Ich habe mal wieder mit der Polizei zu tun und bekomme dabei direkt die Frage beantwortet: Was sind das eigentlich für Leute, die ernsthaft auf Phishing reinfallen?
nach Angaben des Geschädigten, wollte sie am $Datum zu Hause eine Überweisung mittels $Bank Online-Banking durchführen. Bei der Durchschau ihrer E-Mails, stellte sie fest, dass sie eine Nachricht der $Bank erhalten hatte. In dieser Mail wurde sie aufgeforderten wegen einer angeblichen Sicherheitskontrolle, 70 TANs einzugeben. Gutgläubig kam sie dieser Aufforderung nach.
Wenig überraschend:
Am $Datum+2 stellte sie bei einer Kontrolle ihres $Bankkontos fest, dass durch Unbekannt am $Datum+1 – $Betrag € von ihrem Konto abgebucht wurden.
Und hier kommen nun wir ins Spiel: $Bank teilte nämlich im Zuge der Ermittlungen mit, dass die Überweisung von einer IP durchgeführt worden wäre, die in einem unserer Netze liegt. Das ist schon mal ausgesprochen merkwürdig: Die Server, die bei uns laufen, haben keine grafischen Oberflächen und damit maximal textbasierte Browser, mit denen jedes mir bekannte Onlinebanking unbenutzbar ist. Und jeder, der schon mal versucht hat, ein Tool zu schreiben, was sich automatisiert durch ein Onlinebanking-Webinterface durch“klickt“, weiß, dass das nicht so trivial ist, zumal bei vielen Banken inzwischen auch noch reichtlich Javascript zum Einsatz kommt. Aber natürlich bleibt es prinzipiell möglich, auch von einem Server ohne grafische Oberfläche aus so etwas durchzuführen; es ist einfach nur erfahrungsgemäß doch eher unwahrscheinlich, denn die meisten Angriffe sind schlicht gesagt platt und dumm. Aber vielleicht gibt es für $Bank ja ein fertiges Tool für die Script-Kiddies, wer weiß.
Eine theoretische Möglichkeit wäre noch, dass HBCI im Spiel war, was als Schnittstelle ja gerade für die automatisierte Nutzung gedacht ist. Allerdings muss ein Konto üblicherweise erstmal für die Nutzung per HBCI freigeschaltet werden, und ich habe gewisse Zweifel, ob jemand, der gutgläubig 70 TANs auf einer Phishing-Site eingibt, das getan hätte. Davon abgesehen erwähnt das Schreiben der Polizei explizit „Online-Banking“ und verliert kein Wort in Sachen HBCI.
Nun aber der eigentliche Knackpunkt: Die fragliche IP-Adresse liegt überhaupt nicht auf einem Server, sondern gehört zu einem IPMI-Modul. Solche Module, die sich bei Servern häufig direkt auf dem Mainboard befinden oder manchmal auch als Steckkarte nachgerüstet werden können, dienen der Fernwartung und können, vereinfacht gesagt, den Server remote ein- und ausschalten und bieten zudem einen Zugriff auf die Konsole, als wenn man Tastatur und Monitor angeschlossen hätte – sprich, man kann auf diese Weise bereits auf den Bootprozess des Servers zugreifen. Eins aber ist nach meinem Ermessen ausgeschlossen: Dass man auf so einem IPMI-Modul eigene Software so wie beispielsweise einen Webbrowser oder auch nur ein Script, das sich automatisch durch eine Seite klickt, installieren könnte. Das Mini-Betriebssystem dieser Module ist eben fest auf den Chip geflasht. Selbst wenn man über das IPMI-Modul Zugriff auf den Server erlangt hätte und von dort aus dann den Angriff auf das Konto der geschädigten Person gefahren hätte, wäre der Angriff aus Sicht der $Bank dann von der IP des Servers und nicht der IP des IPMI-Moduls gekommen.
Bliebe maximal noch IP-Spoofing. Das hätte aber durch arpwatch auffallen müssen, was ARP-Pakete, die für eine IP plötzlich eine andere MAC-Adresse als bisher kommunizieren, automatisch bemerkt und bei uns am Mirrorport des Uplinks mitläuft. Insofern ist also auch das keine ernsthafte Option, die als Erklärung taugen könnte.
Meine derzeitige Theorie ist ein Zahlendreher – wäre schließlich nicht das erste Mal.
Was schließlich jemanden reitet, 70 (!) TANs auf einer gefälschten Bank-Website einzugeben, erschließt sich mir einfach nicht. Nicht mal meine richtige Bank würde von mir verlangen, das zu tun – ganz davon abgesehen, dass sie schon lange auf automatisch per optischem Leser generierte TANs umgestellt hat, was nebenbei nicht nur sicherer, sondern auch viel bequemer ist. Mir ist einfach ein Rätsel, wieso wir im 21. Jahrhundert die ollen TAN-Listen nicht schon längst abgeschafft haben und uns immer noch mit Phishing herumschlagen müssen.
Was reitet eigentlich einen Angreifer, 70 TANs anzufordern?-)
Hehe, das ist natürlich auch eine gute Frage. Vielleicht war er bestrebt, viele kleine Überweisungen über längere Zeit zu tätigen, in der Hoffnung, dass es dann nicht so auffällt – der faktisch überwiesene Betrag war nämlich eher gering …