Phishern zugeschaut

vorhergehende Artikel in: Security Rants
06.04.2019

Ich habe wieder einmal interessante Datenquellen entdeckt - diesmal im Bereich IT-Security und PKI...

Durch einen Artikel im Internet bin ich auf nette Leute aufmerksam geworden, die die Zertifikats-Logs verschiedener Betreiber zusammenfassen und als netten Stream mit APIs für verschiedene Programmiersprachen verfügbar machen.

Dadurch stieß ich auch auf ein Projekt, das versucht, den Anmeldungen eines (TLS-Server-) Zertifikats eine Wahrscheinlichkeit dafür zuzuordnen, dass sich dahinter unredliche Absichten verbergen könnten - eventuell sogar Phishing. Hier ein Beispiel-Auszug aus den Ausgaben des Skripts (es werden nur die Domains ausgegeben, die eine besonders hohe Punktzahl beim Ranking erreicht haben):

[!] Suspicious: google.com.bd.us.cas.ms (score=113)
[!] Suspicious: netflix.amilempresarialsaude.com.br (score=93)
[!] Suspicious: www.netflix.amilempresarialsaude.com.br (score=94)
[+] Potential : mail.beeconnect-uae.com.cp-45.webhostbox.net (score=67)
[+] Potential : www.beeconnect-uae.com.cp-45.webhostbox.net (score=66)
[+] Potential : autodiscover.cardiffplumbingservices.info (score=71)
[+] Potential : cardiffplumbingservices.info (score=70)
[+] Potential : cpanel.cardiffplumbingservices.info (score=70)
[+] Potential : mail.cardiffplumbingservices.info (score=70)
[+] Potential : webdisk.cardiffplumbingservices.info (score=70)
[+] Potential : webmail.cardiffplumbingservices.info (score=70)
[+] Potential : www.cardiffplumbingservices.info (score=70)
[+] Potential : kinnki-oosaka-bank-card.xyz (score=66)
[+] Potential : www.kinnki-oosaka-bank-card.xyz (score=67)
[+] Potential : ikeda-sennsyuu-bank-card.xyz (score=68)
[+] Potential : www.ikeda-sennsyuu-bank-card.xyz (score=69)
[!] Suspicious: verification.amazon-live.ml (score=143)
[!] Suspicious: www.verification.amazon-live.ml (score=144)
[!] Suspicious: verification.apple-live.ml (score=113)
[!] Suspicious: www.verification.apple-live.ml (score=113)
[!] Suspicious: outlook-iniciarsesion.com.mx (score=92)
[!] Suspicious: mail.outlook-iniciarsesion.com.mx (score=93)
[!] Suspicious: www.outlook-iniciarsesion.com.mx (score=93)
[+] Potential : seguroambseguroambiental.com.mxiental.proventum.info (score=74)

Nachdem ich mir die Ergebisse des Skripts einige Zeit angeschaut habe, fiel mir eine Domain auf - kurz darauf kamen weitere hinzu und ich begann, das Skript leicht anzupassen, so dass mir die damit in Verbindung stehenden Ereignisse prominenter angezeigt wurden. So erfuhr ich, dass innerhalb zweier Tage Zertifikate für diverse Domains beantragt und erteilt wurden, die alle den Eindruck erwecken sollten, sie hätten etwas mit der Anna-Schmidt-Schule zu tun. Der Eintrag, der meine Aufmerksamkeit initial geweckt hatte, sah wie folgt aus:

www.wordpress.www.wwwa.anna-schmidt-schule.info

Die Seite selbst war zu diesem Zeitpunkt noch nicht aktiv, sie leitete aber bereits auf

www.www.www.wordpress.www.wwwa.anna-schmidt-schule.info

weiter. Im Verlauf der folgenden Stunden kamen mindestens noch die folgenden Domains, bzw. ausgestellte Zertifikate für (unter anderem) die folgenden Domains hinzu:

www.wordpress.www.wwwa.anna-schmidt-schule.info
www.wordpress.www.wwwa.anna-schmidt-schule.info
www.blog.www.wwwa.anna-schmidt-schule.info
www.wordpress.www.wwwa.anna-schmidt-schule.info
www.www.wordpress.www.wwwa.anna-schmidt-schule.info
www.www.wp.www.wwwa.anna-schmidt-schule.info
www.blog.www.wwwa.anna-schmidt-schule.info
www.blog.www.wwwa.anna-schmidt-schule.info
www.blog.www.wwwa.anna-schmidt-schule.info
www.wordpress.www.wwwa.anna-schmidt-schule.info
www.wordpress.www.wwwa.anna-schmidt-schule.info
www.www.blog.www.wwwa.anna-schmidt-schule.info

Ich informierte die Schule natürlich darüber, dass es hier zu verdächtigen Aktivitäten kam, die eventuell Grund für Vorsicht bezüglich der Online-Aktivitäten sein könnten. Da ich aber nicht weiß, wie stark diese Schule online mit ihren Schülern, Eltern und Fachkräften arbeitet, konnte ich das Risiko eines erfolgreichen Phishing-Angriffs nicht beziffern.

Trotzdem war das ein interessanter und für mich lehrreicher Ausflug in die Welt der TLS-Server-Zertifikate

Artikel, die hierher verlinken

Certstream, InfluxDB, Grafana und Netflix

16.04.2019

Nachdem ich vor kurzem über mein erstes Spielen mit dem certstream berichtete, habe ich weitere Experimente gemacht und die Daten zur besseren Auswertung in eine InfluxDB gepackt, um sie mit Grafana untersuchen zu können.

Alle Artikel rss Wochenübersicht Monatsübersicht Codeberg Repositories Mastodon Über mich home xmpp


Vor 5 Jahren hier im Blog

  • Keycloak und LDAP

    11.07.2021

    Nachdem ich neulich bereits über die erfolgreiche Kopplung zwischen Keycloak und LDAP berichtete, bin ich noch einige Schritte weitergegangen...

    Weiterlesen

Neueste Artikel

  • SBOMs für alte Java-Projekte II

    Ich habe bereits vor einiger Zeit eine Möglichkeit präsentiert, SBOMs aus alten Java-Projekten zu erstellen. Ich bin neulich einer speziellen Form von Java-Projekten begegnet, die mich dazu bewogen hat, mich auch hierfür an der (nachträglichen) Erstellung einer SBOM zu versuchen...

    Weiterlesen
  • Mini-QR und Silverbullet neu im Docker-Zoo

    Ich habe eine weitere Alternative zum Aufnehmen von Notizen in meinen Docker-Zoo aufgenommen

    Weiterlesen
  • Neue Möglichkeiten zur Visualisierung von Modulverbindungen

    Ich habe wieder einmal im Urlaub grundlegende Architekturänderung in meinem Framework, das auch die Grundlage für die sQLshell und dWb+ darstellt vorgenommen.

    Weiterlesen

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen Codeberg-Repositories findet man hier.