#it-security

Ihr kennt wahrscheinlich alle diese absolut nervigen Seiten mit “Glückwunsch, Sie haben ein iPhone gewonnen”. Heute sehen wir uns mal an, was eigentlich dahintersteckt, denn leider kriege ich unglaublich wenige Phishing-Mails, die ich analysieren könnte. Einige Zeit lang haben mir russische Frauen geschrieben, wie sehr sie mich lieben, aber selbst das hat jetzt aufgehört. Glücklicherweise habe ich heute angeblich die milliardenste Suche getätigt und darf mir jetzt einen Preis aussuchen.

HTML

Wer auch immer diese Seite erstellt hat, hatte keine Ahnung von HTML-Standards. Wenn man den Code in den HTML-Validator reinkopiert, kriegt man unglaublich viele Fehler angezeigt. Ja, die Seite funktioniert, aber sie entspricht nicht den Standards und viele verwendete Elemente sind veraltet. Tja, das passiert wenn man ein Mal einen “Wie erstelle ich eine Phishing-Seite?” Kurs an der russischen Volkshochschule für Cyberkriminelle macht und sich danach nie wieder damit beschäftigt.

Die jährliche Besucherumfrage

Okay, zurück zur eigentlichen Seite. Jetzt habe ich gar nicht mehr die Milliardenste Suche getätigt, sondern soll die jährliche Firefox-Besucherumfrage ausfüllen. Auf jeden Fall habe ich schon wieder was gewonnen.

Vielleicht hätten sie ihren Code davor checken sollen.

Auf jeden Fall gibt es dieses Mal eine Amazon-Geschenkkarte zu gewinnen - zuvor wird man jedoch noch auf eine andere Website weitergeleitet, sonst wäre das ja zu einfach.

Und das war’s auch schon. Es passiert nichts, weil Firefox standardmäßig den Frame blockiert. Ach Mensch, alles muss man selber machen. Na schön, wenn der Redirect nicht funktioniert, geh ich halt selbst auf diese Seite.

Es passiert immer noch nichts. Die Seite macht nichts anderes, als endlos auf sich selbst weiterzuleiten, weil die Domain bei einem Domainparkingdienst geparkt wurde und momentan inaktiv ist. Wenn man auf die Links dort klickt, wird man einfach nur gefragt, ob man Benachrichtigungen empfangen möchte. Klickt man auf “nein” passiert nichts. Klickt man auf “ja” würde man wahrscheinlich ständig Werbung kriegen, die man aber einfach wieder abbestellen kann, wenn man einfach die Benachrichtigungen blockiert. Adware war auch mal hartnäckiger.

Die Milliardenste Suche

Okay, laden wir die ursprüngliche Seite mal neu. Jetzt haben ich wieder die milliardenste Suche getätigt. Mann, hab ich ein Glück! Ich habe schon wieder eine Amazon-Geschenkkarte gewonnen. Auf zum Preisübergabe-Formular - das auf die gleiche Seite wie vorhin weiterleitet, die nicht funktioniert. Ach, ich liebe es.

Da nach dem Hackerangriff auf Politiker und Prominente mal wieder das Thema IT-Security aufkam, dachte ich, ich mache in unregelmäßigen Abständen ein paar Posts darüber. Bitte beachtet dabei folgendes: Alle Dinge, die ich in diesen Posts tue, sind nur dann legal, wenn ihr sie in eurem eigenen Netzwerk macht oder ihr die Erlaubnis des Besitzers dazu habt.

Bevor wir anfangen, erstmal die Grundlagen. Jedes Gerät, dass mit einem Netzwerk verbunden ist, hat eine IP-Adresse und eine MAC-Adresse. In der realen Welt wäre die IP-Adresse in etwa die Adresse auf einem Brief, die MAC-Adresse wäre das Postfach. Die IP-Adresse ändert sich, die MAC-Adresse nicht.

ARP ist die Abkürzung für Address Resolution Protocol. Empfängt der Router Daten muss er erstmal rausfinden, an welchem Computer er sie weiterleiten soll. Deswegen sendet er eine Nachricht an alle Computer im Netzwerk und fragt nach, zu welcher MAC-Adresse die IP-Adresse gehört. Dann sehen alle Computer nach, ob sie diese IP-Adresse besitzen und der Computer, dem die IP-Adresse gehört sendet eine Antwort mit seiner MAC-Adresse an den Router. Damit der Router das nicht jedes Mal erneut machen muss, speichert er einige Zeit lang in einer Tabelle, wem welche IP-Adresse gehört. 

Um diese Tabelle zu manipulieren, benutze ich Ettercap auf Kali Linux, einer Linux-Distribution mit sehr vielen hilfreichen Tools zum Testen von Netzwerken, die auch von Hackern benutzt werden. Mittlerweile kann man ARP-Spoofing allerdings auch per Smartphone-App machen.

Fangen wir also mal an. Zunächst scannen wir das Netzwerk nach Geräten. Das sieht dann so aus:

Falls ihr euch jetzt fragt: “Okay, aber woher weiß ich, welches Gerät meinem Opfer gehört?” - Dazu kann man sich in Ettercap den Namen der Computer anzeigen lassen. Ich benutze dazu meistens eine App namens Fing auf meinem Handy, die mir außerdem noch Infos über die Art des Geräts und den Hersteller liefert. 

Wir haben nun also die IP- und MAC-Adresse von meinem Windows 10 Laptop. Da Kali Linux in einer Virtuellen Maschine läuft und damit komplett unabhängig ist, hat es eine eigene IP und eigene MAC-Adresse.

Mit nur einem Klick ist der Angriff auch schon geschehen. Das Opfer bekommt davon nichts mit. Was nun passiert ist folgendes: Das System des Angreifers sagt dem Router, dass es die gesuchte IP-Adresse hätte - auch, wenn der Router gar nicht danach gefragt hat. Der Router sendet nun also alle Daten, die eigentlich für das System des Opfers bestimmt waren, an den Angreifer, der die Daten dann an das System des Opfers weiterleitet (eine sogenannte “Man In The Middle” Attacke).

Wenn man sich jetzt auf einer Login-Seite, die nicht über HTTPS läuft anmeldet, passiert folgendes:

Der Angreifer bekommt die Adresse, Benutzername und Passwort. Das ist natürlich nur ein Beispiel und keine echte Kombination, allerdings kann der Angreifer auch alle anderen unverschlüsselt gesendeten Daten mitlesen und verändern. Bei per HTTPS gesicherten Seiten würde man nun zwar eine Meldung über ein ungültiges Zertifikat bekommen, allerdings könnte ein Angreifer auch das umgehen, was allerdings etwas umständlicher ist.

Wie kann man sich nun also davor schützen? Hier einige hilfreiche Tipps:

Seid vorsichtig, wem ihr euer WLAN-Passwort gebt.

Gebt in öffentlichen Netzwerken möglichst keine Passwörter ein, wenn die Login-Seite nicht über HTTPS läuft.

Wenn ihr in einem öffentlichen Netzwerk eine Meldung über ein ungültiges Zertifikat bekommt, ist etwas faul.

Wenn eine Seite, die sonst über HTTPS läuft, plötzlich über HTTP läuft, ist ebenfalls etwas faul.

Mit der Software XArp kann ARP-Spoofing erkannt werden.

Alternativ könnt ihr euch auch Wireshark installieren und den Netzwerkverkehr mitschneiden. Wireshark ist auch für Windows erhältlich und man benötigt keine besonderen Kenntnisse, um es zu benutzen. Falls sehr viele ARP-Pakete auf einmal gesendet werden, ist etwas faul.

I’ve been inundated recently with an unusual number of fake SMS text messages. It’s hard to pinpoint the exact reason – perhaps it’s a seasonal spike, a reflection of the political election cycle, or scammers are becoming increasingly bold in their tactics. This brings us to an important question: What is smishing? ‘Smishing’ combines ‘SMS’ (short message service) and ‘phishing,’ which refers to…

every time I enter a password with my fingerprint, I want to kiss every single bitwarden dev on the mouth

get it here and switch on biometrics, it will improve your quality of life so much i promise

Log4Shell, Ransomware und erfolgreiche Gegenmaßnahmen

Medienberichten zufolge wurden auch Amazon, Apple, Tesla, Twitter, Steam etc. erfolgreich angegriffen. Wegen der einfachen Ausnutzung und der möglichen schweren Folgen hat das BSI die höchste Warnstufe „Rot“ vergeben. Die Risiken dieser Sicherheitslücke gelten auch für PCs, Notebooks, Tablets oder Smartphones, IT- und IoT-Geräte. Zum Ausnutzen der Lücke benötigt es nur einen Endpunkt, der von…

Ransomware: Die erfolgreichen Gegenmaßnahmen

2020 wurden mehr als 350 Mio. USD Lösegeld nach Ransomware-Angriffen gezahlt – über 300 % mehr als im Vorjahr. Es wird davon ausgegangen, dass sich dieser Trend weiter fortsetzt. Hier eine Auswahl aktueller besorgniserregender Angriffe aus 2021: Colonial: Ransomware sorgt für Pipeline-Abschaltung in den USA JBS: Weltgrößter Fleischkonzern ist Opfer Landkreis Anhalt-Bitterfeld (Leipzig) weigert…