API Post-Digitec gehackt?

📈 Zufall, oder ist die API Digitec-Post gehackt? ⁉ 🆘

Ich habe bei Digitec.ch einen Artikel bestellt, der nicht direkt lieferbar war, sondern erst beim Lieferanten bestellt werden musste. Endlich, nach einpaar Wochen dann die erfreuliche Meldung um 10:45 per Email: „Dein Paket ist auf dem Weg zu dir“

📩Wärhrend also die Vorfreude zum Empfang der Ware anhält, bekomme ich eine SMS um 13:57 von einer Nummer, die auf den ersten Blick wie eine Service Nummer aussieht. Darin steht:

🔶 „Ihre Lieferung verzögert sich aufgrund einer fehlenden Hausnummer. Bitte geben Sie die korrekten Versandinformationen an. https://is.gd/xxxxxxxxxx

(Die Stellen nach dem letzten / der URL wurden von mir unkenntlich gemacht)

🌍 „is.gd“ ist ein URL-Kürzungsdienst, dahinter versteckt sich also eine andere URL, auf die ich weitergeleitet werde, wenn ich auf den Link  klicke (in diesem Fall darauf tippe). Solche Dienste werden oft verwendet, um lange URL-Zeilen durch temporäre Alias-URLs zu kürzen, oder eben die echte Adresse zu verschleiern.

☎ Die Servicenummer, die als Absendernummer übertragen wird lautet: +880 1844-754919 . Es ist die Landesvorwahl von Bangladesch.
Die Servicevorwahlen in der Schweiz beginnen mit 08 oder 09, also z.B. 0800 oder 084x oder 0900 etc. Ein leichtes Spiel also, ahnungslose Empfänger in der Schweiz zu „phishen“.

🤔 In einem virtuellen Browser untersuche ich die URL hinter der URL, die ich per SMS bekommen habe. Sie läuft auf eine Adresse auf, die hinter einer Cloudflare Route verschleiert wird und auf die Adresse „pot-zv.top“ terminiert, dessen TLS Zertifikat von Let’s Encrypt auf pot-zm.top“ ausgestellt wurde. Es sind also virtuelle Hosts auf einem IP Server, da Let’s Encrypt Zertifikate auf erreichbare IP Adressen ausstellt, nicht auf Domain Namen.

⁉ Das Timing ist beachtlich, weshalb ich mir zumindest folgende Fragen stelle:
– Wieso ein SMS-Dienst aus Bangladesch bzw. wo sitzen die Angreifer tatsächlich?
– Ist die API zwischen Digitec und dem Lieferanten Schweizerische Post ggf. gehackt worden, so dass Daten bei der Übertragung abgegriffen und z.B. für Scamming oder Phishing in der Schweiz missbraucht werden? (Kundendaten werden i.d.R. zwecks ordentliche Lieferung an Dienstleister per API weitergegeben)
– Wem sollte ich diesen (Zu)Fall melden, damit zumindest die API Sicherheit überprüft, Schlüssel gewechselt (Key Change) und z.B. Firewall-Protokolle vorsorglich ausgewertet werden. (Oft schwierig in solch einem Fall, was Potenzial für die Verpflichtung für Meldestellen bei Firmen hat)
– einige weitere technische Fragen, die den Rahmen des Beitrags sprengen würden

(Der Sachverhalt wurde am 04.04.2024 festgestellt und zwecks allgemeinem Verständnis vereinfacht beschrieben).

  • Related Posts

    • InfoSec
    • Oktober 17, 2024
    • 63 views
    A vendor experiences a data breach. How do you protect sensitive information?

    In addition to posts and articles, LinkedIn also has a ‘Contribute expertise’ section. I tried it out. (german translation can be found at the bottom of this post) I wanted…

    • InfoSec
    • Oktober 17, 2024
    • 63 views
    ARCHIVE.ORG DOWN

    Archive.org steht aktuell unter massivem Beschuss durch Hacker. Es gibt gezielte Versuche, die „Erinnerungen des Internets“ auszulöschen, also die umfangreichen digitalen Archive, die dort gespeichert sind. Die Angriffe sind so…

    You Missed

    Flughafenprojekt Indien der FZAG: Verzögerungen, Widersprüche und fehlende Transparenz

    • Dezember 20, 2024
    • 17 views
    Flughafenprojekt Indien der FZAG: Verzögerungen, Widersprüche und fehlende Transparenz

    Das Jewar Projekt der Flughafen Zürich AG – Ein „Moving Target“ Abenteuer?

    • Oktober 30, 2024
    • 59 views
    Das Jewar Projekt der Flughafen Zürich AG – Ein „Moving Target“ Abenteuer?

    Weihnachtszeit ohne Konsumdruck – Eine alternative Sichtweise

    • Oktober 21, 2024
    • 71 views
    Weihnachtszeit ohne Konsumdruck – Eine alternative Sichtweise

    The Brain Pollution – Das kognitive CO², das unser Kopfklima wandelt

    • Oktober 17, 2024
    • 123 views
    The Brain Pollution – Das kognitive CO², das unser Kopfklima wandelt

    Google Play Store checkt Nutzung von Apps

    • Oktober 17, 2024
    • 141 views
    Google Play Store checkt Nutzung von Apps

    Israelische Firma liefert Cybersicherheit für türkisches Militär und Ministerien

    • Oktober 17, 2024
    • 60 views
    Israelische Firma liefert Cybersicherheit für türkisches Militär und Ministerien