Sicherheit
URL der BA in Phishing-Mails missbraucht
von
Thorsten
Eggeling - 28.01.2013
Angreifer haben eine Weiterleitungsfunktion der Bundesagentur für Arbeit in Phishing-Mails missbraucht. Die Opfer sollten durch die vermeintlich seriöse URL getäuscht und Filter umgangen werden.
Seit Monaten werden die Postfächer mit Spam-E-Mails überflutet, die angeblich von PayPal stammen. Phishing-E-Mails sind meist schon an zwei Merkmalen zu erkennen. Fast immer fehlt die persönliche Anrede und die Nachrichten enthaltenen Links auf dubiose Seiten, die persönliche Daten ausspionieren oder Schadsoftware verbreiten wollen. Um den Erfolg der Spam-Kampagnen zu erhöhen, Nutzen die Versender allerdings inzwischen oft auch die direkte Ansprache der Opfer. Namen und E-Mail-Adressen stammen wahrscheinlich aus Datenbanken, die nach Hackerangriffen kopiert werden konnten. Für die Links in den Nachrichten wurden auch bisher schon Abwandlungen der erwarteten Internet-Adressen verwendet, etwa www.paypalsecurity.xy.to oder ähnlich. Wer hier nicht ganz genau hinsieht, landet nicht bei PayPal, sondern bei einer Subdomain von xy.to.
heise.de berichtet jetzt von einer neuen Spam-Kampagne, bei der der Absender als "PayPal Konflikt" mit der Adresse paypal-deutschland.de/sicherheit/ angezeigt wird. Allerdings wird der Empfänger darin bereits in der Betreffzeile mit seinem richtigen Namen angesprochen. Weiter heißt es "Ihr Konto wurde eingeschränkt!". In der Nachricht wird der Empfänger darauf hingewiesen, dass sein PayPal-Konto wegen ungewöhnlicher Kreditkartenzahlungen gesperrt worden sei. Schließlich wird er aufgefordert, seine Daten wegen der vermeintlichen Kontofreigabe auf einer angeblichen PayPal-Seite zu verifizieren. Ziel der Betrüger ist es, an die PayPal-Zugangsdaten und Passwörter der Nutzer zu gelangen, um deren Konten zu plündern. Wer mit der Maus über den in der E-Mail enthaltenen Link fährt, sieht in der Statusleiste den eigentlichen Pfad. Einige Empfänger stellten erstaunt fest, dass das Linkziel auf jobboerse.arbeitsagentur.de verwies.
Die Betrüger haben einen Konfigurationsfehler bei der Bundestagsagentur für Arbeit ausgenutzt. Das Umleitungs-Script (Redirect) der Bundesagentur für Arbeit akzeptierte jeden beliebigen Parameter als Ziel für eine Umleitung. Was eigentlich nur für interne Zwecke gedacht war, konnte die Kriminellen so für die Verschleierung der Link-Adressen nutzen. Vor allem Phishing-Filter lassen sich damit täuschen, die wahrscheinlich vor direkten Links auf fragwürdige Angebote in E-Mails warnen würden.
Inzwischen ist der Fehler bei der Bundesagentur für Arbeit behoben. Allerdings gibt es bei vielen Websites offene Weiterleitungen, über die Nutzer auf andere Sites umgeleitet werden können. Bekannt ist der Fehler beispielsweise beim Content Management System TYPO3, der auch typo3.org betraf. Auch hier wurde das Problem inzwischen beseitigt. Entwickler und Administratoren sollten ihr System umgehend auf ähnliche Konfigurationsfehler hin überprüfen.
So schützen Sie sich
Kein Kreditkartendienstleister und keine Bank fordert die Kunden per E-Mail zur Bekanntgabe der Nutzerdaten auf. Von daher können Sie derartige Benachrichtigungen gleich löschen. Seien Sie grundsätzlich auch skeptisch, auch wenn Sie mit Ihrem Namen direkt angesprochen werden. Prüfen Sie die URLs in E-Mail ganz genau auf Plausibilität und gehen Sie im Zweifelsfall direkt auf die Webseite des Anbieters.
Kein Kreditkartendienstleister und keine Bank fordert die Kunden per E-Mail zur Bekanntgabe der Nutzerdaten auf. Von daher können Sie derartige Benachrichtigungen gleich löschen. Seien Sie grundsätzlich auch skeptisch, auch wenn Sie mit Ihrem Namen direkt angesprochen werden. Prüfen Sie die URLs in E-Mail ganz genau auf Plausibilität und gehen Sie im Zweifelsfall direkt auf die Webseite des Anbieters.
