Phisher ohne IQ – Polizei überwachte Server für sechs Monate

27.6.19 16:09 von Lars Sobiraj Lesezeit: 3 Min.

Drei Phisher aus Göttingen bzw. aus dem Raum Leipzig wurden überführt, weil man ihren angemieteten Server für sechs Monate überwacht hat.

Laut einem Beschluss vom Amtsgericht Leipzig hat die Polizei Webserver von drei Verdächtigen für mindestens ein halbes Jahr überwacht. Die Beamten wollten das Treiben der Phisher aufdecken. In der ersten Jahreshälfte 2017 betrieben sie über 20 Domains, um den Login bei PayPal, Banken und Kreditkartenanbietern nachzuahmen. Zudem wurden aus dem Raum Leipzig und Göttingen etliche E-Mails verschickt, um die Opfer zu einem Login zu animieren.

Bereits im Oktober 2017 forderte die Staatsanwaltschaft Leipzig einen uns namentlich bekannten Webhoster dazu auf, der Polizei den Zugriff auf einen bestimmten Webserver eines Kunden zu übergeben. Die Beschlagnahmung wurde aber noch weiteren Webhostern zugestellt, die ebenfalls Server an die Phisher vermietet hatten. Drei Verdächtige aus dem Raum Leipzig beziehungsweise Göttingen hatten mindestens 24 eigene Domains angemeldet, um Phishing im großen Stil zu betreiben. Die Webseiten sahen beispielsweise originalgetreu wie der Login von PayPal.com aus.

Die Namensnennung der Domains war mitunter sehr einfallsreich (siehe Grafik rechts unten). Darunter befanden sich Domains wie kundenservice-paypal-sicherheit.com, paypal-datenpruefung.ruhr, sicherheitspruefung-paypal.de und viele mehr. Mit Phishing-Mails forderte man die Opfer dazu auf, bei den imitierten Login-Seiten verschiedener Anbieter ihre E-Mail-Adresse oder einen Usernamen und ihr Passwort einzugeben. Man erbeutete auf diese Weise Zugänge zu PayPal, dem Online-Banking mehrerer Banken und von Kreditkarten.

Phisher mit dem IQ eines Milchbrötchens, verwendete echtes Girokonto

phishing domains — Auszug aus dem Beschluss: die Phishing-Domains

Die Beamten waren den Verdächtigen auf die Spur gekommen, weil einer der Phisher über ein Girokonto bei der Bank N26 verfügt hat. Darüber wurden anfangs die Kosten für den Webserver bezahlt. Die bei der Bank hinterlegten Daten seiner Person waren echt, womit der Kriminelle seine Identität preisgegeben hat. Den drei Personen aus dem Raum Leipzig und Göttingen wird vorgeworfen, auf die Accounts Dritter zugegriffen zu haben, um sich zu bereichern. Die Täter führten auch missbräuchliche Bestellungen über die Kreditkarten Dritter durch.

Phisher erbeutete mindestens 900.000 Datensätze

Für die Erlangung korrekter E-Mail-Adressen zuzüglich zu den Vor- und Nachnamen wurden Programme wie der SQLi Dumper eingesetzt, um gezielt Sicherheitslücken von mehreren Portalen herauszufinden und auszunutzen. Anschließend probierte man die Kombinationen bestehend aus den Namen und Passwörtern automatisiert mittels verschiedener Tools unter anderem bei den Portalen von Amazon, Breuning, der Deutschen Bahn, 1 & 1, eBay & eBay Kleinanzeigen, DHL Packstationen, Bauer, Bücher.de, Payback, Thalia, Deutsche Telekom, Zalando.de etc. durch. Nach Angaben der Staatsanwaltschaft haben die drei Täter auf diese Weise insgesamt zirka 900.000 Datensätze erbeutet. Mindestens 130.000 Phishing E-Mails haben die Täter nachweislich alleine mit dem Programm „Atomic Mass Mailer“ verschickt.

Polizei überwachte mehrere Handys, Festnetzanschlüsse & E-Mail-Konten

Sowohl die Telefonleitungen als auch die Handys der drei Verdächtigen hat man überwacht. Die betroffenen Webhoster sollten natürlich nicht ihre Kunden über die langfristige Überwachung des angemieteten Servers aufklären. In Telefongesprächen wurde den Webhostern immer wieder mitgeteilt, dass bezüglich der Überwachung alles so bleiben sollte, wie es war. Die Polizei wurde übrigens auch anhand von Facebook-Profilen und Essens-Bestellungen bei mehreren Niederlassungen von Lieferando bzw. Lieferheld fündig. Langfristig überwachte man auch mehrere E-Mail-Postfächer bei Web.de und Freenet.de, wo die Täter verdächtige E-Mails erhalten bzw. verschickt haben.

Die Damen und Herren „Internetbetrug„

Im uns vorliegenden Beschluss der Beschlagnahmung werden sogar Auszüge der überwachten Mobilfunkanschlüsse zitiert (siehe Screenshot unten). So wurde einer Verdächtigen von einer anwesenden Frau dazu geraten, sich künftig „Frau Internetbetrug“ zu nennen. Ein passender Ratschlag zur rechten Zeit…

Es ist aufgrund des zeitlichen Abstandes davon auszugehen, dass die Tatverdächtigen zwischenzeitlich aufgrund der gemeinschaftlich begangenen als auch gewerbsmäßigen Fälschung von Daten in Tateinheit mit dem Ausspähen und Abfangen von Daten angeklagt wurden. Der Beschluss zur Beschlagnahmung des Servers ist aus Oktober 2017. Wie man sieht, dürfen die deutschen Behörden zwar keine Honeypots aufstellen. Die systematische Überwachung eines beschlagnahmten Servers ist aber offensichtlich rechtlich gesehen etwas anderes und somit legal.

Beitragbild Elchinator, thx! (Pixabay Lizenz)

Tarnkappe.info

ING Bank: Kriminelle verschicken QR-Code zwecks Phishing

Der Bundesverband der Verbraucherzentrale (vzbv) warnt vor einer neuen Phishing-Masche, die im Namen der ING Bank verschickt wird.

Das Wort OPSEC auf strukturiertem Kupfer und Vintage Gold Hintergrund

OPSEC: Anleitung zum Schutz der Privatsphäre und Sicherheit im digitalen Zeitalter

Finde heraus, wie Dich OPSEC vor Cyberangriffen und Datenlecks bewahren kann und schütze Deine wertvolle Privatsphäre im digitalen Zeitalter!

Computer und Überwachungskameras auf der Suche nach sensiblen Daten (Symbolbild)

MOAB: Größtes Datenleck aller Zeiten bedroht Milliarden von Nutzern

Die Auswirkungen von MOAB auf Internetnutzer könnten beispiellos sein. Es handelt sich wahrscheinlich um das größte Datenleck aller Zeiten.

Anonymer Anbieter von Phishing-Dienstleistungen (Symbolbild)

Telegram mutiert zur Vertriebsplattform für Phishing-Dienste

Selbst für blutige Anfänger ist der Start der ersten eigenen Phishing-Kampagne über einen Telegram-Bot inzwischen ein Kinderspiel.

Symbolbild eines Phishing-Angriffs: Ein Mann sitzt auf einem Smartphone und fängt an einem Haken die Passwörter der Nutzer ein

Phishing-Angriffe auf mobile Geräte nehmen erschreckende Ausmaße an

Phishing-Angriffe auf mobile Geräte nehmen drastisch zu. Schütze dich vor Malware, Spyware und Phishing-Attacken auf Smartphones und Tablets.

Europol warnt vor krimineller Nutzung von ChatGPT

Kriminelle könnten sich die Fähigkeiten von ChatGPT zunutze machen, um Betrug und andere Cyberkriminalität zu begehen, warnte Europol.

Roundcube Webmail: Phishing-E-Mails locken in die Falle

Im Moment werden offenbar verstärkt Phishing-Mails an Nutzer von Roundcube Webmail verschickt. Diese drohen eine baldige Sperre des Kontos an.

Schutz vor Phishing-Betrug wird immer wichtiger (Symbolbild)

Schutz vor Phishing: Die Tricks der Betrüger und wie man sich schützt

Heute wollen wir einen genaueren Blick darauf werfen, welche Arten von Phishing es gibt und wie man sich am besten davor schützen kann.

Markenzentrale Postbank, Bundeskanzlerplatz Bonn

Postbank-Kunden: Identitätsbestätigung ist Phishing

Angeblich ist das Konto der Empfänger dieser E-Mail bei der Postbank gesperrt. Wer das verhindern will, soll auf den eingebauten Link klicken.

Berliner Anwalt: Fake-Abmahnungen wegen Filesharing

Derzeit werden massenhaft Fake-Abmahnungen im Namen der Berliner Kanzlei Dr. Matthias L. verschickt. Man soll 450 Euro Strafe bezahlen.

Neue Phishing-Welle richtet sich an PayPal-Kunden

Momentan warnt die Verbraucherzentrale Bundesverband vor einer neuen Welle an Phishing-E-Mails, die man an Kunden von PayPal verschickt.

Cyber-Angriff mit erweitertem E-Mail-Phishing (Text zwischen ascii-Binärstil)

Google Collections-Phishing: Neue Betrugsmasche breitet sich aus

Cyberkriminelle haben eine neue und sehr raffinierte Methode gefunden, ihre Opfer in Sicherheit zu wiegen: Google Collections-Phishing.

Gefärbtes Bild der Silhouette eines Hackers mit Kapuzenpullover und Laptop

Telekopye: Telegram-Bot sorgt für hinterlistige Phishing-Betrügereien

Mit dem Telegram-Bot Telekopye ist Phishing kein Problem. Von Phishing-E-Mails bis zur Erstellung täuschend echter Websites ist alles dabei.

Bitcoins, Litecoins und Ethereum im schwarzen Lederportemonnaie.

Atomic Wallet: Hackerangriff könnte Millionen von Nutzern bedrohen

Atomic Wallet-Nutzer von einem möglichen Hackerangriff betroffen. Sollten alternative und quelloffene Wallets in Betracht gezogen werden?

North Face Shop in einem Einkaufszentrum.

Kundendaten von Modemarken gestohlen: 35 Millionen Kunden betroffen

Alarmierender Cyber-Angriff auf bekannte Modemarken: Sensible Kundendaten wurden gestohlen. 35 Millionen Kunden sind betroffen.

EvilExtractor: Windows-Malware stiehlt mehr als nur Passwörter

Auf Wunsch verschlüsselt die EvilExtractor-Malware auch Dein Windows-System und überträgt Browser-Daten und lokale Dateien an den Angreifer.

Trezor: Hacker kopierten Daten von 66.000 Kunden

Trezor gab bekannt, dass Hacker auf das Support-Ticketing-Portal eines Drittanbieters Zugriff hatten. Ihnen geht es um die Seed-Phrase.

Darknet vs. Telegram: Das neue Epizentrum der Internetkriminalität

Darknet war gestern! Telegram wird immer mehr zum Knotenpunkt einer obskuren Lieferkette für illegale Tools und Opferdaten.