📈 Zufall, oder ist die API Digitec-Post gehackt? ⁉ 🆘
Ich habe bei Digitec.ch einen Artikel bestellt, der nicht direkt lieferbar war, sondern erst beim Lieferanten bestellt werden musste. Endlich, nach einpaar Wochen dann die erfreuliche Meldung um 10:45 per Email: “Dein Paket ist auf dem Weg zu dir”
📩Wärhrend also die Vorfreude zum Empfang der Ware anhält, bekomme ich eine SMS um 13:57 von einer Nummer, die auf den ersten Blick wie eine Service Nummer aussieht. Darin steht:
🔶 “Ihre Lieferung verzögert sich aufgrund einer fehlenden Hausnummer. Bitte geben Sie die korrekten Versandinformationen an. https://is.gd/xxxxxxxxxx“
(Die Stellen nach dem letzten / der URL wurden von mir unkenntlich gemacht)
🌍 “is.gd” ist ein URL-Kürzungsdienst, dahinter versteckt sich also eine andere URL, auf die ich weitergeleitet werde, wenn ich auf den Link klicke (in diesem Fall darauf tippe). Solche Dienste werden oft verwendet, um lange URL-Zeilen durch temporäre Alias-URLs zu kürzen, oder eben die echte Adresse zu verschleiern.
☎ Die Servicenummer, die als Absendernummer übertragen wird lautet: +880 1844-754919 . Es ist die Landesvorwahl von Bangladesch.
Die Servicevorwahlen in der Schweiz beginnen mit 08 oder 09, also z.B. 0800 oder 084x oder 0900 etc. Ein leichtes Spiel also, ahnungslose Empfänger in der Schweiz zu “phishen”.
🤔 In einem virtuellen Browser untersuche ich die URL hinter der URL, die ich per SMS bekommen habe. Sie läuft auf eine Adresse auf, die hinter einer Cloudflare Route verschleiert wird und auf die Adresse “pot-zv.top” terminiert, dessen TLS Zertifikat von Let’s Encrypt auf pot-zm.top” ausgestellt wurde. Es sind also virtuelle Hosts auf einem IP Server, da Let’s Encrypt Zertifikate auf erreichbare IP Adressen ausstellt, nicht auf Domain Namen.
⁉ Das Timing ist beachtlich, weshalb ich mir zumindest folgende Fragen stelle:
– Wieso ein SMS-Dienst aus Bangladesch bzw. wo sitzen die Angreifer tatsächlich?
– Ist die API zwischen Digitec und dem Lieferanten Schweizerische Post ggf. gehackt worden, so dass Daten bei der Übertragung abgegriffen und z.B. für Scamming oder Phishing in der Schweiz missbraucht werden? (Kundendaten werden i.d.R. zwecks ordentliche Lieferung an Dienstleister per API weitergegeben)
– Wem sollte ich diesen (Zu)Fall melden, damit zumindest die API Sicherheit überprüft, Schlüssel gewechselt (Key Change) und z.B. Firewall-Protokolle vorsorglich ausgewertet werden. (Oft schwierig in solch einem Fall, was Potenzial für die Verpflichtung für Meldestellen bei Firmen hat)
– einige weitere technische Fragen, die den Rahmen des Beitrags sprengen würden
(Der Sachverhalt wurde am 04.04.2024 festgestellt und zwecks allgemeinem Verständnis vereinfacht beschrieben).
