Auch Betrüger haben Rechte

Vor kurzem stießen wir auf eine vom technischen Standpunkt aus gesehen interessante Art, an persönliche Informationen zu gelangen. Einer unserer Kunden erhielt eine E-Mail, in der ihm mitgeteilt wurde, dass irgendwer seine Live ID zum Spam-Versand benutzt habe, weswegen sein Account nun gesperrt werden würde. Um das zu verhindern, sollte der Anwender auf einen Link klicken und die neuen Sicherheitsanforderungen des Services erfüllen.

Das alles klingt wie die Beschreibung einer typischen Phishing-Mail. In diesem Fall würde das Opfer dann aufgefordert werden, auf einen Link zu klicken, der ihn auf eine gefälschte Seite führt, die eine offizielle Seite des Dienstes Windows Live imitiert, um dort Daten einzugeben, die dann wiederum an die Betrüger geschickt würde. Doch zu unserer großen Überraschung führte der Link aus der Betrüger-Mail tatsächlich auf die Website von Windows Live und die Verbrecher versuchten nicht, die Anmeldedaten des Opfers zu stehlen. Sie gingen sehr viel raffinierter vor.

Betrugsschema

Worin liegt also die Gefahr, wenn man auf den mitgelieferten Link klickt, da er doch tatsächlich auf den offiziellen Service von Microsoft führt?

Betrügerische Mail

Die Sache ist die, der Live ID-Account kann auch für andere Dienste genutzt werden. Unter anderem für Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger oder OneDrive. Ein Cyberkrimineller erhält infolge der Attacke im Namen des Opfers keinen direkten Zugriff auf diese Dienste. Er kann aber trotzdem persönliche Informationen stehlen, die in den Anwenderprofilen dieser Services enthalten sind, und diese zu betrügerischen Zwecken verwenden.

Wenn man auf den Link aus der Mail klickt, landet man auf dem offiziellen Service live.com, wo man gebeten wird, sich zu authentifizieren, indem man seinen Benutzernamen und sein Passwort eingibt:

Nach erfolgreicher Autorisierung fallen Benutzername und Kennwort nicht den Cyberkriminellen in die Hände, wie man vielleicht vermuten könnte (und wie es normalerweise auch der Fall ist). Nein, man autorisiert sich vielmehr tatsächlich bei live.com. Daraufhin erhält man eine interessante Anfrage von dem Service:

„Darf die Anwendung auf Ihre Daten zugreifen?“

Irgendeine Anwendung bittet um die Erlaubnis, sich automatisch einzuloggen, die Profilangaben und Kontaktliste einzusehen und auf die E-Mail-Adressen zuzugreifen. Klickt man auf „Ja“, überträgt man der Anwendung solche Rechte und stellt somit den Autoren der App die eigenen persönliche Informationen zur Verfügung wie auch die E-Mail-Adressen der eigenen Kontakte, die Spitznamen und Namen von Freunden usw. Da wir in diesem Fall nichts über die Anwendung und ihre Autoren wissen, ist anzunehmen, dass die auf diese Weise gesammelten Daten zu betrügerischen Zwecken verwendet werden. Wir weisen nochmals darauf hin, dass Benutzername und Kennwort dabei geheim bleiben.

Wie funktioniert das?

Technisch ist alles recht einfach. Es gibt das spezialisierte offene Autorisierungsprotokoll OAuth, das es Dritten ermöglicht, ohne Eingabe der Login-Daten eingeschränkt auf geschützte Ressourcen des Anwenders zuzugreifen. Häufig verwenden die Entwickler von Webanwendungen dieses Protokoll für Soziale Netzwerke, wenn ihre Apps für die Arbeit irgendwelche Daten benötigen, beispielsweise Zugriff auf die Kontaktliste. Für die Anwender selbst besteht der Vorteil darin, dass wenn sie sich bei dem Service angemeldet haben, nicht jedes Mal Kennwort und Nutzername eingeben müssen, bevor sie der Anwendung die Zugriffserlaubnis erteilen.

Lücken in der Sicherheit des Protokolls OAuth sind schon seit langem bekannt – Anfang des Jahres 2014 beschrieb ein Student aus Singapur mögliche Methoden, Anwenderdaten nach der Autorisierung zu stehlen. Allerdings registrierten wir bisher keine Phishing-Mails, in denen Cyberverbrecher versuchen diese Methoden auch in die Praxis umzusetzen.

In unserem Fall landet ein Anwender,der auf den von den Betrügern gesendeten Link — hxxps://login.live.com/oauth20_authorize.srf? client_id=00xxx4142735&scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails &response_type=code&redirect_uri= hxxp://webmail.code4life.me/hot/oauth-hotmail.php — geklickt hat, auf einer Autorisierungsseite, wo er nach der Bestätigung der in den Parametern des Links kodierten Rechte für die Anwendung gefragt wird. Im Fall einer positiven Antwort wird der Nutzer auf hxxp://webmail.code4life.me/hot/oauth-hotmail.php umgeleitet, in dessen URL nach dem Parameter “code” “access token” (hxxp://webmail.code4life.me/hot/oauth-hotmail.php?code=36cef237-b8f6-9cae-c8e4-ad92677ba) hinzugefügt wird, der daraufhin von der Anwendung direkt aus der Adresszeile abgefangen wird. Daraufhin wird dieser “access token” von der Anwendung für die Kommunikation mit den geschützten Ressourcen verwendet. Generell beschränken sich die Möglichkeiten von OAuth nicht nur auf die Authentifizierung und Autorisierung. Nachdem im Autorisierungsprozess der Token erhalten wurde, kann man das Protokoll für die weitere Integration der Möglichkeiten eines Webservices oder sozialen Netzes in die eigene Ressource nutzen — Lesen, Verfassen von Postings, Zugriff auf die Freundesliste und die Pinnwand und vieles mehr.

Wenn man sich den übermittelten Link einmal genauer ansieht, erkennt man die Parameter wl.signin, wl.basic, wl.emails und wl.contacts_emails. In genau diesen Parametern sind auch die Erlaubnisebenen kodiert, die die Anwendung bei dem Nutzer anfragt:

  • wl.signin – einmalige Registrierung, dank derer die Anwender, die bereits in Windows Live eingeloggt sind, automatisch bei jeder anderen Website registriert werden, die diesen Autorisierungstyp unterstützt;
  • wl.basic ermöglicht den Zugriff auf das Lesen der wichtigsten Profilangaben des Anwenders, wie z.B. Spitzname, Vor- und Nachname, Geschlecht, Alter, Land sowie seine Kontaktliste;
  • wl.emails – Zugriff auf das Lesen persönlicher, bevorzugter und auch dienstlicher E-Mail-Adressen des Anwenders;
  • wl.contacts_emails eröffnet Zugriff auf die E-Mail-Adressen aller Kontakte des Anwenders.

Es gibt noch eine große Zahl anderer Parameter, die Erlaubnisse gewähren, beispielsweise auf den Erhalt von Fotografien sowohl des Anwenders als auch seiner Kontakte, Angaben über Geburtstage, Terminlisten und Listen wichtiger Ereignisse. Faktisch ist ein Krimineller, der über alle diese Informationen verfügt, in der Lage, ein Profil eines Menschen zu erstellen, zu erfahren, womit sich dieser beschäftigt, wann er nicht zu Hause ist, mit wem er befreundet ist und mit wem er sich trifft, um dieses Wissen dann zu verbrecherischen Zwecken zu nutzen.

Im Laufe weiterer Untersuchungen konnten wir noch einige ähnliche Phishing-Mails aufspüren, die Links auf den offiziellen Service von Microsoft enthielten. In allen Fällen fragten die Cyberkriminellen bei den Opfern Identifikationsinformationen an (Profilangaben, E-Mail-Adressen, Kontakte), sie unterschieden sich nur durch die Adresse der Platzhalterseite, auf der die betrügerische Anwendung platziert wurde.

hxxps://login.live.com/oauth20_authorize.srf?client_id=000000004C1xxx06& scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code& redirect_uri=http://soluciones-ntflix.com/web/oauth-hotmail.php
hxxps://login.live.com/oauth20_authorize.srf?client_id=000000004C1xxx3C& scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code& redirect_uri=http://registros-promos.com/web/oauth-hotmail.php
hxxps://login.live.com/oauth20_authorize.srf?client_id=00000000441xxx1B& scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code& redirect_uri=http://applications-registro.com/web/oauth-hotmail.php
hxxps://login.live.com/oauth20_authorize.srf?client_id=00000000441xxx17& scope=wl.signin%20wl.basic%20wl.emails%20wl.contacts_emails&response_type=code& redirect_uri=http://estimaciones-serv.com/web/oauth-hotmail.php

Man darf nicht vergessen, dass einige Anwendungen für soziale Netzwerke ebenfalls das Protokoll OAuth verwenden.

Beispiel für die Zuweisung von Rechten gegenüber einer Anwendung bei Facebook

Eine von Cyberkriminellen entwickelte App kann beim Opfer um die Erlaubnis zum Posten von Kommentaren und Fotografien an der Pinnwand bitten, zum Lesen und Senden persönlicher Nachrichten, zum Schreiben von Gästebucheinträgen. Diese Möglichkeiten könnten für die Verbreitung von Spam, Links auf Phishing-Mails und schädliche Websites ausgenutzt werden.

Fazit

In dem von uns untersuchten Fall werden die Informationen höchstwahrscheinlich zusammengetragen, um mit ihrer Hilfe Spam über das Adressbuch des Opfers zu verbreiten oder um gezielte Phishing-Attacken (Spear-Phishing) durchzuführen.

Will man den Betrügern nicht zum Opfer fallen, sollte man keine Links in E-Mails oder in persönlichen Nachrichten innerhalb Sozialer Netzwerke anklicken. Noch wichtiger ist es aber, keinen unbekannten Anwendungen Zugriffsrechte auf die eigenen persönlichen Daten zu gewähren. Bevor man auf den „Zustimmen“-Button klickt, sollte man sich aufmerksam die Beschreibung der Zugriffsrechte auf den Account durchlesen, die die Anwendung erhält und damit den Grad der Bedrohung abschätzen. Informationen und Rezensionen über eine Anwendung findet man im Web. Zudem kann man in jedem Netzwerk oder Webservice in die Profil-/Account-Einstellungen gehen und nachschauen, über welche Rechte die derzeit installierten Apps verfügen und diese bei Bedarf einschränken.

Beispiel für die Zuweisung von Rechten bei Google

Wenn Sie in Erfahrung gebracht haben, dass eine Anwendung bereits in Ihrem Namen Spam oder schädliche Links verbreitet, können Sie sich an das Management des Sozialen Netzwerkes oder Web-Services wenden und den Account blockieren lassen. Und wenn Sie sich bei irgendeinem Web-Service oder Sozialen Netzwerk autorisieren müssen, gehen Sie besser direkt auf die offizielle Webseite, indem Sie manuell die Adresse im Browser eingeben. Und schließlich: Achten Sie darauf, dass die Datenbanken Ihrer Antiviren-Software mit einer Technologie zum Schutz vor Phishing immer auf dem neusten Stand sind.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.