Als ich mal ein Auto verkaufen wollte

Ein Erfahrungsbericht, wie man auf Social Hacking, Spam und Datenklau reinfallen kann

Drei Autos sind uns definitiv zu viel. Eins muss weg. Also habe ich alle Daten zusammen gesucht und den Wagen in Mobile.de eingestellt. Schon einen Tag später meldet sich Herr Mustermann (Name geändert) mit starkem Kaufinteresse. Er wollte Details zur Ausstattung und Zustand. Na dann, das klingt ja prima. Ich mailte ihm … Hmmm, ist Herr Mustermann auch wirklich Herr Mustermann? Ich google den Namen mal. Ja, ein nett aussehender Mitte 70er mit eigenem Unternehmen. Dann beantworte ich dem Mann mal seine Fragen per Mail.

Prompt kommt die Antwort:

Danke für die Rückmeldung, Aufgrund der Art meiner Arbeit. Ich kann den 
Auto nicht sehen, aber ein Lieferwagen wird ihn abholen, nachdem ich das
Geld auf Ihr Konto überwiesen habe. Daher benötige ich für die Zahlung 
die folgenden Angaben.

Name des Kontoinhabers:
IBAN:
Name der Bank:
Endpreis:
Whatsapp-Nummer:
Adresse:

Mustermann. Danke
Anhang: Personalausweis

Er will nicht handeln, und ohne den Wagen gesehen zu haben 5K€ direkt überweisen? Aha - mannmannmann haben wir ein Glück. Fragt sich nur wie der den Wagen (eine R-Klasse ist riesig) in den Lieferwagen bekommt. Jetzt wäre der richtige Zeitpunkt etwas stutzig zu werden. Das Bild des Ausweis passt zu meinen Recherchen, auch die Adresse scheint richtig zu sein. Gehen wir mal vom schlimmsten aus: Ein Hacking-Versuch. Sowas nennt sich dann social engineering und Spear-Phishing. Was wäre bis jetzt passiert:

• Der Angreifer kenn meinen Namen und meine Mailadresse, und alle weiteren Daten, die ich meine Mobile.de Anzeige mitgegeben habe
• Er kann über meine Anzeige erahnen ob ich mich gut ausdrücke kann, welches Auto ich besitze und daran festlegen ob ich gebildet und finanziell gut ausgestattet sein könnte. Auch eine erste Schätzung ob ich eher konservativ, jung, alt, Internet affin oder nicht bin, ist möglich.

Damit kann er noch nicht viel anfangen. Das sind Daten, die man sich im Internet schnell beschaffen kann. Gut, dann spielen wir das Spiel weiter. Ab hier bitte Vorsicht walten lassen. Etwas Vorbereitung ist dringend zu empfehlen. Ein erster Hinweis auf einen Hack-Versuch liefert mir immer der Quelltest der E-Mail. Hier die Wichtigsten Zeilen mit Kommentar

Received: from 127.0.0.1 (ok, da läuft ein Spamfilter)
by atlas-production.v2-mail-prod1-ir2.omega.yahoo.com pod-id atlas--production-ir2-7646994fdc-zlf2c.ir2.yahoo.com with HTTP; Wed, 12 Jul 2023 16:54:05 +0000 (ich bekomme Post von dieser Mailadresse?)
User-Agent: Mozilla/5. (damit wurde die Mail generiert)
Return-Path: <wilhelmleinert@gmail.com> (zurück schreibe ich an eine andere Adresse - die sieht aber gut aus)
X-Originating-Ip: [209.85.208.66] (Hey, die Absender-IP. Sie kommt laut https://www.iplocation.net/ wahrscheinlich aus den USA)
Received-SPF: pass (domain of gmail.com designates 209.85.208.66 as permitted sender) (immerhin ist die IP gmail bekannt)
Content-Language: en-US (das passt zur IP)

…und da gibt es noch viel mehr zu sehen. Schaut euch an wie man den Quelltest anzeigen kann https://www.cyon.ch/support/a/header-informationen-einer-e-mail-anzeigen und lasst ihn analysieren: https://www.gaijin.at/de/tools/e-mail-header-analyzer Jetzt bin ich mir ziemlich sicher das es sich um einen Hack handelt. Dann eröffne ich mal das Spiel und mache mit.

Gut, ich habe ein tolles Angebot, einen Perso und möchte an ihn verkaufen. Nur fair, jetzt will er meinen Perso haben. Dazu muss man etwas vorbereiten:

1. !Illegal!: Wir fälschen einen Ausweis. Irgend ein Bild eines Ausweises im Internet laden, Daten verändern und die Auflösung so weit runter schrauben, das man die Fälschung nicht erkennen kann.
2. !auch illegal! Im Darknet einen gefälschten Perso für 120€ kaufen. Das geht erschreckend einfach, wenn ihr wollt, für 20$ extra, mit Doktortitel
3. „nur“ eine Ordnungswidrigkeit: Eine untergeordnete Identifikationskarte fälschen (zB internationaler Studentenausweis)
4. Dazu rate ich: Denkt euch einen teuer klingenden Verein aus (Verein zur Wahrung der klassischen Mobilität Süddeutschland …. oder sowas) und macht euch eine eigene ID-Karte = Klubausweis.

Ok, Bankdaten will er auch noch? Auch hier rate ich zur Vorbereitung:

1. baut euch schnell ein Paypal-Konto (nehmt ein Neues, nie euer eigenes)
2. oder habt ihr ein nicht-Girokonto ohne Bares? Idealerweise streng im Dispo (dann wird es hinten raus lustig)
3. Gebt eine IBAN an, die es nicht gibt (ändert zb die letzten 4 Zahlen eures Kontos, dann stimmt eure Bank noch, nur das Konto nicht)

Toll, danach kam die Bitte um einen unterschriebenen Kaufvertrag unsererseits und wir sollten die Anzeige in Mobile löschen. Gelöscht habe ich nicht, aber einen wunderhübschen Kaufvertrag vom ADAC besorgt, mit meinem Namen versehen, unterschrieben und eingescannt gemailt. Wichtig ist in diesem Fall:

• Schreibt in den Vertrag nur Daten die ihr sowieso schon preisgegeben habt
• und vergesst nicht zu schreiben: „dieses Angebot wird 3 Arbeitstage aufrecht gehalten (Datum)“ Nach 3 Tagen ist der Vertrag damit nichtig, wenn er nicht davor unterschrieben zurück kommt.

Juhuu er will wirklich zahlen. Bin ich ein Glückspilz! Achtung: Wenn jetzt die Dollarzeichen locken wie Mizi die Katzenminze, dann lauert das Spiel „Game Over“ Herr Mustermann schreibt zurück. Dieses Mal auf Geschäftspapier, mit Logo Links zu AGBs und Unterschrift. Hier eine ernstgemeinte Bitte: Klickt NIE auf Bilder oder Links, wenn ihr nicht wisst woher sie wirklich kommen. In meinem Fall war aber auch alles verseucht!

• Im Bild war ein rootkit (Das ist eine besondere Art von Virus)
• Der Link ging zu eine echt aussehenden AGB-Seite mit Download Link. Natürlich auch mit Virus. Dieses mal war es ein Stealth Keylogger. Der merkt sich jede Tastatureingabe und meldet die nach Hause - wo das auch immer ist.

Der Inhalt der Mail war wiederum sehr erfreulich. Ich habe mal einen Screenshot eingefügt, damit ihr nicht aufs Logo klickt und die personenbezogenen Daten entfernt, daher die Lücken

Schaut euch das Layout an, die Schrift, die Schreib- und Formatfehler. Mal ganz davon abgesehen, warum soll ich Geld bezahlen - und an wen?

Ihr habt euer eigenes Konto angegeben? Dann hat der Angreifer alles um euer Konto zu einer beliebigen Bank umziehen zu lassen und zu plündern. Erinnert ihr euch an meinen Rat fett im Dispo zu sein? Dieses Konto wird euch nicht geklaut. Wenn doch , geht einen Trinken, ihr sein Schulden losgeworden :) Aber auch ein Bankeinzug wäre möglich. Daher bitte euer Konto im Auge behalten, alle Passwörter SOVORT ändern und eure Bank informieren.

Ihr habt euren echten Ausweis inklusive Adresse und anderen Daten versendet? Damit kann der Angreifer sein Spiel mit euren Daten weiter treiben. Damit würde euer Name verwendet werden. Ihr habt die Gebühr bezahlt und wartet auf die Überweisung. Hmm, wie soll ich es sagen… naja, das kann dauern… lange … seeehr lange - so gegen nie. Dafür würdet ihr sehr viel neue Menschen kennen lernen, die euch alle das Schnäppchen eures Lebens anbieten werden.

Arbeitet mit Verstand und nicht mit Goldgräberstimmung. So wenig wie ihr was zu verschenken habt, wolle euch Menschen mit Superschnäppchen beglücken. Fair ist gut, und günstig darf es auch sein. Aber der Edel-Oldtimer im Jahreswagenzustand für 1000€, weil Opa ihn seit 20 Jahren nur gepflegt und nie gefahren ist - glaubt ihr wirklich daran? Auch die Edel-Omega Seamaster für 10K€ direkt James Bond vom kalten toten Handgelenk gezogen, für 400€ Mit Zertifikat (unleserlich) wird im besten Fall ein Spitzenmodell einer asiatischen Replik-Schmiede sein. Auch schön, aber kein Hunderter wert.

Ich habe nicht bezahlt, mein Konto (wäre es real) existierte noch und ich habe immer noch eine R-Klasse vor der Tür. Mittlerweile hat sich ein sehr netter Mensch gemeldet, sich den Wagen angeschaut, natürlich gehandelt und den Wagen mitgenommen. Herr Mustermann geht wohl leer aus.

Was wäre wenn Herr Mustermann wirklich das Auto kaufen wollte? Na dann hätte er nicht bezahlen können, hätte nachgefragt was da los ist und ich hätte entschuldigend geantwortet, das ich meine IBAN fehlerhaft gemailt habe. Jetzt müsste ich neu entscheiden ob ich weiter mache oder doch lieber abbreche und warte bis sich jemand meldet der vertrauenswürdiger scheint.
Aber NIEMALS hätte ich 720€ irgendwohin überwiesen.