Also...
Wie macht man so was? Kleiner Leitfaden für den ambitionierten Phishing-Mail-Versender.
Zuerst suchen wur uns ein Internet-Cafe, das nicht vollautomatisiert ist. Also besser ein kleines. Ich habe da gute Erfahrungen mit den Hinterzimmer-INet-Cafes von türkischen (sorry, jedenfalls mit meist kopftuchtragendem Migrationshintergrund) Handyläden mit Post- oder Hermesannahme gemacht. Dort suche man sich einen bis mehrere Rechner und prüft, ob der die Cookies nicht etwa löscht, wenn er geschlossen wird.
Ist der Betreiber so freundlich und lässt einem diese Infos, ist man schon mal gut aufgestellt. Sonst muss man dafür sorgen, dass die Session-Cookies von ebay eben erhalten bleiben. Kleine Änderung im Browser, das wars dann schon.
Loggt sich nun einer der Besucher bei ebay ein, setzt ebay seit kurz vor Ostern 2011 (oder 2010?) automatisch den Haken "Ich will auf diesem Rechner eingeloggt bleiben". Unabhängig davon, was man selber mal in den Einstellungen in mein ebay vorgegeben hat. Im Gegenteil schlägt dieser (überflüssige) Haken auf die Einstellungen durch statt umgekehrt. Lässt man also diesen Haken ein einziges Mal in der Einloggmaske drin, wird die Einstellung in mein ebay dahingehend verändert. Aber nur in diese Richtung, umgekehrt den Haken auf die Art aus den Einstellungen entfernen klappt nicht. Hoffen wir also, dass wir auf einen vergesslichen ebay-Nutzer stoßen. Das kommt öfter vor als man denkt.
Schön. Wir haben nun die Voraussetzungen für diese Mail. Denn wenn der arglose Besucher nun das Cafe verlässt, holen wir uns einen bis mehrere Mokka (lecker, deshalb vorhin: türkischer Handyladen) und machen uns an die Arbeit. Wir rufen selber ebay auf. Dann rufen wir mein ebay auf. Naja, eher sein ebay. Nein, ändern wollen wir in den Daten nichts. Wir brauchen nur die Klardaten des Accounts. Die stehen in den Adresseinstellungen und da kommen wir ohne weiteren Login rein, wenn wir nichts ändern wollen. Wollen wir ja auch gar nicht.
Nun nehmen wir einen Artikel und klicken auf "Empfehlen". Da das Session-Cookie ja noch existiert, empfiehlt uns also der Vorgänger diesen Artikel. Und weil ebay nicht als Mitstörer für Spam herangezogen werden will (eigentlich sinnvoll) geht diese Mail mit der bei ebay hinterlegten Mailadresse des Accounts raus. (Wer also vergessen hat, welche Mailaddi er selber mal angegeben hatte: so kommt man da wieder dran) In das Feld "Schau mal, wäre dieser Artikel nichts für dich" kopieren wir die Adresse, die wir eben gelesen haben, denn die wäre ja was für uns. Können wir uns also uneingeschränkt empfehlen. Schon haben wir zusammen, was zusammen gehört: Mailadresse, Vorname, Name, Straße, Ort. Alles in einer Mail. Praktisch. Also raus aus der Kiste und noch einen Mokka, der nächste Häkchen-ebayer kommt garantiert.
Nun basteln wir uns zuhause einen kleinen Mailserver. Dem verpassen wir händisch eine gültige IP-Adresse eines ebay-Servers und setzen den Apache so auf, dass er behauptet, ebay.de zu heissen. Im Prinzip wären jetzt zwei Server mit identischer IP und identischer Domain im INet. Das geht so natürlich nicht. Muss es auch gar nicht, wir brauchen ja nur einen Mailausgangsserver. Den können wir ohne Probleme hinter einem Uplink-Server vestecken, da sieht ihn von aussen keiner, weil zu uns ja kein Routing reingeht. (Der Umweg ist wichtig, weil manche Freemailer auch die Absender-IP prüfen um sicherzustellen, dass die Mail von ebay stammt und wir wollen ja nicht als Scammer dastehen...)
Anschliessend nehmen wir die 500 Datensätze, die wir zwischen Gründonnerstag und Ostermontag abgreifen konnten und schicken an die uns bekannten Mailadressen mit den uns freundlicherweise empfohlenen Anmeldedaten eine Mail:
An: [mitgliedsname]
Von: eBay
-----------------------------------------------------------------
Betreff: Bitte verifizieren Sie Ihren ebay-Account erneut
-----------------------------------------------------------------
-----------------------------------------------------------------
eBay hat diese Mitteilung an [Vorname] [Zuname] ([mitgliedsname])
gesendet.
Ihr Vor- und Nachname in dieser Mitteilung sind ein Hinweis darauf, dass die Nachricht tatsächlich von eBay stammt.
Mehr zum Thema:
http://pages.ebay.de/help/confidence/name-userid-emails.html
-----------------------------------------------------------------
-----------------------------------------------------------------
Sicherheitsüberprüfung Ihres ebay-Kontos
-----------------------------------------------------------------
Bitte schicken Sie uns eine beidseitige Kopie Ihres Personalausweises. Sie können diese Kopie gerne als Scan einsenden, indem Sie sie als Antwort auf diese Mail senden(...)
Mit freundlichen Grüßen
Maximilian Redtnich-Mitandern
- eBay Sicherheitsabteilung -
Da ebay sowieso viele unnötige und teilweise grenzdebile Mails verschickt, ist so ein Unsinn natürlich jederzeit im denkbaren Rahmen. Unnötig zu erwähnen, dass diese Antwort-Mail natürlich nicht an ebay geht sondern an uns, weil wir im reply-to die Domain nur vorschieben und statt dessen tatsächlich eine dezimale IP angeben, damit das nicht auffällt sondern nach einem Hashwert aussieht. Dem Mailserver des Absenders ist das aber egal, der schickt die Mail auch an eine Mailaddi aus localpart@IP-Adresse, also brav an uns.
Mal nachdenken. Was haben wir jetzt? Eigentlich alles, was wir brauchen, um selber einen ebay-Account auf den Namen anzulegen, der auch der Schufa-Prüfung sofort standhält. Dazu eine Kopie des Persos, mit dem wir ein Online-Konto bei der Postbank ohne größere Probleme eröffnen können und auch sonst alle notwendigen Daten um einen Paypal- und einen Skrill-Account für unseren Fish zu eröffnen.
Hmmm... warum sollen wir dann eigentlich noch phishen? Ok, der Vollständigkeit halber. Wir sind ja ordentliche deutsche Gauner, bei uns muss alles seine feldmarschmäßige Ordnung haben und wir machen keine halben Sachen, jawoll (engl: Yessir!). Eine personalisierte Phishing-Mail unter dem Pseudonym Paypal zu verschicken geht nun genau so simpel. Wieder verwenden wir den Trick mit dem eigenen Server hinter dem Uplink und lassen sogar eine reverse DNS-Auflösung zu. Unser Server meldet sich ja als https://www.paypal.com, wenn man ihn fragt. Haben wir ihm schliesslich so gesagt. Für 50 Euro oder so bekommen wir auf ebay sogar einen zweiten Rechner, den wir da hinstellen können, dann können wir parallel ebay und Paypal sein. Fein, das.
Ok, schicken wir unserem Fish-Patienten also eine schöne bunte Paypal-Mail die ihn darüber informiert dass er einen Paypal-Gutschein über 20 Euro erhalten hat und danke für die Teilnahme am sicherererersten Zahlunsgsystem der Welt*)
*)mit Ausnahme der westlichen und östlichen Hemisphäre
Die schaut er sich an und versucht den Gutschein abzurufen. Oder auch nicht. Anschauen in der Vorschau reicht uns schon. Das Flash, das ihm die hübsche Videobotschaft übermittelt, hat ihm gleichzeitig die rechnerinterne DNS-Auflösung so verbogen, dass er zukünftig alle Anfragen an Paypal statt an Paypal an uns schickt. Wir rufen dann die Informationen bei Paypal ab und leiten sie ihm weiter. Nicht ohne mir vorher eine Sicherungskopie davon gemacht zu haben. Datensicherheit wird schliesslich großgeschrieben, da wollen ich nicht zurückstehen und einen kostenlosen Datensicherungsservice - wer hat das schon? Ausserdem schicken wir ihm auf diesem Weg ein weiteres Flash zu, das uns ermöglicht, nach Belieben weitere DNS-Zuordnungen auf seinem Rechner vorzunehmen. ebay wäre da eine schöne Sache, denn wir kommen zwar oberflächlich bei ihm rein, aber wir hätten ja schon noch gerne sein Passwort. (Kleiner Nebeneffekt am Rande: da wir für den Rechner des Gephishten "ebay" heissen können wir auch ins Auge fassen, zukünftig die Cookies von ebay auf diesem Rechner auszulesen. Ganz ohne XSS, einfach nur als MITM)
Auch das Online-Banking wäre vielleicht ab und zu brauchbar. Die machen zwar viel Theater, weil sie ja inzwischen mit iTan oder mit diesen Generatoren arbeiten, aber was solls? Unser Server kriegt die Daten von der Bank und was der dann wohin weiterschickt (zum Beispiel Forumlareingaben welcher Betrag auf welches Konto) das bestimmen immer noch wir. Da wir ja noch das Postbankkonto von oben haben, überweist er sich das Geld einfach selber auf sein eigenes Konto. Unter den Umständen einen Betrug anzuzeigen wird der Polizei schwer zu vermitteln sein.
Warum das nicht so gemacht wird, wenn das so problemlos geht? Weil es noch genügend Nasen gibt, die auf eine Mail hin die Aufforderung "Bitte nennen Sie uns ihren Login und ihr Passwort und tragen Sie es bei fraud-me.ru ein" befolgen und genau das machen. Also warum den Aufwand treiben, wenn es viel einfacher geht?
Zurück zum Thema: wie man auf einfachste Art an die Klardaten eines ebay-Accounts kommen kann, wisst ihr nun. Manche sind aber auch einfach so dusslig (soll keine Unterstellung an den TE sein) und stellen die Daten frei verfügbar ins Netz wo sie dann rumlungern und darauf warten, dass sie jemand abholt.
Nochmals vielen Dank für Ihren Einkauf bei eBay!
Erst wenn der letzte Artikel beendet,
der letzte Käuferschutzfall geschlossen,
der letzte Verkäufer gegangen ist,
werdet ihr merken,
dass man von den Gebühren der Käufer
nichts zu essen kaufen kann.
(Weissagung an eBay)
)
)
Raubtier nicht wecken! 
