{"id":9114,"date":"2011-06-23T13:22:30","date_gmt":"2011-06-23T11:22:30","guid":{"rendered":"http:\/\/funrecycler.com\/?p=9114"},"modified":"2011-06-23T13:22:30","modified_gmt":"2011-06-23T11:22:30","slug":"details-zu-dem-phishing-angriff-auf-k-m-elektronik","status":"publish","type":"post","link":"https:\/\/funrecycler.com\/index.php\/2011\/06\/23\/details-zu-dem-phishing-angriff-auf-k-m-elektronik\/","title":{"rendered":"Details zu dem "Phishing-Angriff" auf K&M Elektronik"},"content":{"rendered":"

Ich wurde gestern von einem Bekannten auf eine E-Mail von K&M hingewiesen, in der f\u00fcr eine Gutschrift geworben wird. Die Mail kam von K&M und sah auch vertrauensw\u00fcrdig aus, zumal sie auf die offizielle K&M-Webseite linkte. Es was aber trotzdem eine Phishingmail. Was war passiert?
\nZuerst – anders als in vielen Foren vermutet – K&M wurde nicht gehackt und es wurden auch keine Daten gestohlen. Was die Phisher hier ausgenutzt haben, war eine „Sicherheitsl\u00fccke“ im K&M-Shopsystem.\u00a0Das bedeutet: Ihr braucht Euer PW\u00a0nicht<\/span> zu \u00e4ndern.
\nZu den Details:
\nDa hat der Programmierer des Shops eindeutig gepennt. Beim Aufruf der Shop-Kategorien wird in der URL ein Parameter mitgebeben z.B. „cat=5“. Der GuteProgrammierer\u2122 \u00fcberpr\u00fcft jetzt, ob hier wirklich eine Zahl \u00fcbergeben wurde. Im Falle K&M wurde das nicht \u00fcberpr\u00fcft und – das ist der Oberknaller – der Wert direkt an die Datenbank durchgereicht. So konnte man ein geschickt platziertes SQL an diesem Parameter dazu nutzen, auf der Ergebnis-Seite seinen eigenen HTML-Code anzeigen zu lassen. (Stichwort: SQL-Injection).
\nWas passiert nun hier in diesem Fall, wenn man auf den Link geklickt hat?
\n– die offizelle K&M-Webseite wurde aufgerufen
\n– Es wurde die K&M-Webseite auch korrekt angezeigt
\n– Zus\u00e4tzlich wurde ein Java-Applet geladen
\n– Dieses Java-Applet hat durch eine Sicherheitsl\u00fcck eine EXE heruntergeladen und ausgef\u00fchrt
\n– diese EXE hat sich auf dem Rechner installiert und in den Autostart der Registry eingetragen
\nIch habe die EXE durch\u00a0Virus-Total<\/a> gejagt. Kein Scanner hat die EXE als Malware\/Virus erkannt (So viel zu diesen Snakeoil-Produkten).<\/p>\n","protected":false},"excerpt":{"rendered":"

Ich wurde gestern von einem Bekannten auf eine E-Mail von K&M hingewiesen, in der f\u00fcr eine Gutschrift geworben<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3,17],"tags":[1454,2015],"class_list":["post-9114","post","type-post","status-publish","format-standard","hentry","category-computer-und-technik","category-technik-trends","tag-k-amp-m","tag-phishing-angriffe"],"_links":{"self":[{"href":"https:\/\/funrecycler.com\/index.php\/wp-json\/wp\/v2\/posts\/9114","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/funrecycler.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/funrecycler.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/funrecycler.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/funrecycler.com\/index.php\/wp-json\/wp\/v2\/comments?post=9114"}],"version-history":[{"count":0,"href":"https:\/\/funrecycler.com\/index.php\/wp-json\/wp\/v2\/posts\/9114\/revisions"}],"wp:attachment":[{"href":"https:\/\/funrecycler.com\/index.php\/wp-json\/wp\/v2\/media?parent=9114"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/funrecycler.com\/index.php\/wp-json\/wp\/v2\/categories?post=9114"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/funrecycler.com\/index.php\/wp-json\/wp\/v2\/tags?post=9114"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}