Okay! Und das war's...

Weiter kommen wir leider ohne gültige Passphrase nicht...
Ja diese Seite scheint tatsächlich im Backend zu prüfen ob die eingegebenen Daten stimmen.

Schön gemacht alles und ganz schön fies.
Bis man die Passphrase eingeben soll ist man im Kopf schon so weit weg von "Ich hab hier auf ne komische Mail geklickt", dass ich mir tatsächlich vorstellen könnte, damit einige zu erwischen.

Hätten die Signal Poweruser*innen im Bundestag Krypto Wallets, wären die jetzt bestimmt weg 🤡

11/12

Und finally jetzt bitte einmal deine MetaMask Secret Phrase.

Und "Oh Schreck!!1!" es läuft ja gar keine Kommunikation mit reown, sondern die Daten gehen einfach auch alle an den /send.php Endpunkt der Phishing Seite¹ :O

Das ist die kryptographische Basis deiner Wallet und sie wurde somit soeben erfolgreich "reowned" und hat damit den Besitzer gewechselt :)

¹ Der Request ans backend geht an der Stelle zweimal raus (ich check nicht ganz warum)

10/?

Es gibt jetzt erstmal noch ein pop-over, dass einen Bullshit Update Flow für meine ausgewählte Wallet (MetaMask) zeigt und suggerieren soll, dass hier tatsächlich die Client SDK von reown am Werk ist.

9/?

So, jetzt wird's ernst! Es geht zur "Wallet Verifizierung 😉 "
Angeblich über WalletConnect von ". / reown" (wirklich grandioser Name für das was gleich passiert :D), was scheinbar tatsächlich ein reputables Produkt in diesem Space zu sein scheint¹.

Spoiler alert, nein das wird (zumindest clientseitig nicht wirklich genutzt).

¹ so reputabel wie"s bei Crypto Bullshit eben wird: https://reown.com/

8/?

Jetzt erstmal noch ein paar Angaben zur Person! Wir werden hier wirklich gut darauf trainiert, dass man dieser Seite Daten gibt. Dann ist der letzte Schritt mit der Passphrase Eingabe am Ende gar nicht mehr so eine große Hürde.

Wichtig hierbei: seid euch sicher, dass das keine echten Daten sind...die landen im Zweifelsfall auf einer Liste mit gutgläubigen Marks und werden weiterverwendet.
Die BNetzA stellt für solche Fälle sogenannte "Drama Numbers" zur Verfügung, die für Medienproduktionen gedacht sind und nicht an echte Anschlüsse vergeben werden¹.

Außerdem: Bug Report. Wollen sie denn meine Straße gar nicht wissen?

¹ https://www.bundesnetzagentur.de/DE/Fachthemen/Telekommunikation/Nummerierung/_DL/mittlg148_2021.pdf?__blob=publicationFile&v=1

7/?

Weiter geht es mit ein paar konkreten Auskünften zu Krypto-Exchanges und Wallets die genutzt werden.

Was auffällt: Alle Daten gehen an den gleichen Endpunkt...vielleicht kann man da mal mit der Payload spielen ob man da was kaputt kriegt

6/?

Und zwar zu diesem Fragebogen.

Ein softer Einstieg also. Psychologisch erstmal sehr schlau, weil es wird nicht gleich nach irgendwelchen Login Daten gefragt, sondern es wird erstmal Kontext aufgebaut und wir gewöhnen uns dran, dass das eine Seite ist auf der man Dinge ausfüllt.

5/?

Wenn wir dem Link folgen, geht es erstmal über 2 redirects von "grupoalinacorp.com" zu "vitalecorecycling.com" auf unsere Phishing Domain "portal.bzst-amt.com.de"¹.

Landingpage mit glaubhaftem Behördendesign und Bundesadler-
Alle klickbaren Elemente führen allerdings zur gleichen Location

¹com.de verkauft subdomains für "business" customer

4/?

Sonst sieht das nämlich einfach so aus :)

Petition: frei wählbare Namen sollten aus Mail clients verschwinden und ausschließlich Absenderadressen angezeigt werden

3/?

Ausgangslage Phishing-Mail:

Aktenzeichen wird genannt, Mitwirkungspflicht, Rechtsbelehrung großer roter Kasten was dir droht wenn du nicht mitmachst!

Alles ganz gut gemacht und klingt sehr Beamtendeutsch.
Einzig, die Absendermail-Adresse sieht doch etwas komisch aus.

Aber das fällt dank Ionos' Phishing-freundlicher UI eben auch nur auf wenn man sich angewöhnt hat zu klicken und sich den Absender anzeigen zu lassen

2/?