Miles and More Phishing

Inhaltsverzeichnis

Miles and More?
Mailsender: Amazon
Phishing Webseite
Webhoster: Amazon
DNS
Spamfreundliche Provider?
Absue-Kontakt
Weitere Links

Dank Let's Encrypt ist der Anteil an HTTPS-Verbindungen deutlich angestiegen. Das ist im Prinzip gut aber macht es natürlich auch kriminellen Webseiten einfacher, sich ein seriöses Aussehen zu geben. Eine verschlüsselte Verbindung mit einem vertrauenswürdigen Zertifikat aber aber schon nie keine Garantie für eine seriöse Gegenstellen.

Miles and More?

Alles hat damit begonnen, dass in meinem Postfach auf einen Schlag viele Mails von einem Absender bekommen habe, der sich als "Miles&More" ausgibt.

Hinweis: Lufthansa und ihr Partnerprogramm haben aber natürlich nichts damit zu tun und können dagegen auch nichts tun.

Es ist zwar eher ungewöhnlich aber nicht ausgeschlossen, dass auch eine Firma mal mit ihrem Mailserver ein Problem hat aber so eine "Flut" ist eher untypisch. Da hat der Phisher seine Umgebung nicht im Griff:

Allerdings sind es nicht 15 identische Mails, sondern die Anzahl der Empfänger startet bei 6 und geht bis 20 hoch. Mit jeder Mail kommt ein weiterer Empfänger dazu. Da hat wohl jemand vergessen, ein Array zu leeren. Zudem besteht die Mail quasi nur aus einem HTML-Body, der auch noch so fehlerhaft ist, dass die darin angelegten Bilder nicht angezeigt werden. Die IMG-Tags verweisen auf nicht vorhandene Inline-Attachments und werden nicht angezeigt. Sie werden auch nicht von einer externen URL, z.B.: von Lufthansa nachgeladen. Letztlich ist nur der Text mit dem Link "lesbar":

Der Link geht auf eine Webseite, die auf den ersten Blick wie eine Miles&More-URL aussehen könnte. Haben Sie auf den ersten Blick gesehen, dass hier sowohl das "n" als auch das "a" ausgelassen wurde. Ich bin sicher, dass ein großer Teil der Anwender diese Feinheit übersehen haben.

Mailsender: Amazon

Ein Blick in den Header der Mail zeigt, dass die Spammer ziemlich viel richtig gemacht haben. Sie senden mit einer Domain, die ihnen gehört und für die DKIM aktiviert ist. Ein empfangender Mailserver wird an der Stelle erst einmal keinen Fehler feststellen und auch die Nutzung von Amazons "Amazon Simple Email Service" (amazonses.com) sollte auch grobe SPF-Fehler oder Blocklisting erschweren.

Return-Path: <0101017eaf68f1a3-81c1f698-a04b-4281-bbf0-b22f020e7dd1-000000@us-west-2.amazonses.com>
Authentication-Results:  mqeue013.server.lan; dkim=pass header.i=@miles-and-kartebrechnung.com
Authentication-Results:  mqeue013.server.lan; dkim=pass header.i=@amazonses.com
Received: from a27-114.smtp-out.us-west-2.amazonses.com ([54.240.27.114]) by
 mx.kundenserver.de (mxeue012 [212.227.15.41]) with ESMTPS (Nemesis) id
 1MdvRm-1mdU6K2KLm-00b2Xa for <xxxx@xxxxx.xxe>; Mon, 31 Jan 2022 10:13:19
 +0100
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple;
	s=2d4477zegl6zl4audxaewtrp6m4do5z2; d=miles-and-kartebrechnung.com;
	t=1643620397;
	h=From:Reply-To:To:Message-ID:Subject:MIME-Version:Content-Type:Date;
	bh=GPV3HhuSJDItxqmZYaGISzuDjxds+KH6jd5N+4RMGFI=;
	b=gecmd5e4k0nPp5dN3tEql5osQpcr2O0dDED37Avkof6MUWa+STo9wPcDi7rViYU5
	KlayfQCjRnXiC59IwMJOH4aGq+Fn4nMxkaBUTZAsxVfmXvIqlf2dSOdL30JQbPucE21
	X6dXzgEsxGlo2esI1C6uz60aTDYmtwPptjIFKurYQMXxuEy2EghnGzVk8Z3TZDCxSL8
	cnAzHMEq4siJpP+3WS+D/h5yaHP9EfQJH2BtWEvd8qHCexcfxaXqME3DvcSQR2AP3cH
	I8n6KYCoM6QErYwf6uLRhbGQS259f2jwW/ORLO99UUP256rcKZq0t8MsrA04NM6tqww
	RVe9UtXLrg==
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple;
	s=7v7vs6w47njt4pimodk5mmttbegzsi6n; d=amazonses.com; t=1643620397;
	h=From:Reply-To:To:Message-ID:Subject:MIME-Version:Content-Type:Date:Feedback-ID;
	bh=GPV3HhuSJDItxqmZYaGISzuDjxds+KH6jd5N+4RMGFI=;
	b=Lt9Gz4Wi9OrXCJb4TJmLuMVgEt/7LqUQ+HftweuxWFP7os8VIlylFba3j6/U7jpo
	7EFceAm3DAbWQdhga362fIOvdV8Lot5SgZ3ForBmPABIfTAeva6Qi0UHTsQTV0JpsH1
	D2UQdPzjZBcyGuZ9pAij13KQgbRNsSLi4y9+rMJo=
From: Miles-and-More@miles-and-kartebrechnung.com
Reply-To: Miles-and-More@miles-and-kartebrechnung.com
To: camillopaladino-preis@yahoo.it, frank@caju.de, alfred@losacker.de, 
	christine@schusterbauer.info, camilloswelt@web.de, frank@carius.de
Message-ID: <0101017eaf68f1a3-81c1f698-a04b-4281-bbf0-b22f020e7dd1-000000@us-west-2.amazonses.com>
Subject: =?UTF-8?Q?Benachrichtigung_vor_Ablauf_Ihrer_Pr=C3=A4mienmeilen?=

Hier kann sich nur Amazon an die Nase fassen, warum Sie jemandem ihren Dienst anbieten, wenn die Identifizierung wohl eher schwach ist. Ansonsten wäre das ja ein Hebel, den Urheber zu finden. Aber anscheinend ist es immer noch möglich, Verträge mit Amazon Hosting abzuschließen und keine Angst vor einer Strafverfolgung zu haben. Ist Amazon hier nicht streng genug oder interessiert es einfach niemanden?

Phishing Webseite

Auch die Webseite unter der URL baut die Anmeldeseite nach und hofft, dass der Besucher dann hier seine Zugangsdaten eingibt. Ich habe hier natürlich keine echten Daten eingegeben und kann daher nicht prüfen, ob die Webseite im Hintergrund gleich in Echtzeit den Zugang prüft. Bei einer Eingabe von falschen Zugangsdaten kommt natürlich eine Fehlermeldung.

Die weiterführenden Links verweisen interessanterweise auf eine nicht vorhandene Seite und generiert dadurch einen 404. Wer aber seine echten Zugangsdaten schon eingegeben hat und erst dann den Fehler bekommt, ist natürlich schon in die Falle getappt. Die Verbindung ist "natürlich" per HTTPS verschlüsselt aber "nur" mit einem Let's Encrypt-Zertifikat.

Wir sollten und immer wieder in Erinnerung rufen, dass eine HTTPS-Verbindung nur sicher verschlüsselt aber nur dann zu einer Prüfung der Identität der Gegenstelle geeignet ist, wenn der Anwender auch die URL genau liest.

Webhoster: Amazon

Der DNS-Eintrag der Webseite verweist auf die IP-Adresse 3.70.237.158.

C:\>nslookup miles-and-kartebrechnung.com
Server:  fritz.box
Address:  fd00::2e91:abff:fe49:d7c9

Nicht autorisierende Antwort:
Name:    miles-and-kartebrechnung.com
Address:  3.70.237.158

Eine schnelle Suche liefert auch hier Amazon als Hoster:

Quelle: https://ipinfo.io/AS16509/3.64.0.0/12-3.70.236.0/22#

Anscheinend fühlt sich der Käufer der Dienstleistung richtig sicher bei Amazon. Es wäre schon einmal interessant, wie so eine Bestellung gelingen konnte. Kreditkarten können zwar gestohlen werden aber irgendeine Identitätsprüfung sollte Amazon zukünftig wohl besser umsetzen. So schwer kann es ja nicht sein, die Identität einer Person oder Firma zu prüfen, um Identitätsdiebstahl oder Phantasieangaben auszuschließen.

DNS

Eine gewisse Mitschuld hat natürlich auch der DNS-Provider. Viele Cloud-Angebote machen die "Validierung" einfach per DNS. Auch bei Microsoft 365 müssen Sie die Inhaberschaft einer Domain allein über einen TXT/MX-Record im DNS-Server nachweisen. Wie Amazon das macht, weiß ich nun nicht aber der DNS-Provider sollte ja auch wissen, wer hier sein Kunde ist.

C:\>nslookup -q=NS miles-and-kartebrechnung.com

Nicht autorisierende Antwort:
miles-and-kartebrechnung.com    nameserver = ns26.domaincontrol.com
miles-and-kartebrechnung.com    nameserver = ns25.domaincontrol.com

Leider gibt es unter der Domain "domaincontrol.com" selbst nicht mal eine Webseite aber ein Whois verrät, dass WildWestDomains.com und GoDaddy dahinter steckt.

Quelle: https://www.whois.com/whois/domaincontrol.com https://www.whois.com/whois/miles-and-kartebrechnung.com

Ob der "Registrant Contact" mit der Start "Rabat" in Marokko korrekt angegeben ist, habe ich nicht weiter geprüft.

Spamfreundliche Provider?

Ich würde nun nicht sagen, dass Provider es zu einfach machen aber hier ist es den Tätern gelungen, nicht nur einen DNS-Namen zu registrieren sondern bei Amazon auch noch einen WebServer zu hosten und Mails von einem im Grund "vertrauenswürdigen" Mailserver samt DKIM-Signatur zu senden. Wobei auch diese Dienstleistung "DKIM" vermutlich durch Amazon erbracht wird. Auch das Zertifikat ergibt keinen weiteren Schutz, denn es ist ja gerade das Ziel, dass möglichst viele Webserver sehr günstig an Webserver-Zertifikate kommen, um die Verschlüsselung anzuheben. Das ist auch lobenswert und Let's Encrypt kann sicher keine Identitätsüberprüfung machen. Hier muss die Erreichbarkeit des Webservers mit einem Challenge reichen. Let's Encrypt verdient ja auch kein Geld mit dem Ausstellen von Zertifikaten.

Der kaufmännische Teil ist bei Amazon bzw. GoDaddy zu sehen, denn Webservices, Amazons "Simple Email Service" oder auch eine DNS gibt es nicht für lau. Hier gibt es schon einen Hebel für einen vermuteten "Leistungs-Diebstahl" und vermutlich auch Identity-Diebstahl. Da kann man nun noch argumentieren, dass solche Ausfälle beim großen Provider oder Kreditkartenfirmen eben aus der Portokasse oder Versicherung übernommen werden.

Letztlich bedeutet dies aber, dass es auch für die große Provider keine Vorteilsregelung oder ein Vertrauensvorschuss geben darf. Es ist eher das Gegenteil der Fall, dass Spammer und Phisher sogar die Provider vorziehen, die SSL und DKIM bereitstellen.

Absue-Kontakt

Ich habe als Gegenprobe sowohl Amazon als Webhoster/Mailsender als auch den DNS-Provider "WildWestDomains.com" über den Missbrauch informiert. 5 Stunden später gab es aber noch keine Rückmeldung aber die Seite immer noch Online.

Sobald ich eine Rückmeldung bekomme, aktualisiere ich die Seite.

Weitere Links

Let's Encrypt
Verschlüsseln und Signieren
Spam und Phising
Amazon Simple Email Service
https://amazonses.com
https://aws.amazon.com/ses/