Challenge 5 — Phishing Alarm

Anleitung:

In dieser Aufgabe analysierst du eine verdächtige E-Mail technisch — keine Serverzugriffe, nur Auswertung der bereitgestellten Informationen. Nutze diese Schritte:

Header-Analyse: Prüfe "From", "Return-Path", "Received"-Zeilen und mögliche Abweichungen der Absender-Domäne.
Link-Inspektion: Achte auf verkürzte Links, Redirects oder Domain-Mismatch (z. B. sichtbarer Linktext ≠ Ziel-URL).
Authentifizierungs-Tags: Schau nach SPF / DKIM / DMARC-Indikatoren in den Headern (hier simuliert).
Phishing-Indikatoren: Dringlichkeit, unerwartete Anhänge, gefälschte Firmennamen, Tippfehler in Domains.

E-Mail

Hinweis: Diese Mail ist absichtlich gefälscht — du musst die technischen Indikatoren finden.

Von: "Support" <support@secure-sparkase.io>

An: htlschüler@htl-villach.com

Betreff: Dringende Aktion erforderlich — Konto muss verifiziert werden

Hallo Max,

wir haben ungewöhnliche Aktivitäten auf Ihrem Konto festgestellt. Bitte bestätigen Sie Ihre Daten innerhalb von 24 Stunden, sonst wird Ihr Konto gesperrt.

Klicken Sie hier, um zu verifizieren:
Linktext: https://sparkasse.at/verify
Ziel-URL: http://secure.bank-login.net/confirm?uid=4912

Mit freundlichen Grüßen,
Support Team

--headers--
Return-Path: 
Received: from unknown (HELO mail-23.hosting.io) (198.51.100.23)
 by mx.example.com with ESMTP id abc123;
  Tue, 07 Oct 2025 10:12:34 +0200
Received-SPF: fail (domain of secure-sparkase.io does not designate 198.51.100.23 as permitted sender)
Authentication-Results: mx.example.com; dkim=permfail (body hash did not verify) header.d=secure-sparkase.io

Aufgaben (technisch)

Beantworte die Fragen unten korrekt. Nur wenn alle Aufgaben richtig sind, erhältst du die Flag.

1) Phishing-Indikatoren (Mehrfachauswahl)

Welche der folgenden Hinweise in der Mail deuten technisch auf Phishing hin? (wähle alle richtigen)

Linktext ≠ Ziel-URL (Domain-Mismatch) SPF: fail / DKIM: permfail Starke Dringlichkeit / Drohung mit Sperre Absenderdomain ist verifiziert und akkurat

2) Welcher technische Header ist verdächtig?

Wähle die beste Antwort (Single-Choice).

Return-Path: <bounce@secure-pay-example.com> Received: from unknown (mail-23.hosting.example) (198.51.100.23) Received-SPF: fail

3) Welche Domain ist das tatsächliche Ziel des Links?

Trage die Ziel-Domain (nur Domain, keine Protokolle oder Pfade) ein, klein geschrieben.

4) Simulierte Entscheidung

Was würdest du technisch als nächstes tun? (Kurzantwort)

Erfolgreich — Flag erhalten

Sehr gut! Du hast die Phishing-Mail technisch korrekt analysiert. Die Flag lautet:

GAMECTF{PH1SH-ALARM-2025}

Wenn du eingeloggt bist, wird die Flag automatisch für deinen Account eingelöst. Deine Punkte siehst du im Scoreboard & Profil.