Ich wurde gestern von einem Bekannten auf eine E-Mail von K&M hingewiesen, in der für eine Gutschrift geworben wird. Die Mail kam von K&M und sah auch vertrauenswürdig aus, zumal sie auf die offizielle K&M-Webseite linkte. Es was aber trotzdem eine Phishingmail. Was war passiert?
Zuerst – anders als in vielen Foren vermutet – K&M wurde nicht gehackt und es wurden auch keine Daten gestohlen. Was die Phisher hier ausgenutzt haben, war eine „Sicherheitslücke“ im K&M-Shopsystem. Das bedeutet: Ihr braucht Euer PW nicht zu ändern.
Zu den Details:
Da hat der Programmierer des Shops eindeutig gepennt. Beim Aufruf der Shop-Kategorien wird in der URL ein Parameter mitgebeben z.B. „cat=5“. Der GuteProgrammierer™ überprüft jetzt, ob hier wirklich eine Zahl übergeben wurde. Im Falle K&M wurde das nicht überprüft und – das ist der Oberknaller – der Wert direkt an die Datenbank durchgereicht. So konnte man ein geschickt platziertes SQL an diesem Parameter dazu nutzen, auf der Ergebnis-Seite seinen eigenen HTML-Code anzeigen zu lassen. (Stichwort: SQL-Injection).
Was passiert nun hier in diesem Fall, wenn man auf den Link geklickt hat?
– die offizelle K&M-Webseite wurde aufgerufen
– Es wurde die K&M-Webseite auch korrekt angezeigt
– Zusätzlich wurde ein Java-Applet geladen
– Dieses Java-Applet hat durch eine Sicherheitslück eine EXE heruntergeladen und ausgeführt
– diese EXE hat sich auf dem Rechner installiert und in den Autostart der Registry eingetragen
Ich habe die EXE durch Virus-Total gejagt. Kein Scanner hat die EXE als Malware/Virus erkannt (So viel zu diesen Snakeoil-Produkten).
