Sind wir in die Falle eines Hacks geraten?

Gepostet am 17.01.2017 in News

Vorgeschichte

Wir arbeiten schon langfristig mit einem Dienstleister, der Serviceaufträge für große Handelsketten vermittelt, zusammen. Anfang Januar schreibt mich der gewohnte Ansprechpartner/Absender an, dass das Unternehmen von einem anderen übernommen wurde:

… hat die XXX Service GmbH das Auftragssystem, das Servicegeschäft und alle Mitarbeiter von der ZZZ GmbH übernommen. … Rein operativ wird sich für Sie nichts ändern außer Domains und E-Mail-Adressen. … erreichen Sie unser Auftragssystem unter https://gXXXe.co/internal. Sie loggen sich wie gehabt mit Ihrer E-Mail-Adresse und Ihrem gewohnten Passwort ein. …

Eine Info, die im Kopf unter nicht besonders relevant, nach flüchtigem Lesen, abgelegt wurde.

der „Angriff“

Eine Woche später kam es zur Vermittlung eines Auftrages in „01307 Dresden“, mit der Bitte, sich im Auftragssystem anzumelden, den Auftrag zu bestätigen und mit dem Endkunden einen Termin zu vereinbaren. Wegen guter Auslastung blieb die Mail bis zum nächsten Tag liegen, was zu einer Erinnerung führte. Die Auftragsnummer im Betreff bleibt gleich, der Einsatz erfolgt nun aber für „01307 Klingenberg Colmn“ – was bis zum Ende ungeklärt bleibt. Ein Mitarbeiter folgte letztlich den Links zur Bearbeitung des Auftrages, alles schien wie immer.

die Indizien

Aus einer Laune folgte aber ein Mitarbeiter zufällig nicht den Links in der Mail, sondern gaben die bisher gültige Webadresse der ZZZ GmbH im Browser ein um dann mit folgendem Inhalt begrüßt zu werden:

stilisierte Piratenflagge und Zertifikatsinformationen

(c) Ronny Seffner

Die Symbolik ist klar – schwarz und weiß wie eine Piratenflagge, gekreuzte Knochen und ein Schädel. Da gibt es doch so eine Art Wettkampf unter Hackergruppen mit etwas Ethik – das Entstellen oder Markieren von erfolgreich gekaperten Webseiten/Webservern – wer mehr Beweise pro Zeit liefert gewinnt. Fazit : ein Hack?

Schauen wir noch mal genauer hin, die Domain ist kolumbianisch. Das ist für eine ausschließlich im deutschen Raum agierende Firma seltsam. Ferner ist das SSL-Zertifikat von ganz schwacher Natur, dabei wird der Beantragende vom Aussteller kaum identifiziert und die Gültigkeit ist mit 3 Monaten arg begrenzt. Fazit : ein Hack, der Webseiten umleitet, nicht manipuliert?

Folgt man den Links in den Mails kommt man zu Unterseiten des Angebotes, die wie gewohnt aussehen, stimmige Daten enthalten und sogar funktionieren. Fazit : die haben sogar die Originaldaten und Webseite – meine Kontakt- und Anmeldedaten sind verloren?

Was nur nicht passt ist, dass der unterstellte Aufwand für sowas absolut nicht zu einem direkt vermutbaren wirtschaftlichen Erfolg passen wird.

Auflösung

Mehrere Rückrufe beim eigentlichen Partnerunternehmen bringen dann aber den Hintergrund ans Licht. Hier wurde einfach Aktionismus betrieben, mit Stichtag musste alles unter neuem Logo erscheinen und da hatte man keine Zeit für eine richtige Webseite oder gar die Reservierung einer passenden Domain. Da spart man natürlich auch gleich am Zertifikat, ist ja nur vorübergehend.

Fazit

Mir geht es gar nicht um den Anbieter, sondern um die Erkenntnis, das Systeme heutzutage so komplex sind, dass wir als IT-Sicherheitsfachleute ins Grübeln kommen ob da böswilliger Vorsatz oder strategische und administrative Schlamperei im Spiel sind. Wie soll da erst ein Anwender sicher sein. Hier wartet viel Sensibilisierungsarbeit auf uns und man kann kaum einem Nutzer einen Vorwurf machen, der auf einen so vorbereiteten Link in einer Mail klickt und damit vielleicht seine Anmeldedaten weitergibt.