LBB/Amazon Phish

Ich wollte schon die LBB anschwärzen, als ich eine Phishing-Mail von "mailing.lbb.de" bekommen habe. Aber diesmal macht die LBB anscheinend alles richtig aber mein Provider (IONOS) lehnt die Mail leider nicht ab. Aber eins nach dem anderen.

Phishing in Reinform

Die folgende Mail wurde per MX-Record an ein Postfach bei IONOS gesendet. Da ist leider kein NoSpamProxy davor. Über den durchwachsenen Spamfilter habe ich ja schon häufiger gelästert (Siehe auch 1und1 Phishing). Die Mail sieht erst einmal sehr gut gemacht aus. Aber schon an der URL erkennt der geübte Mailnutzer, dass es sich da wohl eher nicht um Amazon oder die LBB handelt.

Wie aber kann es jemanden gelingen, eine Mail mit der Domain "mailing.lbb.de" zu senden?.

Headeranalyse

Also habe ich mit in Outlook die Mail im Rohformat angeschaut und der Inhalt ist schnell interpretiert. Der Header ist sehr kurz und zeigt eine direkte Zustellug von einem angeblich türkischen Mailserver als Quelle (webmail.desi.com.tr), der die Mail über "lin7.armdns.com ([78.135.79.20])" bei IONOS einliefert

Return-Path: <noreply@mailing.lbb.de>
Authentication-Results:  kundenserver.de; dkim=none
Received: from lin7.armdns.com ([78.135.79.20]) by mx.kundenserver.de
 (mxeue011 [212.227.15.41]) with ESMTPS (Nemesis) id 1MMnw4-1oEcOT1Wz6-00IpFS
 for <frank@carius.de>; Mon, 06 Jun 2022 14:38:41 +0200
Received: from webmail.desi.com.tr (localhost.localdomain [IPv6:::1])
	by lin7.armdns.com (Postfix) with ESMTPSA id 7DF4C204FEEF0;
	Mon,  6 Jun 2022 15:30:54 +0300 (+03)
Received-SPF: pass (lin7.armdns.com: connection is authenticated)
MIME-Version: 1.0
Date: Mon, 06 Jun 2022 20:30:53 +0800
From: "Amazon.de KartenService" <noreply@mailing.lbb.de>
To: undisclosed-recipients:;
Subject: Wichtige Informationen zu Ihrer LBB Visa Card!
Reply-To: noreply@mailing.lbb.de
Mail-Reply-To: noreply@mailing.lbb.de
Message-ID: <755ef618ce2515262d7c9b5847891839@mailing.lbb.de>
X-Sender: noreply@mailing.lbb.de
User-Agent: Roundcube Webmail/1.3.11
Content-Type: multipart/alternative;
 boundary="=_e19e582847583aa58b37a9939343df58"
Envelope-To: <xxxxxxx@carius.de>

Der IONOS-Eigene Spamfilter scheint die Mail als unverdächtig einzustufen:

X-Spam-Flag: NO
X-UI-Filterresults: notjunk:1;V03:K0:NngwDnJ08Mo=:6t5az6ZPfXIELBgDG6JbkL0Jzv
 4SweDGSQQ/5QfAHBKC0DAyiIz9lyRidfHxOAQ9hlDLHOw9aoIf6MC66Mb3jeUeU/dxLp3/l3C
 cGxNWNwEyC2a6pspqcxkhrokvOzKIXbbkgQcoyiFIMOWYTM2RcekjQy8FQoxuEaUcfJ+OrOKX
 I46n8oa/kdV0Ft4Q1Ns4qnT05e4dkw2MDblOkmWsCFqDiHMSUfmuszBup4iVr7+jtP+ggRPme
 f/jzY7pgWZ9ukaLpbGrO9q/DI+2ib/wcwNbyU+zLMfRyW5km2tv7w6qxjvuKwJSnEL8kixvIr
 BEaLVVv4WeJnS6yf0kGGfl/UEXbzd3WscyiUUBQ6IgKlXEf1RgO7DrLFoGOxFTjFcISfbjX+8
 jpRhRJ5D1u2yPI5vuoXxvJddAMscm3FaV8f6F/zfK40IZCIHtxMhlw4fEMeyYg6y9hgdOkDXd
 i8J1g+yEOfRDWvILlVeJ9cWhSJ1eXYFFKdZ0teDMn5EMeXQeACXtm9ne8GGLLcEHONDe65Ci/
 o2nau8k8ubPqaY30D1hZ8Xn8yu62BLV2mNnHge+a/t3foC1DdBs6dTC8g6uYyEDThZWzRU2hF
 Db0nywiWB75ejUHB75p/dMrCwbrjsj2d79KMwO8z6T1GOSJT2qHHnZRmvWZNOdbS1z6xD65Ow
 4X2xQHgHwF6cpDygrejxPx+gYjM6c5aOOsB6mWpoaA1Lx38BS3jzyO2ZiZk/jkHlhJJ8+7DnI
 r/THo/zy8F/ddMkSOxqghRNB9GFzcf6PWL+jIklOxaI9UUvkyHjZuQ3UbqHm9tcg+R+Q8j7vs
 vNeNCpdnLgOwS/OBbLaqocOAIArEUHzOr9Zhyn0iGvsE7tTGTWtoOB7K9qFtqkIeyteoDsMEn
 FAHyzgntu1Q3IPEQohcrIedSyH4pu5pyPZx6fkqPpmyS2ILONzrDky9LRUQGjwzd5mvTkipha
 Lp5FiIV9TbDsfr0JLy+OTjrImWE/pXf7fpTBii6+IHJ3ZIuKXLi7gcOQE/31yzfckK7yf0xvE
 MkcK0h3mqzIbifImRTpVax2zgAsAYM08JeNoLeYL6sB9Fvd+8BHSRYqN1eosz+tCS9JT6eNYi
 rqgMwRC/145OIn1wo336q+5FUfj8Cli0RhNJlVuKe9tA5WXbbZdfCtDzEhlU4eAPiO/55m+oZ
 NnMfVgBT/LOa3EjoHYMVEb0d4URtiB6d7/S8cirTbX5WUPlIYCig9qHxDIehcBPyhxMSUic6Q
 o57olqtQS7Pguno1NVX4pRHF6KJ+oHgEzhzyETy/u7UtRu8rRmBcsVCAHdKONSPaLy+LxoQXV
 kaU97LeLnui02mAQHQXk6fDwiHputgXjkZTYECwgyYHwYC64D3/c22QEjxhSQP5FsmGPLlkzw
 UMIc3qTKUAe5ey2+OjTFHXNb5LF4O/AL5Hc1uDrL7Z3o13IHFlSeViqGmrDsYdP/uHmZaVUbi
 otUpS0f1JUPhnfk3wiZLEZb4qHWm5lWyafSV1aH4neLgtgXYDCl+oWJQ+zvCmat0tp4kmtOct
 EwIQDTmjUde7i96FsJ/q/EVjYkMb+Y58fpz0oeHshnKekKmS39jeqzKnb9goPssl5zV3eIkUg
 ybZcWdpPX3oNqUJdNqee0LuClfl8hLyycBhHtkMPt0jcAUUVzHpX5Itcs0dmKukfMRJd9okFe
 7YX84eldVi+lhqts7yjI5RAjU062jOg1BZtNhJZLOXSmP07LhUVhhSydrKy+SDxo8mSAfkmSo
 wtZ75olh3lEdFs3gA8C9nxqMbKJUaNqDzIVdbI2SfVGcHEcm0s8AVdzP0CPkwOCLUkjqPGeT7
 bhl/oLyisxpjH3lvu6NY1DlT0dWojOv+Nma4T8HleYafo2maIpOXduSv3DIw7lPelxh4cYdTl
 JXeJlvyO2/TCoT+K+CExtn+wi+1TWhXiEDgHFi8FvCfi5Mv1e5M/bxgBwZ4uvKCncX1q6HNBc
 8GFCwbD5y03/BG+4VhTlolFX4vrhfkt4VmZRkRNqHX9WgjqmtyHAoRO/aPfbOLZ+whi8nTPCw
 3WRc+Rlh7JOtf4Q7h3/P2u8CUMDukfWCdw9rp33w5IT97o4ifgxGPfP0KJZkstCa/fX1BMBcD
 VV56vJTE/epd8XaaEVK9tSxKBjxaWXk6s+0JAfvI9NecqxUPkkjwdSaS6TEt8JbMTwh3y6SSK
 ROrOxRYsT4RhQgMAVs+oqRdUvmmXlLK88UtMZtM6zXtpOA==

Interessantes Detail: In der Mail werden die Bilder tatsächlich vom Webserver von SRV2.DE geladen, die auch für den legitimen Versand zuständig sind:

src=3D"http://img.srv2.de/assets/bm/imh/0/6/5/a/065a3250109890808c8bb5a561148da8_9433.jpg" />
src=3D"http://img.srv2.de/assets/bm/imh/f/c/2/1/fc21254d8b1ebe834b156374c34983c5_7291.jpg" />
src==3D"http://img.srv2.de/assets/bm/imh/7/1/1/9/711938aad2a95a989aa52b8979f740e0_8669.jpg" />

Da die URLs relativ lange sind, dürfte der Phisher die Links aus einer legitimen Mail abgegriffen haben und wenn die Links vielleicht individualisiert sind, könnte die LBB oder Amazon als damaliger versendet sogar ermitteln, von welchem Empfänger der Phisher die Links hat. Auf der anderen Seite kann damit SRV2 aber z.B. über die Anzahl der Abrufe auch theoretisch erkennen, dass hier eine Mail viel zu oft gelesen wurde und könnte durch den Austausch das Phishing erschweren. Ich wundere mich schon, dass der Phishing-Angreifer hier keine eigenen URLs auf seine Phishingseite genutzt hat.

SPF/DKIM/DMARC

Einen DKIM-Eintrag konnte ich nicht finden, so dass nur noch SPF und DMARC übrig bleibt. Sollte die LBB ihre Systeme nicht im Griff haben, so dass die IP-Adresse "78.135.79.20" irrtümlich erlaubt ist? Ein Check ergibt schnell die folgenden Daten:

C:\>nslookup -q=TXT mailing.lbb.de

mailing.lbb.de  text = "v=spf1 include:spf.srv2.de -all"

mailing.lbb.de geht also wohl exklusiv über den "SRV2.DE"-Dienstleister. Wer den SPF-Record für LBB.DE prüft, bekommt einen anderen Eintrag. Also schauen wir weiter

C:\>nslookup -q=TXT spf.srv2.de

spf.srv2.de     text = "v=spf1 ip4:193.169.180.0/23 ip4:91.229.178.0/23 ip4:91.241.72.0/22 ip4:185.210.80.0/24 ip4:185.210.82.0/23 -all"

Ein sehr schöber SPF-Eintrag, der am Ende auch mit einem "-ALL" abschließt. In der Liste der 5 größeren Subnetze ist die IP-Adresse "78.135.79.20" des einliefernden Servers aber nicht enthalten. Vielleicht gibt es ja noch eine DMARC-Richtlinie, die dies überstimmt. Für die Mailing Subdomain gibt es keinen Eintrag.

C:\>nslookup -q=TXT _dmarc.mailing.lbb.de

*** _dmarc.mailing.lbb.de wurde von fritz.box nicht gefunden: Non-existent domain.

Aber für die darüber liegende Domain hat die LBB einen Eintrag veröffentlicht:

C:\>nslookup -q=TXT _dmarc.lbb.de

_dmarc.lbb.de   text = "v=DMARC1; p=reject; pct=100; adkim=s; aspf=s"

Die Auswertung sagt deutlich:

• p=reject
  Bitte alle Mails abweisen, die nicht passen
• pct=100
  Und bitte für 100% der Mails anwenden
• adkim=s
  DKIM-Fehler bitte "Strict" behandeln. Ich nehme an, dass SRV2 die Mails per DKIM signieren würde aber die Spam-Mail ist natürlich nicht signiert
• aspf=s"
  Und ein SPF-Fail, wie er hier ja vorliegt, bitte auch strikt beachten.

Da frage ich mich natürlich schon, warum die Mail überhaupt in mein Postfach zugestellt wurde. Wenn ein SPF "-all" angeboten wird, dann gibt es doch keinen Grund das zu ignorieren und wenn dann noch DMARC ebenfalls mit aspf=s ein "Strict" vorgibt, dann kann der Empfänger doch nichts mehr falsch machen ?

• Spam und UCE - Filter: DKIM
• DMARC
• Spam und UCE - Filter: Size

Links-Analyse

Also habe ich mal wieder eine Sandbox geschnappt und die betrügerische Webseite angesurft. Natürlich erst einmal nicht mit der kompletten URL. Ich muss ja nicht verraten, dass die Mailadresse "gültig" war. Aber auch der Zugriff auf die Homepage zeigt eigentlich einen richtig schlecht gesicherten Webserver, der sich aber wohl hinter Cloudflare versteckt und nicht mal eine Default-Webseite hat und dank "browseable" Homedirectory sich offenbart. Anscheinend gibt es auch eine Wordpress-Installation aber vor allem auch die HTML-Datei

Die Datei habe ich mit dann erst mal passiv per PowerShell geladen.

$phish = Invoke-WebRequest `
           -UseBasicParsing  `
           -Uri "https://rwlabel.org/4XSO1HHL-4WWIS2VD-4WWLTP3Y-XH55AT.htm

Der Body ist unverfänglich und lädt keinerlei weitere Dateien nach. MIt einem 200OK zeigt er erst einmal nur folgende Seite an.

Allerdings triggert dann nach 2 Sekunden folgender JavaScript-Code, der eine Weiterleitung zu der eigentlichen Malware macht.

<script style="margin-bottom: -500000px;border-bottom-style: solid;border-bottom-width: -123123213px;">
    setTimeout(function () {
         window.location.href = "https://meinlbbkundenservice.com/auth/meinprivatkuden/identity/login";
    },2000);
</script>

Die ganzen Parameter der URL in der Phishing-Mail sind hier aber nicht mehr enthalten. Wenn der Angreifer aber nachverfolgen will, welcher Empfänger den Link angeklickt hat, dann muss er Zugriff auf die Webserver-Logs von Cloudflare oder dem dahinter versteckten Webserver haben.

Phishing-Site

Diese "böse Seite" fragt dann wieder klassisch die Anmeldedaten ab:

Der Name hat natürlich bewusst Ähnlichkeit mit der LBB aber ist sicher nicht damit verbunden.

Ich habe weder ein Konto bei der LBB noch eine Kreditkarte oder Prime von Amazon. Dennoch war ich neugierig, was bei der Eingabe von falschen Daten passiert. Die Webseite dann dann relativ lange nachgedacht und mir dann einen Assistenten gezeigt, um weitere Daten zu erheben.

Ich habe einfach ein paar Zufallszahlen eingegeben, die nicht stimmen konnten. Ich hatte gehofft, dass die Webseite dies schon abfängt. Aber stattdessen hat sie mich nach einigen Sekunden Verzögerung mich zur Eingabe der SMS auffordert, die ich angeblich an die hinterlegte Rufnummer bekommen haben soll.

Das finde ich nun seltsam, denn ich habe keine Rufnummer hinterlegt und die Prüfsumme der angeblichen Kreditkarte war ungültig. Ich vermute aber dennoch, dass die Webseite im Hintergrund sich mit dem echten Server der LBB verbindet und meine Eingaben dort einträgt. Quasi ein intelligenter "Reverse Proxy"

Die Frage ist nun, ob die LBB z.B. erkennt, wenn von einer IP-Adresse sehr viele solcher Neuanmeldungen oder Zugriffe ankommen, die zudem aus einem DataCenter und nicht von "Privatanschlüssen" kommen.

Hoster

Per NSLookup ist schnell die IP-Adresse und der Provider ermittelt:

PS C:\> nslookup meinlbbkundenservice.com

Name:    meinlbbkundenservice.com
Address:  35.207.168.67

Diese IP-Adresse gehört laut ipinfo.io zu Google

https://ipinfo.io/AS19527/35.207.128.0/18-35.207.168.0/24

Ich war mal so freundlich, und habe Google einen Abuse-Report zukommen lassen. Das Problem ist aber eher, dass wohl auch Google nicht wirklich die Personen vorab gerichtsfest ermittelt. Zudem kann es ja immer eine Fake-Identität mit geklauter Kreditkarte o.ä. sein

Einschätzung

Amazon hat damit gar nichts zu tun und die LBB hat eigentlich alles richtig gemacht. Sie nutzen eine Subdomain (mailing.lbb.de), um die primäre Domain zu schützen und Sie veröffentlichen strenge SPF und DMARC-Records. Die "Probleme" sind hier

• Der schwache Spamfilter bei IONOS
  Ich habe extra noch mal geschaut und meine Einstellung ist auf "Mittel", da bei Hoch zu viel Ham geblockt wurde-
• Die Leichtigkeit, mit der jemand wieder mal irgendwo eine Wordpress-Seite betreiben oder hacken kann
  Damit kann ein Angreifer die Reputation des Bloggers mittbrauchen und fällt nicht sofort auf
• Betrieb einer Phishing-Site bereitstellt
  Auf der einen Seite gibt es Forderungen nach IP-Adress-Tracking, SIM-Karten-Registrierung, PostIDENT etc. aber ein Webhosting kann man wohl immer noch selbst bei Google sehr einfach einrichten, ohne Angst vor einer Strafverfolgung zu haben.

Es bleibt wohl noch einiges zu tun. Aber beim Postfach-Hoster muss ich langsam wohl doch über einen Providerwechsel nachdenken.

Weitere Links

• Spam und Phishing
• 1und1 Phishing
• Fälschung
• Spam und UCE - Filter: DKIM
• DMARC
• Spam und UCE - Filter: Size
• Banken-Phishing