absender auch der Echte – So, wie auch in diesem Fall. Sie signalisieren den Betrügern außerdem eine aktive E-Mail-Adresse, wenn sie auf den personalisierten Link klicken. Die Folge: Sie bekommen noch mehr Spam. Sichern Sie Ihren Computer außerdem mit aktuellen Sicherheitsprodukten«, warnt Ralf Benzmüller.

Bleibt nur die Frage: Was wollen die digitalen Gangster mit den Zugangsdaten zu Packstationen? Diese Informationen sind für sie sogar fast genauso wertvoll, wie die persönlichen Daten der Shop-Nutzer. Über die geklauten Packstations-Accounts können sie nämlich ohne großes Risiko Warensendungen abwickeln, die mit gestohlenen Kreditkartennummern bestellt und bezahlt wurden. Daher sind die Zugangsdaten für Packstationen ein wichtiges Glied in der Hehlerei- und Geldwäschekette der Onlinekriminellen.

[1] http://www.gdata.de/
[2] http://shop.jtl-software.de/

Verwandte Artikel