Du bist nicht mit dem Internet verbunden.
Wissen

Was die digitec Phisher wirklich wollen

Das E-Mail mit dem Schadscript, das von Phishern verschickt worden ist, ist analysiert. Wir erklären die Funktion und wie du den Schädling wieder loswirst.

Nachdem wir Bericht erhalten haben, dass Phishing-Mails mit dem Absender digitec unterwegs sind, haben wir unsere User gewarnt und uns auf Spurensuche begeben.

phishing_teaser21.jpeg
Wissen
Dominik Bärlocher
Dominik Bärlocher
Dominik Bärlocher
Editor
  • 44Artikel geschrieben
  • 0Fragen gestellt
  • 0Fragen beantwortet
  • 0Bewertungen geschrieben
  • 0Bewertungen kommentiert
  • 0Diskussionen gestartet
  • 0Beiträge geschrieben
Mehr Infos...
  • 194 55

Auf der Spur der digitec Phishing Mails

Während andere sich übers Wochenende auf dem Sofa ausgeruht haben, hat das Team von Christian Margadant, Head of Technics bei Digitec Galaxus AG, den Schadcode entschlüsselt und analysiert. «Wir können mit ziemlicher Sicherheit sagen, was der Schadcode mit den Computern anstellen will», sagt er.

Reverse Engineering mit Vorsicht

Bei der Analyse der Schadsoftware hat Margadant grösste Vorsicht walten lassen. Denn wenn er versehentlich den Code ausführt, dann könnte das schlimme Auswirkungen auf das gesamte Netzwerk der Digitec Galaxus AG haben. Zu Beginn einer Analyse muss immer mit dem schlimmsten gerechnet werden: gelöschte Daten, verschlüsselte Dateien und anderes. «Ich habe den Code auf einem Laptop angesehen, der nicht mit dem Internet oder dem Netzwerk verbunden war», sagt er. Auch seien auf dem Laptop keine persönlichen Daten gespeichert, um die es schade wäre, wenn sie weg wären – anders als bei vielen Computern unserer Kunden. «Im schlimmsten Falle hätte ich den Laptop einfach wieder neu aufgesetzt und das Problem der Malware wäre damit behoben.»

Lange hat er den isolierten Laptop aber nicht gebraucht. Schnell wurde ihm klar, dass sein Computer sicher ist, so lange er den Code nur entschlüsselt, aber nie ausserhalb eines sicheren und isolierten Kontexts ausführt. Besondere Tools hat er dazu nicht verwendet: «Firefox, Developer Console, einige Websites und das war’s auch schon. Wichtig ist einfach, dass der Schadcode zur Untersuchung in einer Datei gespeichert wird, die nicht versehentlich ausgeführt werden kann. Also nicht als JavaScript-Datei, sondern als normale Textdatei.»

Stück für Stück zur Entschlüsselung

Der Schadcode, der mit den Mails verschickt worden ist, folgt einem einfachen Schema. Da als Startplattform eine Worddatei verwendet wird, muss der Code einfach einsteigen, bevor er komplexe Funktionen ausführt. Dieser komplexere Part ist verschlüsselt, kann aber einfach entschlüsselt werden. «Irgendwo im Code ist eine Funktion untergebracht, die der Decodierung alle benutzten Zeichen übergibt», sagt Margadant, «sobald diese gefunden ist, kann ich sie gegen die Malware verwenden und so den Code entschlüsseln.»

Margadant hat in der ersten Stufe der Entschlüsselung Glück. Er findet nicht nur weitere verschlüsselte Blöcke, sondern auch Klartext-Teile, die er lesen kann. Noch besser: «Der Code ist gut durchkommentiert, also kann ich einfach nachlesen, was der unverschlüsselte Part macht.» Das sei ein Hinweis darauf, dass kein Profi am Werk war, da die Kommentierung es einem sogenannten Script Kiddie (jemand, der vorgefertigte Software benutzt) einfach macht, den Code selbst zu kompilieren und anzupassen. Die weiteren verschlüsselten Teile des Codes lassen aber auf professionelleres Vorgehen schliessen.

Nun, da der ganze Code entschlüsselt ist, können wir euch sagen, was die Malware denn genau macht.

Was die Malware mit deinem Computer anrichtet

Die gute Nachricht zuerst: Deine Daten werden weder gelöscht noch verschlüsselt. Die Schlechte: Dein Geld ist nicht mehr sicher. Aber eins nach dem anderen.

In einem ersten Schritt bereitet die Malware den Boden für komplexere Operationen.

  • Deine IP wird geloggt
  • Es werden Zertifikate installiert
  • Neue Registry-Einträge werden angelegt

Dies an und für sich ist noch nicht schädlich, bietet aber fruchtbaren Boden für weitere Malware. Vor allem die Zertifikate werden im späteren Verlauf der Operationen wichtig.

Im zweiten Schritt werden Downloads ausgeführt. Keine der heruntergeladenen Programme sind an und für sich Malware oder böse. Im Gegenteil. In einigen Teilen der Welt gehören sie zum digitalen Überleben.

Dann startet die Malware den TorBrowser und Proxifier. Damit diese im Hintergrund immer mitlaufen, werden sie als Scheduled Task aufgerufen. Diese Hintergrundprozesse werden getarnt.

  • Der Proxifier-Task heisst getarnt MicrosoftUpdate
  • Der Tor-Task heisst getarnt SkypeUpdateTask

Hier zeigt sich zum ersten Mal, was die Software wirklich tut. Denn Proxifier wird mit einem Profil versehen. Es leitet Anfragen an bestimmte Websites über eine von Dritten kontrollierte Route weiter. Diese sind:

  • *postfinance.ch
  • cs.directnet.com
  • eb.akb.ch
  • .ubs.com
  • tb.raiffeisendirect.ch
  • *.bkb.ch
  • *.lukb.ch
  • *.zkb.ch
  • *.onba.ch
  • e-banking.gkb.ch
  • *.bekb.ch
  • wwwsec.ebanking.zugerkb.ch
  • netbanking.bcge.ch
  • *.raiffeisen.ch
  • *.credit-suisse.com
  • *.bankaustria.at
  • *.bawagpsk.com
  • *.raiffeisen.at
  • *.static-ubs.com
  • *.bawag.com
  • *.clientis.ch
  • clientis.ch
  • *bcvs.ch
  • *cic.ch
  • www.banking.co.at
  • *oberbank.at
  • www.oberbank-banking.at
  • *baloise.ch
  • *.ukb.ch
  • urkb.ch
  • *.urkb.ch
  • *.eek.ch
  • *szkb.ch
  • *shkb.ch
  • *glkb.ch
  • *nkb.ch
  • *owkb.ch
  • *cash.ch
  • *bcf.ch
  • *.easybank.at
  • ebanking.raiffeisen.ch
  • *.onion
  • *bcv.ch
  • *juliusbaer.com
  • *abs.ch
  • *bcn.ch
  • *blkb.ch
  • *bcj.ch
  • *zuercherlandbank.ch
  • *valiant.ch
  • *wir.ch

Dieser Liste von Banken können wir entnehmen, dass der Angriff nur Bankkunden aus der Schweiz und Österreich gilt. Das bedeutet, dass die Angreifer genau wissen, auf wen sie losgehen. Dieses Script dürfte nur in der Schweiz und in Österreich verbreitet werden, weil es für Bankkunden anderer Länder komplett wirkungslos ist. Für Bankkunden in der Schweiz und Österreich aber passiert folgendes: Wenn ihr auf euer E-Banking-System zugreifen wollt, wird der Traffic mitgelesen. Es handelt sich also um eine herkömmliche Man-in-the-Middle-Attacke.

In einer Man-in-the-Middle-Attacke wird der Traffic vom User zum Host über eine Dritte Stelle weitergeleitet. Dort wird sie mitgelesen.

Da Christian Margadant und sein Team aber nicht auf die Seiten im Dark Net zugreifen können, schliesst der Head of Technics auf eine von zwei Möglichkeiten:

  1. Die Darknet-Sites sind entweder noch nicht oder nicht mehr online
  2. Die Darknet-Sites akzeptieren nur POST, nimmt also nur Daten entgegen, aber keinen GET, den User benötigen würden, um Daten vom Server im Browser ansehen zu können.

Wie du die Malware wieder los wirst

Die einfachste und mit Abstand gründlichste Lösung, dein System von der Malware zu befreien ist, dein Windows komplett neu aufzusetzen. Dies hat auch User Deville_TGR im vorherigen Artikel richtig erkannt.

Also OS neu aufsetzen?

Genau. Doch das ist nicht immer möglich oder gewünscht, wenn auch empfohlen. Für den Fall, dass du dein Windows nicht neu aufsetzen kannst oder willst, dann gelten folgende Ratschläge, nebst dem ersten Ratschlag, den wir im ersten Artikel erwähnt haben.

  1. Öffne den Task Manager und sehe dir die Prozesse an
  2. Erzwinge das Beenden von tor.exe und proxifier.exe. Wenn du die Tasks nicht findest, dann bist du laut unserem aktuellen Wissen nicht infiziert
  3. Gehe auf Start → Ausführen** und gebe dort taskschd.msc ein
  4. Drücke Enter
  5. Lösche die beiden Aufgaben SkypeUpdateTask und MicrosoftUpdate (unter Aufgabenplanungsbibliothek)
  6. Gehe auf Start --> Ausführen und gebe dort %appdata% ein
  7. Drücke Enter
  8. Wenn der Ordner TP vorhanden ist, lösche den Ordner
  9. Gehe auf Start --> Ausführen und gebe dort %temp% ein
  10. Drücke Enter
  11. Wenn der Ordner TS vorhanden ist, lösche den Ordner
  12. Lösche dein altes Firefox-Profil und erstelle ein neues
  13. Gehe auf Start-->Ausführen und gebe dort certmgr.msc ein.
  14. Drücke Enter
  15. Lösche alle Zertifikate von COMODO Certificate Authority 1

Diese Methode schränkt die Bedrohung ein, hinterlässt aber Spuren.

  • 7Zip bleibt nach wie vor auf deinem System als Datenmüll bestehen, aber das ist nicht weiter schlimm.
  • Die Registry-Einträge bleiben ebenfalls bestehen, da sie nun harmlos sind. Mit einer Software wie CCleaner kann die Registry aber gesäubert werden.

Wenig effektiv unter Windows 10

Christian Margadant hat unter kontrollierten Bedingungen das Script ausgeführt. Er kann nun mit Sicherheit sagen, dass es sich um eine Man-in-the-Middle-Attacke handelt. Und: Das Script ist identisch mit einer Datei, die von einem Absender verschickt wird, der vorgibt, die SBB zu sein, aber vom Absender sbbclient@sbb.rs versendet wird.

Windows-10-User haben Glück. Microsofts neuestes Betriebssystem erkennt die JavaScript-Datei, die den ganzen Schadcode ausführen will mindestens ab den Definitionen in Windows Defender v1.231.1459.0 vom 08.11.2016/10:24 als böse und verhindert die Ausführung. Registry-Einträge werden auch nicht gemacht und Zertifikate werden erst nach Bestätigung durch den User installiert.

User

Dominik Bärlocher

Journalist. Autor. Hacker. Meine Themen haben meist mit Android oder Apples iOS zu tun. Auch die IT-Security liegt mir am Herzen, denn in unserer Zeit ist der Datenschutz keine Nebensache mehr, sondern eine Überlebensstrategie.

58 Kommentare

User diego.romero

well done, csi:digitec. horation caine würd seine sonnenbrille vor euch ziehen!

16.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User luberg

Versprochen und geliefert :-)

16.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Twosaabs

Very interesting! Thank you guys for taking the time and open approach to investigate and explain your findings. You're a fresh change from the usual way companies handle such issues!

17.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User a.fulgens.87

... and to give detailed instructions how to mitigate the issue, if you are infected. Kudos!

20.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Baktun

Sehr interessant. Gute Arbeit!

17.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User xama100

Warum wurde denn nicht einfach eine VM verwendet? Die kann man ja einfach in den Papierkorb verschieben, sollte was schief gehen.
Wäre zumindest weniger Aufwand als den Laptop neu aufzusetzen. Just saying ..

16.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Drachenherz

Weil es gewisse Schadsoftware gibt, die erkennen kann, dass sie in einer VM-Umgebung ist und dann den bösartigen Code nicht ausführt - und somit unter Umständen nicht analysiert werden kann.

17.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User 351cui

Wow sehr interessanter Aufschluss... Gut das ich Debian 8.x und ein Backup habe :}

17.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User nicolas_07

This is a great article, thanks for taking the time to write and translate it!

Is there some sort of task force looking at cyber security in Switzerland? Seeing the profile of the targets (Swiss banks) and vectors/victims (Digitec, SBB, etc.), surely this is one of the most major attack aimed at CH

19.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User BrunelliPrime

In deed there is:
melani.admin.ch/melani/en/h...

20.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User benidi

und wie sieht es bei mac aus?

16.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User andreas_kocher

Der Angriff wird auf einem Mac nicht einfach so funktionieren. Er verfügt über keine Registry und auch die zusätzlichen Programme sind nicht die selben. Daher könnte sich die Schadsoftware nicht auf dieselbe Weise installieren. Hier müsste das Skript explizit auch für den Mac was parat haben. Kann ich daher nicht abschliessend beurteilen. Mit dem beschriebenen Weg von Digitec wird die Software auf einem Mac aber keinen Erfolg haben können.

17.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User alain1989

Vermutlich ist diese Malware auf dem Mac unwirksam. Viele verwechseln dies jedoch mit dem Statement Mac ist generell sicherer. Das stimmt nicht wirklich, der einzige Grund warum der Mac so wenig betroffen ist, ist sein extrem geringer Marktanteil.
Niemand wird sich die Mühe machen eine Malware für ein Betriebssystem zu kreieren das nicht einmal 8% Marktanteil hat.

17.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User abibossotto

@Alain1989: Sorry, aber das ist Unsinn. Die Grundlage von macOS (ex OSX) ist Unix. Unix ist per se weniger anfällig für solche Angriffe... Das hat mit dem Marktanteil nichts zu tun. UNIX-Betriebssysteme gehen anders mit Dateien und Benutzerberechtigungen um.

17.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Manu9511

@Abibossotto: Da stimme ich dir voll und ganz zu. Auf ca 55% aller Webserver laufen UNIX-ähnliche Betriebssysteme genauso wie auf ca 10% aller Desktop PCs und bei den Smartphones sind es ungefähr 60%. Es wäre also äusserst lukrativ Malware für UNIX-ähnliche Systeme wie macOS, BSD und Linux (Android gehört auch zu Linux) zu schreiben, um Firmen und nebenbei private Personen zu erpessen oder zu bestehlen. Microsoft hat leider etwas seltsame Vorstellungen von Sicherheit.

17.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User shakaliv

@abibossotto: Blöd nur das viele Mac-Benutzer (wie auch Windowsbenutzer) zu einfache Passwörter oder noch schlimmer gar kein Passwort benutzen...

18.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User JSFighters

Ich habe das Mail nicht von einer SBB adresse bekommen sondern von Postfinance.cz und zwar heute

18.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Dominik Bärlocher

Die Phisher verwenden eine Vielzahl von Adressen. Es ist also gut möglich, dass du Mails von vermeintlich grossen, schweizer Firmen erhältst, die mit einem nahezu identischen Script daherkommen.

18.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User compr00t

Das Ganze nennt sich Dridex Trojaner und hat nichts mit Digitec per se zu tun, sondern wird in unzähligen Spam-Mails verbreitet. Insofern ist das auch kein Phishing-Mail sondern Spam.

19.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User puerrom13

Spam ist Werbung.

Phishing dagegen ein Versuch an persönliche Daten zu kommen, zwecks Betrug. Das hier ist also definitiv Phishing!

Wikipedia:
Unter dem Begriff Phishing (Neologismus von fishing, engl. für ‚Angeln‘) versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den ent

25.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Patrick S. aus B.

Interessanter Bericht, Danke?
Gebt Ihr dieses Wissen auch an die Strafverfolgungsbehörden oder staatliche Stellen wie MELANIE weiter?
Wie sieht es mit Anti-Virusherstellern aus?

18.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User shakaliv

Hast du den Artikel gelesen? Windows 10 ist sicher in dieser Hinsicht, da zumindest Microsoft schon in Kenntnis gesetzt ist. Man muss davon ausgehen, dass auch Namhafte Antivierenherstellter das Script als gefährlich eingestuft haben!

18.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User compr00t

Dridex, so heisst die Malware, wird seit knapp einem Jahr mit ähnlichen Pattern verbreitet. MELANIE hat auch schon Infos dazu veröffentlicht, ist also bekannt.

19.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Patrick S. aus B.

Danke Compr00t, ich habe den Link inzwischen gefunden: melani.admin.ch/melani/de/h...
(Sorry für den Tippfehler im Namen der Meldestelle. MELANI schreibt sich ohne E am Schluss).

20.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User artempulki

<sarcasm> Could you please also post a step-by-step instruction to install the malware on linux? </sarcasm>

18.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Tobeornottobe

Super Bericht!
Verständnisfragen:
1. Wie kann die heruntergeladene Software installiert werden ohne Administratorrechten? Oder wird beim Öffnen des Anhangs ein Administratorprompt zur Bestätigung geöffnet?

17.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Tobeornottobe

2. Bei Banken ist doch relativ einfach zu erkennen, ob ein anderes Zertifikat installiert wurde, da Banken ein Extended Validation (EV) SSL Certificates verwenden und somit der Namen im Browser zusätzlich angezeigt wird (bei Chrome z.B. rechts vom Schloss)?

17.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Bei der ersten Frage kann ich dir auch gerade nicht helfen, aber ich nehme stark an, dass es irgendwelche Hintertüren gibt...
Bei der zweiten Frage jedoch: Schaust du dir jedes Mal beim E-Banking dein Zertifikat an/Bemerkst du den Namen rechts vom Schloss? Ich denke, die meisten Nutzer würden eine Änderung dort nicht bemerken.

17.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Tobeornottobe

Seit ich weiss wie schnell ein Zertifikat erstellt ist, schaue ich jedes Mal beim E-Banking kurz auf das Schloss :)

17.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Dominik Bärlocher

Zu deinen Fragen:

1. Die Phisher aus der vorliegenden Attacke verwenden Software, die ganz ohne Administratorenrechte auskommt. Also brauchen sie gar keine Hintertürchen oder ähnliches.

2. Das ist richtig. Doch der Schein trügt. Ich mache oft auch den Blick zum Zertifikat, aber das heisst noch lange nicht, dass das jeder tut. Wenn jeder so sicherheitsbewusst wäre, wie du und ich, dann hätte das Phishing Mail an sich schon keine Chance.

18.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Es wird ein gültiges Zertifikat auf die echte Domain ausgestellt. Das Script installiert ein Root Zertifikat, darum können "die" gültige Zertifikate für jede beliebige Domain ausstellen. Du Vertraust der "bösen" CA.

18.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User compr00t

Und wieso ist Windows 10 "sicherer" als andere Windows Versionen? Es scheint ja Windows Defender zu sein der blockiert und den gibt es auch schon in früheren Versionen...

19.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User ursdaniel

DRum habe ich für bankzahlungen einen eigenen lapi,der wird nicht zum sirfen benutzt und damit werden keine mails gelessen ,der wird wirklich nir für zahlungen benutzt,also sollte der logischerweisse auch sauber bleiben.

20.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User schaedld

Interessant wäre an der ganzen Sache, ob man als Administrator angemeldet sein muss (Registry Einträge). Die meisten lassen sich eh als Admin und geben so jedem Angreifer die Chance dies auszunützen...

20.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Toelpel

Administratorenrechte sind nicht erforderlich, Software wird nur entpackt, RegistrySettings werden in HKCU gemacht und Zertifikat im Benutzer-Zertifikatsspeicher installiert.

28.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User mstanescu

". Furthermore, the laptop contained no personal data that would have been missed should things have gone wrong – so pretty much the opposite of computers used by our customers. “At worst, I would have re-set the laptop and solved the malware problem that way.”"

how about just running a VM?

20.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User bugsisnotdead

Danke

21.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User f.testa

Was passiert auf OSX? Auch gefärlich oder nicht?

23.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Toelpel

Nein, keine Gefahr für OSX, die Schadsoftware zielt nur auf Windows-Betriebssysteme

28.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User caliskanvolkan

Very nice article and detailed explanation. Interesting to read and learn about these stuff. Great job Digitec and Dominik. Thank you.

24.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User DrYak

Once again, we Linux users are left in the dust~~~

More seriously : it's strange that they didn't try to MitM-attack also URLs of update website (antivirus, OS) to prevent update of anti-malware and virus definitions. (like blocking access to kaspersky's domain and similar)

24.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User DavideCanavesi

very cool article!

25.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User floriansch1

Super das ihr euch die Mühe gemacht habt das Ganze transparent zu machen und gut verständlich mit den Kunden teilt. Technik kann viel schützen, aber nie die Teile die beim Menschen liegen.

26.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User cdesilva

Well done for taking security seriously and taking ownership to help resolve it in this open way. A lot of companies could learn from this (I am looking at you, LinkedIn).

29.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User o.esseiva

Bravo. Hervorragender Artikel, wirklich sehr interessant.

gestern 14:45
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User R3lay

Was bringt das dann? Es verwenden ja alle Banken eine 2-Faktor-Authentifizierung mit Einmalcode, zB bei der UBS würde der Angreifer gerade mal meine Vertragsnummer rausfinden.

16.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Ja. Wenn du dich Erfolgreich ein Logst, könntest du auf eine "Fake" seite umgeleitet werden.
Währenddessen könnte theoretischen was abgebucht werden.
Aber vermutlich Nicht in diesem fall. Aber ein Provi...

17.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User andreas_kocher

Es geht darum, dass die komplette Verbindung zwischen deinem Computer und der Bank mitgelesen wird. Das ist wie wenn du einen Brief zuklebst und er unterwegs geöffnet und wieder verklebt wird. Daher kann der Angreifer sehr wohl mitmischen, sobald du dich erfolgreich im E-Banking eingeloggt hast. Die Zwei-Weg-Authentifizierung hilft hier also nicht wirklich was.

17.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User SRR24x7

" «Im schlimmsten Falle hätte ich den Laptop einfach wieder neu aufgesetzt und das Problem der Malware wäre damit behoben.»
Scheinbar noch nie einen wirklich guten Virus gesehen? Habe schon Schädlinge gesehen die sich im Speicher von Komponenten eingenistet haben, da hilft sowas nicht.

20.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.

User Anonymous

"Detail" am Rande - das ist nicht mal Ansatzweise man ind the middle. Hier geht es darum Passwörter abzureifen.
Es wird eine gefälschte Loginseite auf ubs.com oder whatever eingerichtet. Mit gültigem Zertifikat, grünem Balken und und was dazu gehört. Root Zertifikat, TOR und Proxy - clever gemacht.

17.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Softloader

"Denn Proxifier wird mit einem Profil versehen. Es leitet Anfragen an bestimmte Websites über eine von Dritten kontrollierte Route weiter. Diese sind:" Ab da ist es MITM Attack. Sollte logisch nachvollziehbar sein. Die Daten gehen von User 1 -> Router (Hacker) -> Bank. Man in the "middle".

17.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Ja, da gebe ich dir recht, ABER ich kenne das Teil, das funktioniert (noch) nicht so.
Statt MITM wird dir eine andere Loginseite angezeigt. Es geht schlicht und einfach darum User und PW abzugreifen. Dank 2 factor authentication nicht ganz so tragisch.

Aus der Ausgangslage kann man aber eine schöne MITM basteln.

17.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Softloader

Ich weiss was Du meinst. Was Du aber mit deinem Login und der falschen Seite ansprichst ist die Phishing Methode und hier kombiniert mit einer MITM. Mann kann logischerweise auch einfach eine Phishing Seite einrichten und dann Digitex.ch nennen und hoffen es verschreiben sich viele Personen denen die Domain dann nicht auffällt. Dann wäre es keine MITM aber ein direkter Phishing 'Angriff'. Da diese Methode, hier beschrieben, aber ausgefeilter ist, kommt die MITM als Kombination gelegen.

18.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User Anonymous

Nein, der Traffic landet nie beim eigentlichen Ziel. Nur weil da eine Proxy verwendet wird ist es noch lange keine MITM. Bei der MITM Attacke kommunizierst du mit dem "echten" Ziel und jemand hört mit. Das ist hier nicht der Fall....

18.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

User compr00t

Falsch. MITM heisst es ist jemand in der Mitte. Er kann mitlesen, verändern oder blockieren. Selbst wenn er Traffic komplett blockiert, bleibt es MITM.

19.11.2016
Missbrauch melden

Du musst dich anmelden um einen Missbrauch zu melden.

Du musst angemeldet sein, um auf einen Kommentar zu antworten.


Bitte melde dich an.

Du musst angemeldet sein, um einen neuen Kommentar zu erfassen.

Corporate logo