Bild: dpa, Jan-Philipp Strobel

„Ich gabe sie aushewählzt, mich zu beerben. Ihnen winken 10 Millionen USDollars.“ Wer steckt eigentlich hinter derartigen Spam-Mails? Ein Hacker hat sich auf die Suche gemacht und wurde fündig.

Alles begann mit einer Mail, die versprach, mich reich zu machen – schon wieder. Jemand ist schwer krank, hat im Ausland 10 Millionen US-Dollar gebunkert und will mich daran beteiligen – ich Glückspilz. Das ist natürlich totaler Quatsch und eine von Millionen Spam-Mails, wie sie wahrscheinlich jeder schon mal bekommen hat. Automatisch bewege ich den Mauszeiger über die Löschen-Schaltfläche – und halte inne. Mir reichts, ich habe die Schnauze voll! Dieses Mal steige ich auf die Nummer ein. Ich wollte wissen, wie der Betrüger vorgeht – und ihn vielleicht sogar dingfest machen.

Unvorsichtiger Hochstapler

Nach etwas Mail-Konversation lockte mich der Betrüger auf eine gefälschte Online-Bankingseite. Von dort sollte ich das Vermögen auf mein Konto überweisen. Das schlug natürlich fehl und der Betrüger behauptete, nur gegen die Zahlung von 2500 US-Dollar eine gültige TAN zu bekommen. Na klar, dachte ich und schaute mir die Website näher an. Dabei stieß ich auf eine SQL-Injection-Lücke. Mit ein paar gezielt eingeschleusten SQL-Befehlen konnte ich eine Datenbank mit Details zu einer Admin-Seite für eine groß angelegte Spam-Kampagne auslesen. Praktischerweise standen dort auch gleich die Zugangsdaten für die Seite drin – Facepalm.

Doch es kommt noch besser: Auch die Kampagnen-Website hatte ein Sicherheitsproblem. Mittels einer Cross-Site-Scripting-Attacke (stored XSS) konnte ich im Datenbankfeld für den Vornamen die Anweisung zum Aufruf eines auf einem durch mich kontrollierten Server abgelegten JavaScripts in die Administrationsseite einschleusen. Folglich änderte ich die Zugangsdaten und legte einen Köder aus: Ich informierte den Betrüger, dass ich die Kontrolle über die Seite hatte und die neuen Login-Daten nur gegen Geld rausrücke. Er biss an, rief das Administrationspanel auf und setzte die Daten zurück. Dabei hat er das Skript von meinem Server geladen und ich konnte seine IP-Adresse speichern.

Bei der gefakten Banking-Website hat sich der Betrüger nicht viel Mühe gegeben. Ich ließ mich trotzdem darauf ein.

Vom Provider auf den Router

Eine Whois-Abfrage für die mitgeschnittene IP-Adresse ergab, dass sie dem südafrikanischen Provider Hitec Sure gehört. Ein anschließender Scan förderte den Port 666 vom Webinterface eines TP Link Routers zutage. An dieser Stelle war ein weiterer Facepalm fällig: Der Betrüger hat die Standard-Zugangsdaten des Routers nicht angepasst und ich konnte mich mit dem Benutzernamen „admin“ und dem Passwort „admin“ einloggen.

Durch eine Anpassung der DNS-Serverkonfiguration im Router leitete ich Anfragen um und schnitt Daten mit: Ab sofort konnte ich alle Internet-Aktivitäten des Betrügers in Echtzeit beobachten. Dabei stellte sich heraus, dass der Betrüger permanent nach schlecht gesicherten Mail-Servern scannte. Innerhalb von zehn Tagen kamen so etwa 750 MByte an Daten zusammen. Die PPPoE-Zugangsdaten konnte ich aus dem Webinterface des Routers auslesen. Wer hätte das gedacht: Praktischerweise funktionierten diese Daten auch im Kundenportal des Providers. Nachdem ich mich dort angemeldet hatte, konnte ich den kompletten Namen des Anschlussinhabers einsehen. Da das Provider-Portal keine Adressdaten preisgibt, war der genaue Wohnort des Schwindlers zu diesem Zeitpunkt aber noch unklar.

Im Admin-Bereich der Spam-Kampagnen-Website hat der Betrüger Texte für Fake-Warnungen für die gefälschte Banking-Seite verfasst. Damit das Geld auf meinem Konto landet, benötige ich angeblich eine TAN, für die ich 2500 US-Dollar zahlen soll.

Adresssuche

Zufällig besitze ich das gleiche TP-Link-Modell wie der Spammer. Demzufolge war ich in der Lage, eine passende alternative Firmware in Form eines OpenWRT-Images zu erstellen und erfolgreich zu testen. Dieses habe ich dann mit den ausgelesenen Provider- und WLAN-Zugangsdaten vorkonfiguriert und über das Web-Interface des Betrüger-Routers geflasht. Standardmäßig verweigert das Gerät jedoch eine Aktualisierung der Firmware per Fernwartung. Das konnte ich aber mit vergleichsweise wenig Aufwand umgehen: In den entsprechenden Eingabefeldern verbot lediglich ein auf Disabled gesetztes HTML-Attribut diesen Vorgang. Das Attribut konnte ich problemlos entfernen und so eine Aktualisierung aus der Ferne vornehmen.

Neben den Provider-Daten und der WLAN-Konfiguration habe ich dem Image auch einen DynDNS-Client hinzugefügt sowie eine Firewallregel für einen SSH-Server. So hatte ich Fernzugriff auf das Gerät. Im Anschluss konnte ich neben der MAC-Adresse des Routers noch drei SSIDs von umliegenden Netzwerken auslesen. Mit einem kostenlosen Testaccount beim Geolocation-Dienstleister Combain erhielt ich so die ungefähren Koordinaten dieser Netzwerke. Mit diesen Infos konnte ich schließlich den Standort des Betrügers auf eine bestimmte Straße in Johannesburg in Südafrika eingrenzen. Darauf ließ ich es erst mal beruhen und trat mit dem Spammer nicht mehr in Kontakt.

Nun saß ich auf einem riesigen Datenhaufen und wusste nicht so recht, was ich mit den durchaus brisanten Informationen machen soll. Zur Polizei gehen? Schwierig. Durch mein Handeln habe ich mich sicherlich strafbar gemacht. Letztendlich entschied ich mich dazu, die Daten über den anonymen Briefkasten „heise investigativ“ der c’t-Redaktion zukommen zu lassen. In Absprache mit der Redaktion entschieden wir uns dann dazu, die Geschichte anonymisiert zu veröffentlichen. (des)

Stellungnahme der Redaktion Wir rufen nicht dazu auf, so etwas zu machen. Wer das tut, macht sich strafbar. Für eine Veröffentlichung haben wir uns dennoch entschieden, weil dieser Fall spannende Einblicke in eine Spam-Kampagne gewährt. Auf Basis der uns vorliegenden Informationen stufen wir die Vorgänge als plausibel ein und konnten die Abläufe theoretisch nachvollziehen. Der Artikel erscheint nach Absprache mit dem Tippgeber unter einem Pseudonym. Von uns auf privater Ebene kontaktierte Strafverfolger machten uns keine Hoffnungen auf erfolgreiche Ermittlungen. Das liegt zum einen daran, dass es in diesem Fall keinen konkreten Geschädigten gibt. Zudem sind die Server der groß angelegten Spam-Kampagne mittlerweile offline. Außerdem verkompliziert die Internationalität des Falls die Strafverfolgung. Problematisch ist überdies, dass sich das Spam-Opfer durch das Ausnutzen von Sicherheitslücken und Eindringen in Server strafbar gemacht hat. Am Ende könnte sogar das Opfer anstatt des Spammers hinter Gitter wandern.

Viele der c’t-Investigativ-Recherchen sind nur möglich dank Informationen, die Leser und Hinweisgeber direkt oder anonym an uns übermitteln. Wenn Sie selbst Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns einen anonymen Hinweis oder brisantes Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.

