• IT-Karriere:
  • Services:

Spam: Webseite von Bundesministerium ermöglichte Phishing-Mails

Über ein Newsletter-Formular des Familienministeriums konnten Spam- und Phishing-Mails an beliebige Opfer versendet werden.

Artikel veröffentlicht am ,
Phishing mit der Newsletter-Anmeldung des Familienministeriums
Phishing mit der Newsletter-Anmeldung des Familienministeriums (Bild: Tumisu/Pixabay)

Ein Formular zur Newsletter-Anmeldung auf der Webseite des Bundesministeriums für Familie, Senioren, Frauen und Jugend (BMFSFJ) wurde für Spam- und Phishing-Angriffe missbraucht. In das Feld für den Namen konnte beliebig langer Text eingetragen und so ganze Phishing-E-Mails ausformuliert werden, die anschließend vom Mailserver des Ministeriums an die E-Mail-Adresse des angegebenen Opfers gesendet wurden.

Stellenmarkt
  1. Dusyma Kindergartenbedarf GmbH, Schorndorf bei Stuttgart
  2. Securiton GmbH IPS Intelligent Video Analytics, München

Das Computermagazin C't entdeckte mehrere Spam-E-Mails, die auf diese Weise versendet wurden und konnte selbst eine authentisch wirkende Phishing-E-Mail als Proof-of-Concept (PoC) generieren.

Diese versprach einen einmaligen Haushaltsbonus von 600 Euro, sofern die betreffende Person verschiedene Daten auf einer verlinkten Webseite angebe. Erst unter diesem Text wurde die eigentliche Newsletter-Anmeldung mitsamt Bestätigung gesendet, die im Beispiel des Magazins eher wie ein Footer wirkt. Der Absender ist die echte Newsletter@bmfsfj.de-E-Mail-Adresse.

Eingaben nicht geprüft

Möglich war das Versenden solcher Phishing-Mails einerseits, weil die Webseite den eigentlich nicht notwendigen Namen erfasst, um Interessierte direkt ansprechen zu können. Andererseits prüfte und beschränkte das Ministerium die eingegebenen Daten nicht.

Wurde der HTML-Code des Feldes zum Eingeben des Namens zudem lokal bearbeitet, beispielsweise mit den Entwickler-Tools des Browsers, konnte dieses in ein Textarea-Feld abgeändert werden, in welches sich auch problemlos Zeilenumbrüche eintippen lassen. So kam die mehrere Absätze lange Mail des Magazins zustande.

Da die Daten - aus Datenschutzsicht vorbildlich - erst in einer Datenbank abgelegt wurden, wenn der Bestätigungslink in der Mail angeklickt wurde, ist nicht klar, in welchem Umfang Personen derartige E-Mails erhalten haben. Dem Ministerium sei nur bekannt, das es Spam-E-Mails gegeben habe, heißt es in dem Bericht. Das Formular für die Newsletteranmeldung wurde vorübergehend vom Netz genommen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de

Folgen Sie uns
       


Todesfall: Citrix-Sicherheitslücke ermöglichte Angriff auf Krankenhaus
Todesfall
Citrix-Sicherheitslücke ermöglichte Angriff auf Krankenhaus

Ein Ransomware-Angriff auf die Uniklinik Düsseldorf, der zu einem Todesfall führte, erfolgte über die "Shitrix" genannte Lücke in Citrix-Geräten

  1. Datenleck Citrix informiert Betroffene über einen Hack vor einem Jahr
  2. Shitrix Das Citrix-Desaster
  3. Perl-Injection Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

Freebuds Pro im Test: Huaweis bester ANC-Hörstöpsel schlägt die Airpods Pro nicht
Freebuds Pro im Test
Huaweis bester ANC-Hörstöpsel schlägt die Airpods Pro nicht

Die Freebuds Pro haben viele Besonderheiten der Airpods Pro übernommen und sind teilweise sogar besser. Trotzdem bleiben die Apple-Stöpsel etwas Besonderes.
Ein Test von Ingo Pakalski

  1. Galaxy Buds Live im Test So hat Samsung gegen Apples Airpods Pro keine Chance
  2. Freebuds Pro Huawei bringt eine Fast-Kopie der Airpods Pro
  3. Airpods Studio Patentanträge bestätigen Apples Arbeit an ANC-Kopfhörer

Burnout im IT-Job: Mit den Haien schwimmen
Burnout im IT-Job
Mit den Haien schwimmen

Unter Druck bricht ein Webentwickler zusammen - zerrieben von zu eng getakteten Projekten. Obwohl die IT-Branche psychische Belastungen als Problem erkannt hat, lässt sie Beschäftigte oft allein.
Eine Reportage von Miriam Binner


      •  /