MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

Vinted Phishing

Grade noch mal gut gegangen aber Vinted hat vielleicht eine Lücke in ihrem Prozess. Doch erst einmal den Vorgang von Anfang an. (Ich habe den Vorgang nachgestellt. Die Daten sind nicht echt)

Verkäufer bietet Kleidung über Vinted an

Das ist erst einmal nicht besonders schwer. Alle Plattformen machen die Anmeldung einfach, z.B. durch eine Verifikation mittels Mailadresse. Sie legen sich ein Konto mit Vorname,  Nachname und vielleicht noch ein paar weiteren Daten an und zu Verifikation senden die Plattform einen Verifikationslink an eine vom Verkäufer angegebenen Mailadresse. Damit ist zwar die Schleife geschlossen, aber die Autorisierung basiert darauf, dass die Mailadresse irgendwie zugeordnet werden kann. Da aber Mailadressen ja im Prinzip "schützenswert" sind, zeigt Vinted später beim Kauf oder Verkauf nur den Namen aber nicht die Mailadresse an. Die Absicherung gegen Missbrauch ist also nur sehr schwach

Käufer möchte Angebot wahrnehmen und antwortet

Kurz nachdem Sie ihr Angebot eingestellt haben, findet dies ein "Käufer" und tut so, als wolle er den Artikel kaufen. Dazu klickt er aber nicht auf "Kaufen" sondern auf "Frage stellen" und kann damit dem Verkäufer eine Nachricht senden. Leider habe ich die originale Nachricht nicht, da Vinted diese aus dem Postfach des Empfängers entfernt hat. Ich habe daher versucht so einen Angriffsvektor, mit natürlich unschädlicher URL und bei weitem nicht so ausgereift, nachzustellen. Hier ein Beispiel:

 

Die Nachricht kommt quasi "sofort" beim Empfänger an. Wenn der Empfänger genau hinschaut, sollte erkennen können, dass die Nachricht eine Frage ist und nicht von Vinted Buchungsystem kommt. Die Nachricht bleibt im "geschlossenen Mailsystem" von Vinted und landet im "Postfach" des Anwenders. Hier kann ich z.B. so tun, als wäre ich "Vinted" und der Empfänger sieht die Nachricht in seinem "Vinted Postfach".

Nachricht erscheint kurz im Vinted Nachrichtenverlauf

Leider gibt es von der Nachricht im Vinted-Postfach kein Bild, da der betroffene Verkäufer diese geöffnet und dann leider den Anweisungen folgt ist. Er konnte mir auch nachträglich nicht mehr die Meldung zeigen, da sie "weg" war. Daher habe ich mir kurz ein Vinted-Konto angelegt und die obige Mail als Frage abgesendet. Die Nachricht ist im Posteingang des Verkäufers erschienen aber noch ehe ich sie öffnen oder abfotografieren konnte, war sie "spurlos" verschwunden. Die Vinted-App meldete nur kurz ein "Nachricht wurde nicht gefunden" als Fehler. Ich als Absender habe allerdings folgende Nachricht bekommen:

 

Es gibt also bei Vinted schon eine Komponente, die zumindest einfache Nachrichten auf ihren Inhalt überprüft und sogar beim Empfänger zurückziehen kann.

Das ist lobenswert, auch wenn es hier zu spät war. Allerdings finde ich es auch bedenklich, dass der Empfänger durch das Löschen nicht mehr nachweisen kann, was bei ihm angekommen ist. Sinnvoller wäre es aus meiner Sicht, die Nachricht im Posteingang zu belassen aber alle aktiven Komponenten, insbesondere Links nach extern zu deaktivieren. Ich frage mich sowieso, warum die Vinted-App überhaupt Links nach extern zulässt.

Phishing Webseite Teil1

Mit dem Klick auf den Link öffnete die Vinted App ein kleines Fenster, in dem ich auf einem Smartphone keine Adressleiste gesehen habe. Es war auch nur ein minimales Formular, in dem der Verkäufer seine Mailadresse, allerdings ohne "@" eingeben sollte. Nachdem dies erfolgt ist, haben die Angreifer den Verkäufer gebeten, die Verifizierungsmail im Postfach zu kontrollieren. Damit verlässt der Verkäufer natürlich  das Öko-System von Vinted und landet direkt beim Angreifer.

Leider habe ich kein Bildschirmfoto von dieser Seite und konnte es auch nicht nachstellen. Ich habe das Fenster aber gesehen und war überzeugt, dass es ein Dialog innerhalb der Vinted-App war.

Nachricht im Postfach

Ich habe die Mail hier mit einem  Outlook geöffnet und damit fällt mir direkt auf, dass der Absender natürlich "rummyhaven.com" ist und sicher nichts mit Vinted zu tun hat. Auch der Link verweist auf eine Adresse in der Form https://hotsalediscount.com/uu/axxxxxxxx.

Auf einem Smartphone ist diese Erkennung aber schon deutlich schwerer. Auf einen Android-Phone war "Vinted" der Absender und erst durch einen langen Druck auf den Absender hätte man die Domain gesehen. Auch der Link wird von den wenigsten Nutzern vermutlich vorher untersucht.

Ich hätte mir schon gewünscht, dass ein Mailprogramm vor dem Öffnen einer externen URL diese noch mal deutlich anzeigt und bestätigen lässt. Das könnte viel Schaden verhindern.

Solche Mails könnten Sie als Firma aber natürlich erkennen lassen. Bilderkennung oder der Displayname des Absenders könnten als Identitätsdiebstahl gewertet werden. Als Firma könnten Sie auch "Privatnutzung" unterbunden haben und Vinted ist doch wohl eher privat einzustufen.

Phishing Webseite Teil 2

Die dann angezeigte Webseite sieht natürlich perfekt aus. Der Angreifer kennt ja den Verkäufer und kann daher aus Vinted auch sein Bild, den Text und den Preis extrahieren.

Wenn Sie aber genau die Adressleiste anschauen, dann sehen Sie auf einem Desktop-PC natürlich, dass die URL nur am Anfang ein Schloss und https://vinted...... hat. Auf einem Smartphone schneiden die Browser aber die Adressleiste oft so zusammen, dass Sie eben nicht mehr sehen, dass Sie nicht auf Vinted sind. Vielleicht könnte die Beschriftung auf dem Button "Empfang von Geldern" sie stutzig werden lassen.

Bitte die Rufnummer

Wenn Sie aber drauf drücken, dann kommt erst einmal eine  "Prüfanzeige", die vermutlich einfach nur Seriosität vorgaukeln soll.

Dann wird noch die Rufnummer zur "Überprüfung" abgefragt. Klingt erst einmal sinnvoll, wenn Vinted so die Identität mit ihren Stammdaten prüfen möchte. Aber Vinted bekommt davon natürlich nichts mit, denn der Verkäufer bewegt sich weiter auf der Seite des Angreifers.

Der Angreifer prüft nicht einmal minimal die Plausibilität und auch die Schreibweise ist nicht wirklich üblich.

Wenn der Verkäufer hier seine echte Rufnummer eingibt, dann haben die Angreifer zumindest schon mal einen Datensatz aus Name, Ort und Rufnummer. Das ist der erste Hebel für Identitätsdiebstahl, z.B. durch Anfordern einer anderen SIM-Karte.

Dennoch kann ein Verkäufer auch hier den "Empfang von Geldern" übersehen und den Prozess fortsetzen.

Und natürlich die Kreditkarte

Jeder möchte gerne Geld "annehmen" und heute kann auch eine Kreditkarte problemlos für eine Gutschrift verwendet werden. Auch hier haben die Angreifer den Preis des Artikels mi übernommen.

Sie können schon aber sollten natürlich nie hier ihre Kreditkarte eingeben. Ich habe hier die Daten einer alten schon lange gesperrten Kreditkarte verwendet. Der Angreifer hat aber nicht mal eine Prüfung der Kreditkartennummer selbst oder anderer Daten gemacht. Selbst die Eingabe der CVE-Nummer wird nicht weiter geprüft

Achtung:
Wenn Sie das gemacht haben, dann sollten sie umgehend ihre Kreditkarte sperren lassen. Allein mit diesen Daten können die Angreifer schon mal auf Einkaufstour gehen, z.B. sich neue virtuelle Server und Domains kaufen. Bis Provider das merken, haben Sie schon weitere Opfer gefunden.

Ich frage mich natürlich, ob eine Bank nicht die gleichen Schutzmechanismen wie NTLM Extended Protection umsetzen könnte, z.B.: indem ein JavaScript auf dem Client das genutzte Zertifikat und die URL mit in eine Hashberechnung mit einbeziehen könnte, so das Man in the Middle-Angriff erschwert würde.

Anhand der Kreditkartennummer scheinen die Angreifer die ausstellende Bank zu ermitteln.

Umleitung auf Banking zur "Verifikation"

Die Webseite des Angreifers blenden nun nämlich den Anmeldedialog der Bank ein. Wobei es vermutlich nur so aussieht, denn alle Links am unteren Rand sind ohne Funktion.

 

Hier habe ich dann Fantasiedaten eingegeben, die der Angreifer aber wohl schon aktiv gegen die Bank prüft. Sie wurden nämlich als Falsch angezeigt. Ich habe hier dann abgebrochen, denn echte Anmeldedaten muss ich hier nicht eingeben. Dann wäre zwar immer noch die 2FA-Anmeldung dazwischen gestanden aber wer hier dann noch weiter geht, erlaubt dem Angreifer dann doch sehr weitreichenden Zugriff auf den Bankzugang.

Sollten Sie hier schon echte Daten eingegeben haben, dann sollten sie schnellstens sich auf einem anderen Browserfenster richtig anmelden und das Kennwort ihres Bankzugangs ändern. Ich hoffe  für sie, dass sie das alte Kennwort nicht noch bei anderen Diensten verwendet haben, denn mit der Mailadresse und einem Kennwort werden die Angreifer sehr schnell ganz viele anderen Dienste durchprobieren, z.B. den Zugang zu ihrem Postfach, um weitere Rücksetzlinks u.a. zu generieren.

Lernkurve

Wir sehen, wie ausgereift mittlerweile die Angriffsmuster sind und alle Versprechen von ebay, Kleinanzeigen, Vinted und anderen Plattformen, dass man innerhalb der Plattform "sicher" sei und einen Käuferschutz habe, ist keine Garantie, dass es nicht doch Hintertüren gibt. E-Mails als Bestätigungen sind bei vielen Plattformen üblich, um ihre Nutzer wieder zum Start der App zu bewegen. Dass ich aber innerhalb der App dann so problemlos auch Daten und Formulare von externen Webseiten anzeigen und absenden kann, erschreckt mich schon. Hier hätte ich mehr erwartet. Dass Vinted meine "Testfrage" so schnell als "möglicherweise schädlich" erkannt hat, ist gut, aber diese beim Empfänger spurlos zu löschen, sehe ich kritisch hinsichtlich einer Beweisführung.

Nehmen wir mit:

  • Menschen machen auch weiter Fehler und Eile ist gefährlich
    Die Freude über den ersten Verkauf sollte nicht darüber hinwegtäuschen, dass auch kriminelle Personen das Internet entdeckt haben und nach neuen Angriffsmustern Ausschau halten.
  • Vinted-Mitglieder sind weiterhin anonym
    Die Anzeige von Name und Ort ist kein sicheres Kriterium. Alle Daten können gefälscht sein und für die Anmeldung reicht eine Mailadresse. Ich habe noch keine "Verified Vinted Accounts" gesehen, um als Verkäufer oder Käufer in Vorleistung zu gehen. Dann gibt es aber wieder das Problem von "gekaperten verifizierten Accounts".
  • Angreifer haben Namen und Handynummer
    Ich bin mal gespannt, ab wann hier nun zielgerichtete SMS-Nachrichten u.a. ankommen, um den Besitzer weiter zu überlisten
  • Angreifer könnten Kreditkartendaten haben
    Wenn Sie ihren Fehler noch erkennen, dann können und sollten Sie die Karte umgehend sperren. Bei den meisten Banken geht das in der App, zumindest solange sie noch Zugriff haben. Es ist auch kein Trost, dass die Banken sehr wohl die Annahmestelle der Kreditkarte kennen und eine Buchung mit etwas Verzug vielleicht rückgängig machen können. Die Angreifer konnten mit ihre Karte aber gewisse Dienstleistungen zumindest für einen gewissen Zeitraum nutzen. Wird die Karte z.B. zum Abschuss eines Vertrags bei einem Hoster genutzt und das Geld zurückgebucht, dann hat der Hoster und nicht die Bank den Schaden. Solange der Schaden einfach zu gering ist, wird ein Hoster keine stärkere Legitimation anfordern. Er freut sich ja um jeden legitimen neuen Kunden und etwas Verlust wird mit eingeplant.
  • Kein Recycling von Zugangsdaten und 2FA verwenden
    Fangen Sie an für jede Plattform eigene Zugangsdaten zu verwalten, damit sie mit einem abgephishten Konto nicht gleich ihr gesamtes digitales Leben verlieren. So immer es möglich ist, sollten Sie auch einen zweiten Faktor aktivieren. Bei den Banken ist dies ja Standard aber bedeutet für sie natürlich auch, dass Sie aufmerksam bleiben. Wenn sie selbst den Angriff auf ihr Banking aktiv unterstützen, dann gewähren sich vermutlich auch den zweiten Faktor.
  • Spamfilter in Firmen
    Was ein Mitarbeiter privat macht, hat den Arbeitgeber nur zu interessieren, wenn es ihn auch betrifft. Wenn aber Mitarbeiter z.B.: über ihr Firmenkonto solche Dienste nutzen, dann ist das eine private Nutzung, die ich lieber untersage. Das sollte auch im Interesse des Mitarbeiters sein, der bei einem Arbeitgeberwechsel seine Mailadresse ja nicht mitnehmen kann. Entsprechend könnten Spamfilter z.B. Mails auf das Auftreten von Schlüsselworten oder Logo untersuchen und unterbinden.

Letztlich bleibt aber der Mensch das schwache Glied in der Kette. Im nachhinein kann man gerne ein "Wie blöde warst du denn.." ausrufen aber das hilft weder dem Opfer noch den zukünftigen Opfern. Da nicht

Weitere Links