S.ID ist nicht S.DE

Vor einigen Tagen habe ich erstaunt festgestellt, dass die Sparkassengruppe eine DE-Domain nutzt, die nur einen Buchstaben hat. Früher musste eine DE-Domain mindestens drei Buchstaben haben. Ausnahmen gab es anfangs nur für frühe Adressen wie "ix.de".

SMS Phishing (24.5.2023)

Aber auch Spammer haben das Thema für sich entdeckt und so habe ich am 24. Mai 2023 eine klassische SMS erhalten.

Das fand ich schon interessant, denn die Adresse "s.id" ist nun nicht die Sparkassengruppe aber sieht der "s.de" natürlich sehr ähnlich und das ".id" als Endung könnte man wirklich mit 2Identity" gleichsetzen.

Keine Sorge, ich habe auf den Link nicht auf dem Smartphone geklickt und sie sollten das auch nicht machen.

Auch die Mobilnummer muss nicht dem tatsächlichen Absender entsprechen.

Linkverkürzer S.ID

Nun kann "S.ID" selbst schon ein Teil der Phishing-Kampagne sein, so dass ich von einem isolierten System diese URL aufgerufen haben. Sehr schnell zeigt sich aber das Bild, dass s.id eigentlich ein Link-Verkürzer ist und kostenfreie kurze URLs anbietet:

Der Aufruf des Links in der SMS startet direkt eine Umleitung zu sparkasse-service-digital.com.de.

Umleitung s.id/1JGSY

Auf einem gehärteten System habe ich die URL im Browser samt Debugger gestartet und folgendes gesehen:

Schon der Anbieter s.id scheint sich der Dienste von Cloudflare zu nutzen und leitet auf "l24.im" weiter.

Umleitung l24.im/Yn1sFTf

Aber auch l24.im ist wieder ein Linkverkürzer, der anscheinend in der Türkei verortet ist. Diese Seite lädt einige weitere Skripte, SVG-Grafiken und sogar Google Tag-Manager Infos nach. Anders als "s.id" wird also nicht direkt ein Redirect ausgeführt. Interessanterweise scheint dies nicht immer zu funktionieren. Letztlich gelange ich aber zur Seite https://sparkasse-service-digital.com.de/, die aber erst einmal eine Blockierung von Cloudflare anzeigt:

Rufen Sie bitte solche Seiten nie auf ihrem regulären PC aus. Ich nutze dazu immer einen komplett separaten PC oder eine Azure-VM ohne Zugriff auf meine vitalen Daten

Das hindert mich aber nicht, diese Seite weiter zu betrachten.

Böse Seite sparkasse-service-digital.com.de

Als ich am 26.5 diese URLs getestet habe, wurde sie von Cloudflare gehostet und nutzte entsprechend sogar ein TLS-Zertifikat, welches von Google ausgestellt wurde.

Erst nachdem ich den Browser per UserAgent zu einem "IPhone11" umgestellt habe, konnte ich die böse Seite sehen, die nach der Auswahl der Sparkasse natürlich die Eingabe von Zugangsdaten erwartet. Ich habe hier natürlich eine Sparkasse ausgewählt, bei der ich kein Konto habe und auch die Zugangsdaten warten natürlich zufällig.

Die Formulareingaben landen als POST wieder bei der Webseite aber wir mit einer leeren JSON-Antwort quittiert. Anscheinend wertet das JavaScript gar nicht die Antwort aus,

Muss es ja aber nicht, denn die nächste Seite möchte ja eh noch mehr Daten kennenlernen.

Auch diese Eingabe wird per HTTP-POST wieder versendet.

Allerdings quittiert hier der Server diesen Request mit einem "403 Forbidden". Und dann scheint das JavaScript und der Sicherheitsschutz von Cloudflare nicht zu kooperieren. Es geht nicht mehr weiter und jede Sekunden kommt ein "ping"-Request, der mit einem 403 geblockt wird.

Die mobile Webseite reagiert aber überhaupt nicht darauf. Natürlich ist das Hauptskript auch wieder komplett obfuscated, so dass eine schnelle Analyse damit nicht möglich ist.

Damit beende ich die Analyse hier. Ich bin relativ sicher, dass der Angreifer mit den Zugangsdaten, den Personendaten und insbesondere der Kartennummer bei den Banken dann den Zugang missbrauchen kann. Bei den meisten Banken kommen Sie allein mit den Zugangsdaten schon an das Konto und von meiner Sparkasse weiß ich, dass ich mit Name, Geburtstag und Kartennummer z.B. das Überweisungslimit anpassen kann und ich kann mit den Daten auch "vergessene Zugangsdaten" reaktivieren.

Pfiffigere Angreifer würden hier natürlich einen Reverse-Proxy einsetzen, der die eingegebenen Daten direkt über einen Anmeldung bei der Bank abprüft und sogar gleich Überweisungen tätigt. Anscheinend ist dies hier noch ein manueller Prozess, bei der ein Mensch die gesammelten Daten dann weiter bearbeitet.

com.de-Domain

Wenn Sie sich die Adresse der Webseite anschauen, dann sehen Sie eine COM.DE-Endung" Hier hat also wohl eine Firma die "COM.DE" Domain registriert und verkauft darunter weitere Subdomains. Für weniger erfahrene Websurfer ist es nicht immer einfach zu erkennen, wenn Sie die Adresse am Anfang und am Ende überfliegen und das keine ".com." in der Mitte überlesen.

Der Hoster dieser Domain nennt sich "CentralNIC und sitzt in UK. Wenn Sie eine Domain registrieren wollen, dann landen Sie beim Provider "https://gen.xyz/contact" in Kalifornien, USA

Ich kenne die Vergaberichtlinien für DE-Domains nicht auswendig aber finde es immer überraschend, dass die "de-Domain" scheinbar muss die Firma nicht in DE sitzen aber zumindest einen Zustellungsbevollmächtigten nennen

Cloudflare

Ich bin sicher, dass dieses Verhalten nicht mit den Prinzipien und Geschäftsmodell von Cloudflare übereinstimmt. Cloudflare stellt auf https://abuse.Cloudflare.com/phishing ein Formular zur Meldung von solchen Webseiten bereit. Ich habe erst am 4.6.2023 gegen 02:20 eine Meldung verfasst und bin mal gespannt, wie lange eine Reaktion auf sich warten lässt. Ich bin eher irritiert, dass zwischen der ersten SMS am 24.5 so lange die Webseite immer noch online ist.

Etwas irritierend finde ich, dass Cloudflare auf jeden Fall den Webhoster und den Website Owner informieren will. Warum sollte man das tun, wenn ich im ersten Schritt "Phishing" auswähle?.

Das schreckt doch eher ab. Cloudflare sollte diese Meldungen erst einmal selbst bearbeiten. Ich bin ziemlich sicher, dass der Vertragsinhaber und Domainbesitzer sicher nicht mit seinen eigenen Kontodaten die Dienstleistung bezahlt.

Internetwache

Da sich dieser Missbrauch explizit auf deutsche Sparkassen und deren Kunden richtet und auch der Name der Webseite als auch der Link-Verkürzer darauf bezieht, habe ich einen Hinweis an die Internetwache NRW gegeben. https://internetwache.polizei.nrw/ich-moechte-einen-hinweis-geben und das Aktenzeichen 230604-0223-i1032333 erhalten. Ich weiß ja nicht, welche Möglichkeiten die Beamten haben, so eine Webseite abzuschalten. Es gibt ja immer wieder Personen, die auf solche Dinge hereinfallen. Auch wenn es vermutlich ein Kampf gegen Windmühlen ist. Vielleicht kann aber Cloudflare entweder mehr zum Inhaber sagen oder weiteren Schaden abwenden. Sie könnten zumindest den Domaininhaber von "com.de" mal etwas mehr in die Pflicht nehmen ihre "Kunden" zu verifizieren.

Ich habe daher am 4.6.2023 den Sachverhalt über die Internetwache als "Hinweis" übermittelt. Am 21.6.2023, also nicht mal 1 Monat später, bekam ich einen Postbrief von der Staatsanwaltschaft Paderborn, dass das Verfahren eingestellt worden ist, da de Täter nicht ermittelt werden konnte und weitere Nachforschungen keinen Erfolg versprechen. Der Vorwurf lautete auf "Ausspähen von Daten".

Leider enthält die Einstellung keine Hinweise, ob der Sachverhalt z.B. über interne Wege an Cloudflare oder den Mobilfunkprovider gemeldet wurden. Solange solche "Mitspieler" allein durch den Aufwand einer Auskunft kein Interesse an einer besseren Verifizierung ihrer Kunden haben, wird sich da wenig ändern.

Bundesnetzagentur

Auch wenn die angezeigte Rufnummer vermutlich gefälscht ist, habe ich diese SMS durchaus an die Bundenetzagentur (BNetzA) gemeldet. Theoretisch könnten Sie schon über den Provider den echten Absender oder zumindest den Provider ermitteln und Häufungen erkennen und angehen. Auf meine Nachricht vom 5.6.2023 kam dann am 7.6.2023 eine Mail mit einem Aktenzeichen, unter dem ich später nachfragen könnte.

Einschätzung

Der Spammer bzw. Phisher macht einige Dinge richtig.

  • Linkverkürzer "S.ID" ähnelt sehr stark der offiziellen Domain "s.de" der Sparkassen
    Vor einigen Wochen habe ich schon in Verbindung mit einer anderen Mail gesehen, dass die Sparkassen anscheinend die "s.de"-Domain besitzen und nutzen. Dass unter "s.id" nun ein kostenfreier Linkverkürzer zu finden ist, könnte unerfahrene Benutzer überraschen
  • Hinter Cloudflare verbergen
    Durch die Nutzung von Cloudflare ist es nicht einfach möglich, den eigentlichen Hoster der Webseite ausfindig zu machen und zu informieren. Vielleicht ist es ja sogar Cloudflare selbst.
  • Nur Mobile Clients
    Anscheinend blockiert Cloudflare Clients, die sich nicht als Mobiltelefon ausgeben. Auf kleinen Bildschirmen mit einem "Smartphone-tauglichen" Layout fällt es vielleicht nicht allen Nutzern so schnell auf, dass Sie sich eben nicht auf der Seite ihrer Sparkasse befinden

Dennoch bleibt die Umsetzung hinter ihren Möglichkeiten zurück. Die Desktop-User gänzlich auszuschließen, reduziert die Ertragsquote überflüssigerweise und nach der Eingabe des Benutzernamens und Kennworts könnte der Webserver schon einmal eine direkte Prüfung vornehmen und damit die Datenqualität verbessern. Aber auch so könnte der ein oder andere doch drauf reinfallen. Entsprechende Lösungen auf Basis von Evilproxy sind ja nicht mehr geheim.

Weitere Links