Theoretische Phishing-Attacken gegen VZ-Netzwerke

Einen weiteren Beitrag zur Aktion „Die VZs sollen sicherer werden“ hat Carsten de Vries geschrieben. Er berichtete uns vor zwei Wochen über eine Sicherheitslücke in der VZ-Software, über die man im Namen der VZ-Gruppe Mails verschicken konnte. Mit Hilfe dieser Sicherheitslücke hätte man Phishing-Attacken starten können. Wir haben die Informationen über die Sicherheitslücke an die VZ-Gruppe vermittelt, sie wurde halb geschlossen, aber die Angriffsmethode funktionierte immer noch. Erst nachdem wir drohten, diesen Artikel mit der konkreten Beschreibung der Lücke und einer Angriffsmethode zu veröffentlichen, wurde die Lücke jetzt von der VZ-Gruppe als Lücke akzeptiert und ganz geschlossen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

16 Ergänzungen

  1. ?!?

    Der Absender einer E-Mail ist sowieso frei wählbar. Man braucht keine Formulare zu manipulieren, um Mails mit MeinVZ als Absender zu verschicken.

    Ist mir hier jetzt irgendwas entgangen?

    1. @SD: Jein. Man könnte zwar die Absenderadresse (email, und Name) manipulieren, allerdings ist es völlig unmöglich die Server-Absenderadresse zu fälschen und so aussehen zu lassen, als würde sie von einem offiziellen VZ Server kommen.

      1. @markus:

        Nunja, aber wer so sicherheitsbewusst (paranoid?) ist, dass er im Mail-Header verifiziert, ob die Mail auch tatsächlich vom SVZ-Server kommt, dem wird auch die Fishing-Attacke auffallen. Und alle anderen hätten nicht gemerkt, ob die Mail vom SVZ-Server oder einem Spambot kommt.

  2. Warum müsst ihr eigentlich „drohen“? Entweder ohne Abstimmung (mir geht das ganze Rücksichtgenehme sowieso ordentlich gegen den Strich) oder in Abstimmung mit SVZ veröffentlichen. „Drohen“ ist vielleicht nicht ganz die feine Art oder?

    1. @Christian: Wir haben freundlich darauf hingewiesen, dass wir die Sicherheitslücke publizieren werden und Zeit eingeräumt, die Lücke zu schließen. Unsere Motivation ist in diesem Fall ein besserer Datenschutz durch Datensicherheit.

  3. Der letzte Satz ist einfach unfassbar. Super, wie die VZ-Netzwerke mit solchen Sicherheitslücken umgehen, die gemeldet werden.

    Gerade jetzt sollten die VZ-Netzwerke sofort reagieren wenn sie solche Hinweise kriegen. o.O

  4. @Jonas (5): Ist so nicht korrekt. Viele eMail-Clients, wie z.B. Thunderbird verifizieren die Serveradresse gegen Links, die in den eMails enthalten sind. In deinem Szenario (Spambot) wären die Domains nicht deckungsgleich und der eMail-Client würde in diesem Fall schon vor einer „Phishing“-Attacke warnen.
    Diese Warnung wird in dem o.g. Fall nicht ausgespuckt, von daher halte ich deine These für sehr gewagt.

    @SD: Erstens hat hier keiner über eine Manipulation von Formularen gesprochen. Und zweitens ist hier denke ich mehr als eindeutig beschrieben, dass es hier primär darum geht, dass die eMail von einem offiziellen VZ Server stammt.

  5. Nachtrag: Desweiteren hat ein potentieller Angreifer normalerweise überhaupt keine Kenntnis über die eMailadressen der Opfer. Ohne diese Lücke könnte man also einen solchen Angriff nur durchführen, wenn man die eMailadresse seines Opfers kennt. In dem oben beschriebenen Artikelt braucht man die Adresse nicht zu kennen. Es genügt, wenn das Opfer ein „VZ-Freund“ ist.

  6. @Carsten: Stimmt, da hatte ich wohl etwas kurz gedacht.

    Abgesehen davon, wollte ich das auch nicht als Argument anbringen, dass das „nicht so schlimm“ sei. Ich bin ebenfalls der Meinung, dass das sofort gefixt gehört – und nicht nur auf mehrfaches Nerven und Drohen.

  7. Drohen ist die einzige Art. Denn ein oder zwei Leser würden eine veröffentlichte Lücke ausnutzen. Damit wäre das hier nicht nur journalistische Arbeit sondern gleichzeitig Beihilfe zum Phishing (inwieweit das ne Straftat ist habe ich keine Ahnung) und unser armer Autor hier würde viel Hate abkriegen von Leuten, die ihm unterstellen die „Hackerszene“ zu unterstützen.

  8. Also ob man jetzt ein Formular verfummelt oder direkt den HTTP-Request ändert, kommt mal so ziemlich auf’s gleiche hinaus.

    Und ich würde mal behaupten bevor jemand nachschaut von welchem Server die Mail gekommen ist, schaut er sich eher den Link in der Mail genauer an. Im Feld „Gesendet von“ steht auf jeden Fall nicht der Server, sondern irgendwas x-beliebiges.

    Und das E-Mail-Programm, das jedes Mal „Phishing!“ schreit, wenn ein Link in einer E-Mail ist, der nicht mit der Domäne des Absenders übereinstimmt, will ich auch erstmal sehen. Dessen Anwender tun mir auf jeden Fall mal Leid. :P

    Was natürlich unschön ist, ist dass man die Mail-Adresse dafür nicht kennen muss, aber ein „Freund“ des Opfers zu sein dürfte wohl auch eine gewisse Hürde darstellen.

  9. Zu der Sicherheit bei VZ muss man nach diesem Artikel wohl nichts mehr sagen.

    Die VZ-Verantwortlichen haben aus der angeblichen Erpressung nichts gelernt und sind nicht gewillt Lücken zu schließen.

    Es ist schon mehr als grob fahrlässig was einige Firmen sich leisten, in meinen Augen sogar indirekte Beihilfe zu betrügerischen Aktivitäten, da besagte Lücke bewusst offen gelassen wurde.

    (Davon ab wäre es das sinnvollste gewesen den VZ-Link fest in die E-Mail einzubauen, anstatt ihn via URL einzubinden.)

  10. @SD(11): „Im Feld “Gesendet von” steht auf jeden Fall nicht der Server, sondern irgendwas x-beliebiges.“ <– Ich verstehe nicht, was du damit meinst. Kannst Du das bitte mal erklären?

    "Und das E-Mail-Programm, das jedes Mal “Phishing!” schreit, wenn ein Link in einer E-Mail ist, der nicht mit der Domäne des Absenders übereinstimmt, will ich auch erstmal sehen. Dessen Anwender tun mir auf jeden Fall mal Leid. :P"

    Hab' ich Dir doch grad gesagt, welches eMailprogramm das beispielsweise macht!?
    Ob dir die Anwender leid tun oder nicht, tut hier ja glücklicherweise nichts zur Sache.

    @Simon(12): "(Davon ab wäre es das sinnvollste gewesen den VZ-Link fest in die E-Mail einzubauen, anstatt ihn via URL einzubinden.)". Seh ich genauso. Man hätte sich allerdings auch einfach mal 5 Minuten Zeit nehmen können, um einen vernünftigen regulären Ausdruck zu erstellen. ;)

  11. Also da ich aus dem Screenshot heraus nicht erkennen kann welcher Client bzw. Web-Mailer das ist, kann ich auch nicht 100% sicher sagen, was hier als „Gesendet von“ angezeigt wird, aber ich bezweifle stark, dass es das Ergebnis eines Reverse-Lookups auf die IP des versendenden Servers ist. Ich schätze mal eher, dass es irgendeine Header-Information ist und die kann der Absender vollkommen frei nach Lust und Laune angeben.

    Schön ist das zwar nicht, was die VZ’ler da machen und gefixt werden sollte das natürlich auch, aber wenn ich das alles richtig verstanden habe, dann geht das alles auch ohne diese Lücke fast so effizient.

  12. @SD (14): Ich helfe Dir gerne. Im „Gesendet von“ Feld des Screenshots ist folgender Server angegeben: „lm.meinvz.net“.

    „Ich schätze mal eher, dass es irgendeine Header-Information ist“

    Das ist falsch geschätzt. ;)

    „[…] dann geht das alles auch ohne diese Lücke fast so effizient.“

    Wenn du mit „fast“ meinst, dass man ohne diese Lücke keine eMailadressen hat und auch keinen offiziellen VZ Server angeben kann, dann hast du Recht.

  13. ——-
    Ich helfe Dir gerne. Im “Gesendet von” Feld des Screenshots ist folgender Server angegeben: “lm.meinvz.net”.
    ——-
    Ja, danke, zum Lesen bin ich gerade noch so in der Lage. ;)

    ——-
    “Ich schätze mal eher, dass es irgendeine Header-Information ist”

    Das ist falsch geschätzt. ;)
    ——-
    Was ist es dann?

    ——-
    “[…] dann geht das alles auch ohne diese Lücke fast so effizient.”

    Wenn du mit “fast” meinst, dass man ohne diese Lücke keine eMailadressen hat und auch keinen offiziellen VZ Server angeben kann, dann hast du Recht.
    ——-
    Das mit dem Server halte ich, wie gesagt, für überschätzt, da keine Sau den wirklichen Absende-Server überprüft.
    Das mit den Adressen ist unschön, das stimmt wohl, aber wer ist schon mit einem Phisher befreudet? :P

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.