Hier im Blog habe ich in den vergangenen Tagen und Wochen ja über sicherheitskritische Fragestellungen gebloggt. Da gab es die Word Online-App, die (neben meinem MVP-Kollegen Martin Geuß von Dr. Windows) mir irgendwo recht obskur vorkam. Und es gab den Phishing-Angriff auf Sparkassenkunden, wo sich die vermeintlich Zuständigen (zumindest in meinen Augen) wegduckten. Bei beiden Aktionen habe ich versucht, hinter den Kulissen eine Klärung/Lösung zu erreichen. Daher an dieser Stelle eine kleine Nachlese, wo wir stehen – quasi „ein Stück aus dem Leben“, welches die Irrungen und Wirrungen beschreibt, die ich kennen gelernt habe. Und es gibt da die Leute, die einem dann doch unkonventionell weiter helfen.
Ist die Windows-App „Word Online“ sicher?
Letzten Montag hatte ich im Beitrag Kuriose App „Word Online“ im Windows Store– nur ein Fake? über eine obskure App berichtet, die den Zugriff auf Word Online ermöglicht. Unklar ist, wer hinter dieser App steckt – kritisch, da dort Anmeldedaten für ein Microsoft Konto abgefragt werden.
Ich habe daher die Microsoft Pressebetreuung auf die Sache angesetzt und um ein Statement von Microsoft gebeten. Weil es schon später Abend war, ging die Mail an die Pressebetreuung in den USA mit cc an den deutschen Microsoft Presseservice. Zwischenzeitlich hatte ich sowohl von dem externen Microsoft-Dienstleister in den USA als auch von der deutschen Pressebetreuung eine Rückmeldung, dass man sich drum kümmere.
Eine Stellungnahme seitens Microsoft habe ich zwar noch nicht, wer aber die Windows Store-Seite der App Word Online im Browser aufruft, wird zwischenzeitlich mit folgender Meldung begrüßt.
Fall also geklärt, die App war wohl obskur. Von dieser Stelle auch ein großes Dankeschön an die Pressebetreuung von Wagger Edstrom Communication und an den deutschen Presseservice von Microsoft für’s Kümmern. Thumbs up!
Phishing-Angriff auf Sparkassen-Kunden
Der zweite Fall, über den ich hier gebloggt habe, war der (in meinen Augen gut gemachte) Phishing-Angriff auf Sparkassen-Kunden. Ich hatte das Glück, diese Phishing-Nachricht selbst zu bekommen und habe mich an der Analyse versucht. Erste Erkenntnisse hatte ich im Blog-Beitrag Achtung: Aktueller Phishing-Angriff auf Sparkassen-Kunden zusammengetragen.
Ich war zwar nicht betroffen, da ich die Mail sofort als Phishing-Versuch erkannte. Aber ich habe mir mal die Mühe gemacht, zu versuchen, diesen Angriff auszuhebeln. Naiv wie ich nun mal bin, hatte ich die Sicherheitsabteilung der Sparkassenorganisation sowie das Bundesamt für Sicherheit angemailt und über das Problem informiert. Dachte: Ok, da sitzt ein gut dotierter und motivierter Mitarbeiter oder ein Stab, der sich um die Sache kümmert.
Gibt da den Spruch „Man hat schon Pferde vor der Apotheke kotzen sehen“. Der fiel mir spontan ein, als ich die Antworten der Sparkassenorganisation und des BSI las. Die Details zu den „kotzenden Pferden“ (hier bildlich vor der Sparkasse) habe ich dann in den Kommentarnachträgen zum Blog-Beitrag Achtung: Aktueller Phishing-Angriff auf Sparkassen-Kunden zusammengefasst.
Weiterhin habe ich im Nachgang selbst versucht, mit den Betreibern der gehackten Server Kontakt aufzunehmen und diese über den Angriff zu informieren. Die Besitzer eines gehackten Servers (eine Hilfsorganisation auf Bali) mit dem Phishing-Formular reagierte schnell. War aber nutzlos, da ein zweiter gehackter Server in Hanoi als Relay-Server fungierte. Immer wenn ein Administrator den Server mit dem Phishing-Formular gesäubert hatte, änderten die Gauner das Redirect auf dem Server in Hanoi. Zudem waren da bald Server dabei, wo die E-Mail-Kontaktdaten der angeblichen Server-Administratoren nicht mehr funktional waren – ein Server war sogar komplett übernommen – der Domainaufruf lieferte nur noch Fehler – aber über die Relay-URL erschien das Phishing-Formular.
Das zeigte mir einerseits, dass da offenbar Sparkassenkunden auf den Angriff hereingefallen sind. Andernfalls hätten sich die Kriminellen nicht den Aufwand gemacht, den gehackten Server in Hanoi zu monitoren und sofort ein Redirect einzuleiten. Und die Gauner haben sich sogar die Mühe gemacht, Server im Redirect zu benutzen, die hinsichtlich der Admin-C Betreuer offenbar verwaist waren.
Natürlich war meine erste Strategie, den Administrator des Server, der als Relay fungierte – zu kontaktieren. Die von einem Fischlokal (Kim Anh Seafood) in Hanoi gehaltene Domain enthielt zwar Kontaktdaten – auch eine E-Mail-Adresse. Aber die Betreiber haben eine nicht mehr funktionierende E-Mail-Adresse angegeben und auch die Yahoo-E-Mail-Adresse im Admin-C-Record der Domain war nicht mehr existent. Daher schlugen alle Kontaktversuche fehl – und der Provider der gehosteten Domain reagierte auf meine Kontaktaufnahme ebenfalls nicht.
Hätte einerseits bedeuten können: Die Betreiber stecken mit den Kriminellen unter einer Decke. Da ich aber eher den Eindruck habe, dass in Ostasien viel improvisiert und mit fliegenden „Verdrahtungen“ als Lösung hantiert wird, schiebe ich das jetzt auf Schludrigkeit. Ein seriöser Betreiber hätte eine yahoo.com-E-Mail-Adresse z.B. nie in den Admin-C-Records akzeptieren dürfen. Was macht man nun in dieser Situation? Anrufen in Hanoi, bei einem nur vietnamesisch sprechenden Gaststättenbetreiber und dem einem vom Server erzählen? Hielt sich für eine schlechte Idee.
Aber es gab da einen Geistesblitz: Es gibt doch die deutsche Botschaft in Hanoi – die sind zwar für andere Aufgaben da – aber möglicherweise lässt sich auf dem kleinen Dienstweg Kontakt mit dem Management des Fischrestaurants aufnehmen. Lokal klärt sich das vielleicht – und jemand mit Vietnamesisch-Kenntnissen gibt es da auch. Und heute morgen erreichte mich eine E-Mail der deutschen Botschaft aus Hanoi:
Sehr geehrter Herr Born,
vielen Dank für Ihre Email an die Deutsche Botschaft Hanoi und die von Ihnen übermittelten Informationen zum gehackten Server.Grundsätzlich ist die Botschaft für solche eher strafrechtlichen Angelegenheiten zwar nicht zuständig, aber wir haben natürlich trotzdem ein Interesse daran, dass solche Vorfälle zumindest nicht ignoriert werden. Ich habe daher eine lokale Kollegin gebeten, unter der von Ihnen genannten Telefonnummer der Kim Anh Seafood anzurufen und die Probleme zu schildern. Dieser Anruf erfolgte gestern Morgen (Ortszeit). Die Telefonnummer funktionierte tatsächlich und nach längerem Klingeln wurde auch abgenommen. Leider wollte sich der Herr am anderen Ende jedoch nicht vorstellen, weigerte sich nach den ersten Sätzen meiner Kollegin, in der Sie das Problem kurz beschrieb, auch entschieden die Konversation weiterzuführen und legte auf.
Ich habe am gestrigen Nachmittag die benannte Homepage dann aber noch einmal aufgerufen, auf der nunmehr keine Sparkassenseite sondern eine Fehlermeldung erscheint. In irgendetwas müssen wir wohl gerührt haben.
Erneut vielen Dank für den Hinweis und Ihr Engagement!
Mit freundlichen Grüßen aus Hanoi,
F. L.
Ich habe die kompromittierte URL der Kim Anh Seafood jetzt ebenfalls aufgerufen und wurde mit dieser Meldung begrüßt:
Dank Google Translate kann ich sogar lesen, was mir der Betreiber mitteilen will. Also ist das Problem auch erledigt. An dieser Stelle nochmals ein großes Lob an die Mannschaft vom auswärtigen Dienst in Hanoi, die nicht zuständig waren, sich aber trotzdem gekümmert haben.
Wenn ich es jetzt nochmals reflektiere: das waren jetzt zwei Baustellen gewesen, die mich eigentlich nichts angingen – hätte ich links liegen lassen können. Wollte ich aber nicht und habe einfach mal nachgehakt. Erkenntnisse am Ende des Tages: In #Neuland läuft einiges schief (ich denke jetzt an die Sparkassenorganisation und das BSI) – aber es finden sich immer wieder Leute, die unkonventionell, auf dem kleinen Dienstweg (Botschaft in Hanoi) oder sehr professionell (Microsoft Pressebetreuung) dem Thema nachgehen. Am Ende des Tages hat es sogar eine Lösung gegeben – und ich habe sogar einiges gelernt. Diese Erfahrungen, und die Hilfe der „vielen kleinen Rädchen“ in diversen Organisationen stellen einerseits „das Salz in der Suppe eines Bloggers“ dar – und halten andererseits den ganze Kram am Laufen. This made my day!
Sehr geegrter Herr Born,
an dieser Stelle möchte ich mich mal stellvertretend für Alle „geretteten“ Sparkassenkunden für ihren Einsatz bedanken. Generell möchte ich mich auch persönlich bei Ihnen für die sehr informativen und zum Teil sehr witzig geschriebenen Beiträge bedanken. Ihr Blog ist mittlerweile eine meiner Lieblingsseiten geworden welche ich täglich besuche. Vielen Dank!
Mit freundlichen Grüßen
Carsten Störch
Lieber Herr Born,
zunächst einmal möchte auch ich mich uneingeschränkt den Ausführungen von Herrn Carsten Störch anschließen.
Jedoch möchte ich auch zu der vorgenannten Thematik kurz ‚meinen Senf dazu geben‘.
Sie zitieren dort z. B. aus dem Brief der Deutschen Botschaft in Hanoi.
Dort heißt es u. a., „… Ich habe am gestrigen Nachmittag die benannte Homepage dann aber noch einmal aufgerufen, auf der nunmehr keine Sparkassenseite sondern eine Fehlermeldung erscheint. In irgendetwas müssen wir wohl gerührt haben.
Erneut vielen Dank für den Hinweis und Ihr Engagement! … !
Natürlich wurde da in irgend etwas gerührt, nur sicher nicht bzw. nicht ausschließlich von Ihnen.
Dass solche Server abgeschaltet werden bzw. nicht mehr erreichbar sind, geschieht u.a. auf Betreiben des zentralen Sparkassen-Rechenzentrums ‚Finanz-Informatik‘ (www.f-i.de)!
Insofern muss man m. E. Ihre Aussagen betreffend der Sparkassen bzw. der Sparkassen-Organisation relativieren.
Freundliche Grüße
@Nobby: Danke für den Kommentar – die Institution Sparkassen-Rechenzentrums ‘Finanz-Informatik’ (www.f-i.de)! kannte ich bis dato nicht. Sei’s drum – ich habe nix dagegen, wenn das Sparkassen-Rechenzentrums sich da eingeschaltet hat – und wenn die das Abschalten des Servers hinbekommen haben, ist das Spitze! Erstaunlich finde ich allerdings die Koinzidenz des ganzen Vorgangs …
Es ist mir auch klar, dass eine Sparkassenorganisation recht schwierig zu handeln ist, da es viele Spieler gibt. Was mich an der ganzen Sache etwas konsterniert hat: Wenn ich als Sparkassenkunde da einen Phishing-Versuch melden möchte, laufe ich ggf. ziemlich in den Wald und sehe die einzelnen Bäume nicht mehr. Ich habe gerade den Gegencheck gemacht – bei meinem Institut ist der Phishing-Angriff nicht vermeldet und die Suche findet auch keine Sparkassenseite „Phishing-Angriff melden“. Bei einer intensiven Suche auf sparkasse.de habe ich in der Tat die Mailadresse warnung@sparkasse.de gefunden. Möglicherweise habe ich mich am betreffenden Tag dämlich angestellt, diese Mailadresse ist mir bei Recherchen bewusst nicht angezeigt worden. Nun sei’s drum – schön, dass der gehackte Server abgeschaltet zu sein scheint.
Ansonsten gibt es auch noch zwei positive Nachrichten zu vermelden: Ich hatte nochmals die Geschäftsführung der Sparkassenorganisation (sparkasse.de) angemailt und auf den Vorgang hingewiesen. Ich bekam folgenden nützlichen Hinweis:
Und die Technik von s-cert.de hat sich bei mir telefonisch gemeldet und eigentlich bestätigt, dass meine Mail – egal ob an BSI oder an service@sparkasse.de an die betreffende Gruppe weitergeleitet werden sollte. Sollte der Vorgang dazu führen, dass die Info, wie man Phishing-Angriffe als Kunde melden kann, bei den Sparkassen Webseiten verbessert wird, hätten wir alle gewonnen.
Nachtrag: Der Vollständigkeit halber liefere ich jetzt noch die Kontaktadresse nach, zu der Sparkassenkunden Phishing-Attacken melden können. Ist mir auf eine Mail an service@sparkasse.de in folgendem Text mitgeteilt worden.
Nun ja – ich habe nun nochmals die Seite von sparkasse.de aufgesucht, dann nach Sicherheitshinweisen gewühlt und bin irgendwann auf diese Kontaktadresse gestoßen. Schön, das es so was gibt …
@Günter Born:
Vielen Dank für Ihre Mitteilung.
Ich finde der ‚Meldeweg‘, wenn man es mal so nennen darf, ist im Prinzip eindeutig. Sie, als Empfänger einer solchen Phishing-eMail, setzen sich mit der OnlineBanking-Abteilung Ihres Kreditinstitus in Verbindung. Das ist Ihr direkter Ansprechpartner, denn es geht in solchen Fällen ja immer darum, u. a. an Zugangsdaten für das OnlineBanking zu kommen.
Von dort wiederum wird dann der Vorgang an das jeweilige zentrale Rechenzentrum, wo ja die jeweilige OnlineBanking-Anwendung gehostet wird, weitergeleitet. Und von dieser zentralen Stelle wird dann die Abschaltung der jeweiligen Server bzw. das Sperren von IP-Adressen und/oder ggfls. Konten im Ausland veranlasst.
Wünsche noch einen schönen Abend.
@Nobby: Wenn der Weg so eindeutig ist, wäre es super. Als Naivling hatte ich halt folgende Überlegung „lokale Sparkasse vor Ort -> informierst Du die, machen die ggf. was oder nicht, der die Sparkasse im Nachbarort, die organisatorisch ggf. zu einer anderen Kommune gehört, bekommt nichts von mir -> ergo schickst Du die Info an ‚das, was sich dir als Kunde‘ als zentrale Ansprechstelle der Sparkassenorganisation darstellt“.
Wenn es diese zentrale Organisation der Sparkassen gibt, und daran mag ich jetzt mal nicht zweifeln, liegt zumindest für mich als Außenstehender ein Kommunikationsdefizit vor.
Ich wollte eigentlich schon einen kurzen Nachtrag zu der ganzen Sache verfassen. Irgendwo drängt sich mir das Gefühl auf, dass sich einige Mitarbeiter der „Sparkassenorganisation“ zu unrecht auf den Fuß getreten fühlen. Objektiv mag das zwar richtig sein, subjektiv läuft es aber (für meinen Geschmack) in die falsche Richtung. Einfach ein paar Erfahrungssplitter:
– als Kunde von Institut xyz möchte ich schnell und effizient die Stelle finden, wo ich den Phishing-Angriff melden kann. Auf den Webseiten meiner Sparkasse finde ich nix (nur ein allgemeines Kontaktformular, wo möglicherweise mein Anlageberater anschließend auf der Matte steht ;-)).
– das Marketing des Sparkassen-Finanzportals schreibt mir (aus deren Sicht sicher berechtigt), dass man sehr erfolgreich die E-Mail-Adresse warnung@sparkasse.de für solche Meldungen in Social Media-Kanälen und der Presse kommuniziere. Mag sein, mir als IT-Blogger ist die Info die letzten 3 Jahre bewusst nicht unter die Augen gekommen und bei meiner Recherche am Tag des Phishing-Angriffs ist die E-Mail-Adresse auch nicht ausgeworfen worden. Erst auf gezielte Nachrecherche finde ich einen Artikel bei sparkasse.de, wo die E-Mail-Adresse steht.
– Im Telefonat mit der Leitung von s-cert wurde mir eigentlich bestätigt, dass es, unabhängig welche Stelle (bei sparkasse.de oder beim BSI) eine Kundenmail mit der Info über einen Phishing-Angriff, diese eigentlich genau an die s-cert.de-Stelle weitergeleitet werden soll.
Ich kann hier als Außenstehender nur feststellen: Optimal schreibt sich anders. Nicht ich als Kunde des Instituts muss Klimmzüge machen, sondern die Organisation muss das Bestmögliche tun, damit ich als Kunde reagieren kann. Lies einfach die Sicherheitsmeldungen der letzten Zeit im Web – die Zunahme der Cyberkriminalität wird ständig thematisiert – ergo bräuchte man da auch Wege, um den Kunden bestmöglich abzuholen bzw. eine Organisationsstruktur, die die Informationsstränge bestmöglich auf die Bedrohungen ausrichtet. Ich habe da, offen gesagt, meine Probleme, dieses „Optimum zu erkennen“. Bei meiner langjährigern Industrietätigkeit bin ich mit Standards wie Good Manufacuting Practice (GMP), Good Laboratory Practice (GLP) (Pharmabereich) oder ISO 9000 (Zertifizierung für Qualitätssicherung) in Berührung gekommen. Möglicherweise brauchen wird zukünftig so etwas wie ein Good Management and Organisational Practice (GMP/GOP) für diese Strukturen.
Nur mal zwei Infosplitter, wie man denken muss bzw. wo es aus Kundensicht noch hakt.
Facebook Wants to Be Your One True Login (ein Stück aus dem Leben, was zeigt, womit man rechnen sollte)
Kommentare im Artikel zur FRITZ!Box-Sicherheit über EC-/Sparkassencard-Freischaltung Ausland
Im zweiten Artikel warst Du mit Kommentaren auch vertreten. Blog-Leser Marc und meine Wenigkeit haben uns noch hinter den Kulissen bzgl. des Themas „EC-/Sparkassencard für gewisse Länder sperren“ ausgetaucht. In der Tat gibt es das auch bei meinen Online-Banking-Seiten als Funktion. Für mich ist aber adhoc keine Info zu finden, was nun wirklich hinter der Funktion steckt und für welche Karten sie gilt. Beleuchtet etwas das Problem: Tolle Funktionen sind da, aber wir verraten sie nicht.
Oder hart gesprochen: Als Kunde fühle ich mich (möglicherweise objektiv nicht berechtigt) ständig auf einen Elchtest geschickt, der mich häufig genug aus der Kurve trägt. Und ich würde mich schon IT-affiner als der Durchschnitt der Bankkunden einschätzen.
Aber egal – ich habe alle Korrespondenz mit den Mitarbeitern der jeweiligen Institutionen hier ohne Namen eingestellt, weil ich niemanden persönlich an den Pranger stellen will. Ich dokumentiere es aber bestmöglich – weil ich immer noch die Hoffnung habe, dass einfach von Seiten der Sparkassenorganisation (oder anderer Banken) mitgelesen wird – und dann möglicherweise sich was verbessert. Dann gewinnen Alle.
zuerst mal großen Dank und Respekt, dass Günter sich in die Thematik so rein gekniet hat, denn so wurde evtl. DAUs von Schaden verschont.
Wer schlussendlich den Erfolg der Abschaltung zu verbuchen hat, ist doch zweitrangig.
Armselig ist es von Seiten der Sparkassen, dass keine sichtbaren Buttons oä. auf den Mainpages (mind. jedoch im Bereich Sicherheit) auf eine Taskforce für sowas hinweist.
Nachtrag vom Nachtrag ….
Gerade ist diese Mail in mein Postfach geschneit:
Die Tippfehler in den Mailadressen habe ich mal bewusst drin gelassen. Lest ggf. die dokumentierten Antworten in den beiden Blog-Beiträgen und Kommentaren selbst – ich fühle mich jetzt doch etwas „auf dem falschen Planeten lebend“ (so sehr ich die Reaktion des betreffenden Mitarbeiters nachvollziehen kann). Glücklicherweise bin ich nicht für die Organisation verantwortlich – da hier vermutlich einige von s-cert.de mitlesen: Klärt intern eure Kommunikationswege. Ich nehme die Rückmeldung einfach mal zur Kenntnis und koppele mich jetzt (etwas genervt) aus dem Thema aus.
PS: Für Kommunikationstrainer und Social Media Berater ist der Blog-Beitrag vermutlich ein Lehrstück, wie es gut oder nicht so gut laufen kann. Ich habe ja weiter oben auch was zu einer App im Microsoft-Store geschrieben. Microsoft bekommt hier im Blog öfters Kritik ab, wenn es nicht so optimal läuft. Aber hier war binnen Stunden die App aus dem Store (da gab es die „Kümmerer“) – und ganz überraschend bekam ich heute morgen ein „Danke“ der MVP-Betreuung per Mail, die in den gesamten Vorgang überhaupt nicht einbezogen war – keine Ahnung, wie die das mitbekommen haben (möglicherweise hier im Blog mitgelesen), aber die Kommunikationsstränge klappen da offenbar. Und Microsoft ist kein kleiner Laden (obwohl ich die auch schon als 30 Mann-Klitsche kannte).
Nachtrag zu Meldung bei warnung@sparkasse.de
Und schon kreist ein neuer Phishing-Angriff in den Postfächern der Sparkassen-Kunden – wobei es auch da unschöne Beobachtungen gibt. Speziell die Antwort auf eine Meldung an warnung@sparkasse.de, die ein Blog-Leser vorgenommen hat, verunsichert denn doch ein wenig und passt irgendwie in das obige Raster.
Nachlese zur App „Word Online“
Ich habe eine Rückmeldung von Microsoft auf meine Nachfrage zur App bekommen. Hier ist die Antwort von Microsoft – die sagen aber nix zur Sache an sich – nämlich, ob die App unsicher ist.
Hat man also den Verdacht, dass eine App im Store nicht ganz koscher ist, kann man die über einen entsprechenden Hyperlink (Missbrauch melden) an Microsoft melden. Die reagieren dann und schauen sich die App an. Die obige Word Online-App ist daher wohl wegen formaler Gründe aus dem Store geflogen. Ob die auch sicherheitskritisch war, ist unbeantwortet und wird vermutlich auch nie beantwortet werden.