Jean-Claude Kiener, dip. Inf. Ing. FH

Senior Information Security Expert
© summo.ch 2004 - 2019



Phishing

Im Moment ist ein Phishing im Namen der UBS für 3-D Secure unterwegs und wenn man nicht genau hinschaut ist die Kreditkarte weg!
Wie das Ganze vor sich geht, zeige ich hier kurz an dem Beispiel, das gerade in Umlauf ist:

Man erhält als erstes eine Mail mit folgendem Inhalt:
mail
Was man im Text beachten sollte ist, dass ein «ö» oder «ü» als «oe» oder «ue» geschrieben ist. Die Abschlussklausel ist sicherlich auch nicht UBS-konform.

Wen man nun auf den Link "Klicken Sie hier" geklickt hat, kommt man auf folgende Seite:
erste Seite
Die Webseite wird nicht bei der UBS aufgerufen, sondern bei der IP-Adresse 178.--.--.---, dazu ist die Seite ohne Zertifikat versehen. Wenn man also genauer hinschauen würde, müsste man das sogleich sehen und entsprechend den Vorgang abbrechen. Ich wollte prüfen, wie das nun also weiter geht und so wie nachstehend beschrieben, sieht es dann aus.

Wird eine Kreditkartennummer eingegeben, wird überprüft, ob die Kreditkartennummer gültig ist - das ist ein relativ einfacher Vorgang im Hintergrund. Wenn eine Kreditkarte eines anderen Anbieters benuzt wird, wird das ebenso bemerkt und man erhält die Information, dass es die falsche Karte ist.
Werden die Bestimmungen angeklickt, werden die echten Bestimmungen für 3-D-Secure der UBS heruntergeladen (ist ein PDF-File) und angezeigt. Sieht also für den Benutzer alles (bis auf das Erwähnte) echt aus.

Mit der Akzeptanz der Bestimmungen und der Kreditkarte kommt man dann auf folgende Seite:
zweite Seite
Nun werden alle Informationen der Kreditkarte und die Kartenkontonummer verlangt. Damit noch nicht genug, auch das Geburtsdatum wird gleich abgefragt, damit man dann wirklich alles hat, was man so braucht - im Falle wenn man bei der UBS anrufen möchte und nach dem Geburtsdatum gefragt wird! Und auch hier müssen die Bestimmungen der 3-D-Secure akzeptiert werden.

Somit gelangt man nun zum 3-D-Secure:
erste Seite
Wir haben immer noch die falsche IP-Adresse/Seite offen und man darf nun den Code für 3-D-Secure eingeben!
Damit haben die "Angreifer" auch gerade diese Information zur Verfügung und wissen damit auch, wie Sie ihre Codes definieren sollen.

und dann kommt man zur echten Seite von UBS:
echte Seite
Nun haben wir in der Adressleiste die echte Webseite der UBS und könnten uns bei der UBS anmelden...
Mit diesem kurzen Vorgang haben aber die "Angreifer" nun eure Kreditkarte der UBS, mit allen euren Informationen wie Name, Kreditkartennummer, Sicherheitscode der Kreditkarte, Verfalldatum, Kartenkontonummer, Geburtsdatum, etc.
damit habt ihr nun sozusagen verloren!

Woher kam die Phishing-Mail?

Wenn man die Phishing-Mail zurück verfolgt, dann wird erst ein Server in Amerika aufgerufen. Von dort aus ging er nach London und danach lief das Ganze auf ein Server in Russland.

Was war speziell?

Wird die Seite von einem anderen Land als der Schweiz aufgerufen, reagiert der Link anders! Wird die Seite aus Russland aufgerufen, zeigt der Server an, dass die Seite nicht verfügbar ist. Wird die Seite aus Frankreich, Holland, Italien, Deutschland oder aus einem anderen europäischen Land aufgerufen, wird man direkt umgeleitet zu Google.
Nur wenn der Link aus der Schweiz aufgerufen wird, dann erhält man die Webseite mit den Angaben der UBS !