Spam: Webseite von Bundesministerium ermöglichte Phishing-Mails
Ein Formular zur Newsletter-Anmeldung auf der Webseite des Bundesministeriums für Familie, Senioren, Frauen und Jugend (BMFSFJ) wurde für Spam- und Phishing-Angriffe missbraucht. In das Feld für den Namen konnte beliebig langer Text eingetragen und so ganze Phishing-E-Mails ausformuliert werden, die anschließend vom Mailserver des Ministeriums an die E-Mail-Adresse des angegebenen Opfers gesendet wurden.
Das Computermagazin C't(öffnet im neuen Fenster) entdeckte mehrere Spam-E-Mails, die auf diese Weise versendet wurden und konnte selbst eine authentisch wirkende Phishing-E-Mail als Proof-of-Concept (PoC) generieren.
Diese versprach einen einmaligen Haushaltsbonus von 600 Euro, sofern die betreffende Person verschiedene Daten auf einer verlinkten Webseite angebe. Erst unter diesem Text wurde die eigentliche Newsletter-Anmeldung mitsamt Bestätigung gesendet, die im Beispiel des Magazins eher wie ein Footer wirkt. Der Absender ist die echte Newsletter@bmfsfj.de-E-Mail-Adresse.
Eingaben nicht geprüft
Möglich war das Versenden solcher Phishing-Mails einerseits, weil die Webseite den eigentlich nicht notwendigen Namen erfasst, um Interessierte direkt ansprechen zu können. Andererseits prüfte und beschränkte das Ministerium die eingegebenen Daten nicht.
Wurde der HTML-Code des Feldes zum Eingeben des Namens zudem lokal bearbeitet, beispielsweise mit den Entwickler-Tools des Browsers, konnte dieses in ein Textarea-Feld abgeändert werden, in welches sich auch problemlos Zeilenumbrüche eintippen lassen. So kam die mehrere Absätze lange Mail des Magazins zustande.
Da die Daten - aus Datenschutzsicht vorbildlich - erst in einer Datenbank abgelegt wurden, wenn der Bestätigungslink in der Mail angeklickt wurde, ist nicht klar, in welchem Umfang Personen derartige E-Mails erhalten haben. Dem Ministerium sei nur bekannt, das es Spam-E-Mails gegeben habe, heißt es in dem Bericht. Das Formular für die Newsletteranmeldung wurde vorübergehend vom Netz genommen.