“Abgephishte Yahoo- und Hotmail-Konten zum Teil immer noch offen” (heise.de)

Unterdessen bezweifeln erste Experten, dass die Daten tatsächlich nur durch Phishing geklaut und somit von den Anwendern selbst preisgegeben wurden, wie die Mail-Provider bislang beteuerten. Die Sicherheitsspezialistin Mary Landesman etwa meint, dass das Format der Daten und auch die schiere Menge vielmehr für Trojaner spreche, die die Daten auf infizierten PCs mitprotokollieren. Dafür spricht, dass sich in der Liste auch mehrere hundert Website-Adressen inklusive Zugangsdaten finden. Dagegen sprechen Einträge wie “Not telling” (Sag ich nicht), die tatsächlich danach klingen, als hätte da jemand Phish gerochen.

Das was Mary Landesman da vermutet entspricht wohl eher der Wahrheit. In der einen Liste mit mehr als 24.500 Zeilen, gibt es 377 Einträge für Websites, u.a. für:

• http://twitter.com
• http://www.myspace.com
• http://www.youtube.com
• https://login.facebook.com
• https://www.adobe.com
• https://www.amazon.com
• https://www.google.com
• https://www.linkedin.com

wobei auch Lokales enthalten ist:

• http://192.168.1.1

Klingt dies nach Phishing?

Es gibt auch User mit mehreren Einträgen, z.B. für einen mit neun verschiedene Subdomains des Polytechnikums in Singapore. Dieser User soll also neunmal auf eine Phisingseite reingefallen sein?


Man kann wohl davon ausgehen das diese Liste aus verschiedenen Quellen zusammenkopiert wurde. Nicht nur das mehrere Hundert URLs inkl. Zugangsdaten darin enthalten sind, auch die Trennzeichen zwischen E-Mail-Adresse und Passwort sind unterschiedlich. Es wurde zu fast gleichen Teilen ein Tab-Zeichen oder ein Komma zum Trennen benutzt und in 234 der Datensätzen der senkrechte Strich.

Das in dieser Liste auch so etwas wie “Not telling” steht, spricht zwar dafür, dass da jemand einen Betrugsversuch einer Phishingseite bemerkt hat, aber wie gesagt – mehrere Listen, mehrere Angriffsmethoden.

Diese 24.5K-Liste besteht meiner Meinung nach aus sieben zusammenkopierten Listen:

1. Anfangsbuchstabe der E-Mail-Adresse: a und b,
   Trennzeichen: Doppelpunkt
   (Die erste Liste, die im Netz auftauchte.)
2. Trennzeichen: Doppelpunkt
3. Trennzeichen: senkrechte Strich
4. URL einer Website inkl. Zugangsdaten
5. Trennzeichen: Doppelpunkt
   (Diese Liste enthält, neben weiteren, alle Daten der Liste Nr. 2.)
6. Trennzeichen: Tab-Zeichen
7. Trennzeichen: Leerzeichen-Doppelpunkt-Leerzeichen

Zusammensetzung Liste Nr.1:

• hotmail/live/msn/windowslive (98,7%)
• yahoo (0,3%)
• gmail (0,3%)
• ca. 42 weitere (0,7%)

Zusammensetzung Liste Nr.3:

• hotmail/msn (19,5%)
• yahoo (17,7%)
• aol (8,2%)
• gmail (8,2%)
• comcast (5,6%)
• sbcglobal (4,8%)
• ca. 69 weitere (36%)

Zusammensetzung Liste Nr.5:

• yahoo/btinternet (44,9%)
• hotmail/live (25,1%)
• gmail (5,0%)
• aol (3,1%)
• ca. 90 weitere (21,9%)

Zusammensetzung Liste Nr.6:

• hotmail/msn/live (31,7%)
• yahoo (29,7%)
• aol/aim (10,6%)
• gmail (4,4%)
• comcast (3,0%)
• sbcglobal (2,6%)
• ca. 639 weitere (18,0%)

Zusammensetzung Liste Nr.7:

• hotmail/msn (98,77%)
• yahoo (0,66%)
• gmail (0,57%)

(Die Zahlen sind nicht 100%tig korrekt, da es z.T., je nach Liste, sehr viele Schreibfehler und Doubletten gibt.)


Manche Liste mag per Phishing gewonnen worden sein – andere hingegen eher per Trojaner oder gar weiteren Methoden, wie z.B. Keylogger. Ich frage mich, warum die Mailprovider so auf der Phishing-Theorie beharren?! Gibt es evtl. doch Lücken in deren Systemen, über die die Zugangsdaten ausgespäht werden können/konnten?

Das alleine mehr als 13.500 Hotmail-Accounts betroffen sind/waren ist schon etwas ungewöhnlich – ausschließlich per Phishing?! Allerdings weiß niemand wie alt die Daten sind. Da Tests öfters zeigen, das Zugangsdaten über viele Jahre nicht geändert werden, könnten die Daten der Listen bereits vor längerer Zeit gewonnen worden sein.