Phishing
In der Regel verwenden Angreifer Phishing-E-Mails, um präparierte Links oder Anhänge zu verbreiten, über die sie dann wiederum eine Vielzahl von Funktionen ausführen können. So versuchen Kriminelle beispielsweise an die Zugangsdaten oder Kontoinformationen von Opfern zu gelangen.
Phishing ist bei Cyberkriminellen aus gutem Grund sehr beliebt. Es ist viel einfacher, jemanden dazu zu verleiten, auf einen bösartigen Link in einer scheinbar legitimen Phishing-E-Mail zu klicken, als die Verteidigungsmaßnahmen eines IT-Systems zu durchbrechen.
So funktioniert Phishing
Phishing-Angriffe bedienen sich gerne Techniken wie dem Social Engineering, um an Informationen über potenzielle Opfer zu gelangen. Es gibt auch Methoden, die Nachrichten über soziale Netzwerke oder SMS gesendet werden.
Angreifer nutzen öffentliche Informationsquellen, um an Hintergrundinformationen über den persönlichen und beruflichen Werdegang, die Interessen und die Aktivitäten des Opfers zu sammeln. Typischerweise erfolgt diese über soziale Medien wie LinkedIn, Facebook und Twitter. Diese Quellen werden üblicherweise verwendet, um Informationen wie Namen, Berufsbezeichnung und E-Mail-Adressen von potenziellen Opfern zu ermitteln. Diese Informationen werden dann verwendet, um eine glaubwürdige E-Mail zu verfassen.
Typischerweise erhält ein Opfer eine Nachricht, die scheinbar von einem bekannten Kontakt oder einer bekannten Organisation gesendet wurde. Der Angriff erfolgt dann meist über einen bösartigen Dateianhang oder über Links, die zu präparierten Websites führen. In beiden Fällen besteht das Ziel des Angreifers häufig darin, Schadsoftware auf dem Rechner des Benutzers zu installieren oder das Opfer auf eine gefälschte Website zu leiten. Diese gefälschten Websites werden eingerichtet, um die Opfer dazu zu bringen, persönliche und finanzielle Informationen wie Passwörter, Konto-IDs oder Kreditkarteninformationen preiszugeben.
Insbesondere manche Massenaussendungen in Sachen Spam sind nicht besonders aufwendig formuliert oder gestaltet und daher oft leicht zu erkennen. Im professionellen Bereich nutzen die Cyberkriminellen längst die gleichen Techniken, die auch Marketingabteilungen verwenden, um die effektivsten Arten von Nachrichten zu identifizieren und zu generieren.
Wie man Phishing-E-Mails erkennen kann
Erfolgreiche Phishing-Mails sind nur schwer von echten, legitimen Nachrichten zu unterscheiden. In der Regel werden sie als von einem bekannten Unternehmen stammend dargestellt und enthalten sogar Firmenlogos und andere gesammelte Identifikationsdaten.
Dennoch gibt es mehrere Anhaltspunkte, die darauf hinweisen können, dass es sich bei einer Nachricht um einen Phishing-Versuch handelt. Dazu gehören:
- Die Nachricht verwendet Subdomains, falsch geschriebene URLs (Typosquatting) oder andere verdächtige URLs.
- Der Empfänger der potenziellen Antwort verwendet eine Gmail- oder eine andere öffentliche E-Mail-Adresse und kein Firmen-E-Mail-Konto.
- Die Nachricht versucht inhaltlich Druck auf zu bauen oder eine Dringlichkeit zu vermitteln, um zu einer Aktion zu verleiten.
- Die Nachricht enthält eine Aufforderung, persönliche Daten zu verifizieren, beispielsweise Finanzdaten oder ein Kennwort.
- In der Nachricht sind im Detail noch Grammatik- und Rechtschreibfehler zu entdecken.
Cyberkriminelle verfeinern ihre Fähigkeiten hinsichtlich ihrer Angriffe immer weiter und so existieren immer neue Arten von Phishing-Betrug. Einige häufige Arten von Phishing-Angriffen sind:
Spear Phishing: Spear-Phishing-Angriffe richten sich an bestimmte Personen oder Unternehmen. Diese Angriffe verwenden in der Regel gesammelte Informationen, die für das Opfer spezifisch sind, um die Nachricht als möglichst authentisch erscheinen zu lassen. Spear-Phishing-E-Mails können Verweise auf Mitarbeiter oder Führungskräfte im Unternehmen des Opfers sowie die Verwendung des Namens, des Standorts oder anderer persönlicher Informationen des Opfers enthalten (siehe auch Spear Phishing: Anmeldedaten von Anwendern in Gefahr).
Whaling: Bei Whaling-Angriffen handelt es sich um eine spezielle Art von Spear Phishing, das speziell auf leitende Angestellte innerhalb abzielt. Dieser Angriff hat häufig das Ziel, große Summe zu entwenden. Diejenigen, die eine Spear-Phishing-Kampagne vorbereiten, recherchieren über ihre Opfer sehr detailliert, um eine möglichst authentische Nachricht zu erstellen. Die Verwendung von Informationen, die für das Ziel relevant oder sehr spezifisch sind, erhöht die Chancen, dass der Angriff erfolgreich ist.
Da ein typischer Whaling-Angriff auf einen Mitarbeiter abzielt, der berechtigt ist, Zahlungen zu autorisieren, erscheint die Phishing-Nachricht häufig als Anweisung einer Führungskraft. Beispielsweise mit der Bitte eine große Zahlung an einen tatsächlichen Lieferanten zu leisten, während die Zahlung in Wirklichkeit an die Angreifer erfolgen würde.
Pharming: Hierbei handelt es sich um einen Phishing-Angriff, der DNS-Cache-Poisoning verwendet, um Benutzer von einer legitimen Website auf eine betrügerische umzuleiten. Beim Pharming wird versucht, Benutzer dazu zu verleiten, sich auf der gefälschten Website mit persönlichen Zugangsdaten anzumelden.
Clone Phishing: Bei diesen Angriffen werden zuvor zugestellten, aber legitime E-Mails verwendet, die entweder einen Link oder einen Anhang enthalten. Die Angreifer erstellen eine Kopie – oder einen Klon – der legitimen E-Mail und ersetzen eine beliebige Anzahl von Links oder angehängten Dateien durch bösartige. Die Opfer können dann zu verleitet werden, auf den bösartigen Link zu klicken oder den bösartigen Anhang zu öffnen.
Dieses Vorgehen wird häufig von Angreifern angewandt, die bereits die Kontrolle über das System eines anderen Opfers haben. In diesem Fall nutzen die Angreifer ihre Kontrolle über ein System innerhalb der Organisation, um E-Mails von einem vertrauenswürdigen Absender aus zu versenden.
Als die Übertragungen noch nicht standardmäßig so häufig verschlüsselt erfolgten, wie aktuell, haben Angreifer ebenfalls versucht, Opfer mit WLAN-Zugangspunkten zu täuschen. Sie haben dann einen ähnlich klingenden Zugangspunkt eingerichtet, um das Opfer zum Verbinden mit diesem WLAN zu verleiten. Dann wurde versucht aus dem Datenverkehr Kennwörter oder Benutzer-IDs abzufischen.
Vishing: Voice-Phishing oder Vishing ist eine Form von Angriffen, die über sprachbasierte Medien, wie beispielsweise VoIP erfolgen. Beispielsweise ist eine typische Form des Betrugs eine Sprachnachricht, die hinterlassen wird, um das Opfer über verdächtige Aktivitäten auf einem Bank- oder Kreditkartenkonto informiert. Der Anrufer fordert das Opfer auf, zu antworten und sich mit Daten zu identifizieren, womit die Daten des Opfers kompromittiert werden.
Eine weitere Form ist das SMS-Phishing, auch als Smishing bekannt. Diese Angriffsform nutzt Textnachrichten an die Opfer, um diese zu verleiten, beispielsweise Kontodaten preiszugeben oder Malware zu installieren.
Techniken von Phishing-Angriffen
Bei Phishing-Attacken geht es meist darum, eine E-Mail an Opfer zu senden und zu hoffen, dass diese auf einen bösartigen Link klicken oder einen Anhang öffnen. Angreifer machen sich dabei verschiedene Techniken zunutze, um die Opfer in die Falle zu locken:
So wird JavaScript verwendet, um ein Bild einer legitimen URL über der Adressleiste des Browsers zu platzieren. Die URL wird aufgedeckt, wenn der Anwender mit dem Mauszeiger über einen eingebetteten Link fährt und kann mit Hilfe von JavaScript geändert werden.
Bei der Link-Manipulation, manchmal auch als URL-Hiding bezeichnet, wird eine bösartige URL erstellt, die so angezeigt wird, als würde sie auf eine legitime Website oder Webseite verweisen. Der tatsächliche Link führt jedoch zu eine präparierten Webressource.
Angreifer versuchen das Ziel eines Links über Verkürzungsdienste wie bit.ly zu verbergen. Die Opfer haben dann keine Chance zu erkennen, ob der Link zu einer präparierten Webressource führt oder zu einem legitimen Angebot.
Beim homographischen Angriff versuchen die Kriminellen URLs mit unterschiedlichen Zeichen so darzustellen, dass sie für das potenzielle Opfer wie eine legitime Adresse aussehen. Hierfür registrieren Angreifer Domains mit leicht abweichenden Zeichensätzen, die dann etablierten Adressen ähneln.
Das Rendern der gesamten Nachricht oder eines Teils des Inhalts als grafisches Element, ermöglicht es Angreifern manchmal die Phishing-Abwehr zu umgehen. Manche Security-Tools suchen in den E-Mails nach bestimmten Phrasen oder Begriffen, die in Phishing-E-Mails häufig auftauchen. Durch das Rendern der Nachricht als Bild wird dies umgangen.
Eine andere Phishing-Taktik beruht auf einer verdeckten Umleitung, bei der aufgrund einer Schwachstelle nicht erkannt wird, ob eine umgeleitete URL auf eine vertrauenswürdige Adresse verweist oder nicht. In diesem Fall ist die umgeleitete URL meist eine zwischengeschaltete präparierte Webseite, die beispielsweise Anmeldeinformationen vom Opfer abfragt. Dies geschieht, bevor der Browser des Opfers auf die legitime Seite weitergeleitet wird.
Wie man Phishing abwehren kann
Um zu verhindern, dass Phishing-Nachrichten die potenziellen Opfer und Endanwender erreichen, empfehlen Security-Experten einen mehrschichtigen Sicherheitsansatz, wozu folgende Punkte gehören:
- Antiviren-Software
- Desktop- und Netzwerk-Firewalls
- Antispy-Software
- Gateway-E-Mail-Filter
- Web Security Gateway
- Spam-Filter
- Phishing-Filter
E-Mail-Server in Unternehmen sollten mindestes einen Authentifizierungsstandard verwenden, um zu bestätigen, dass eingehende Mails überprüfbar sind. Das kann zum Beispiel über DKIM erfolgen, dass sicherstellen soll alle Nachrichten zu blockieren, außer jenen die korrekt signiert wurden. In Kombination mit DMARC (Domain-based Message Authentication, Reporting and Conformance) lässt sich festlegen, wie der Empfänger von E-Mails die Authentifizierung durchführt (siehe auch Zurück zum Absender: E-Mail-Sicherheit mit DMARC, SPF und DKIM).
Beispiele für Phishing
Betrug per Phishing existiert in unterschiedlichsten Varianten. Anwender sollten sich den unterschiedlichen Phishing-Methoden von kriminellen Angreifern gewahr sein:
Phishing für digitale Zahlungsverfahren
Dies geschieht, wenn die Angreifer bekannte Websites von Zahlungsdienstleistern zur Täuschung verwenden. Bei dieser Masche gibt sich der Angreifer als bekannter Onlinezahlungsdienst wie beispielsweise Paypal aus.
In der Regel erfolgen diese Angriffe per E-Mails, in denen eine gefälschte Version des vertrauenswürdigen Zahlungsdienstes einen Anwender auffordert, seine Anmeldedaten und andere sensible Informationen einzugeben. Üblicherweise wird behauptet, dass dies notwendig sei, um ein Problem mit dem Konto des Benutzers zu lösen. Oft erhalten diese Phishing-Versuche zu einer betrügerischen Spoof-Seite.
Anbieter wie Paypal sind sich diesen Bedrohungen bewusst und versorgen ihre Kunden mit entsprechenden Ratschlägen, um diesen Angriffen zu begegnen. Dazu gehört das Überprüfen der URL in entsprechenden Mails sowie der Hinweis einen separaten Weg zu wählen. Will heißen, sich separat in das Konto einzuloggen, ob zu überprüfen, dass alles in Ordnung ist.
Bankbezogenes Phishing
Bei dieser Form des Phishings hoffen die Angreifer, dass die Opfer in Panik geraten und so dem Betrüger die sensiblen Informationen verraten. In der Regel gibt sich der Betrüger hier als die Bank des Opfers aus. Per E-Mail oder auch Telefonanruf, informiert der Betrüger das Opfer darüber, dass die Sicherheit seines Kontos gefährdet sei. Oft verwenden die Kriminellen die Drohung des vermeintlichen Identitätsdiebstahls, um genau jenen zu erreichen.
Diese verdächtigen E-Mails beziehen sich beispielsweise auf Überweisungen oder auf nicht mögliche oder auch vorgenommene Abbuchungen. Oftmals wird das Opfer annehmen, dass ein Betrag fälschlicherweise von seinem Konto abgebucht wurde und auf den Link in der Mail klicken.
Berufsbezogenes Phishing
Die Betrugsversuche, die Opfer konkret an ihrem Arbeitsplatz angehen, sind oft sehr gefährlich, weil sie nur schwer zu erkennen sind. Der Angreifer gibt sich beispielsweise als Kollegen oder Vorgesetzter des Opfers aus und versucht dieses zu einer bestimmten Aktion zu verleiten. Eine spezielle Form ist zum Beispiel der Business E-Mail Compromise (BEC).
Diese Phishing-Versuche werden häufig verwendet, um an die Anmeldedaten des Opfers zu gelangen. Dieser Betrug funktioniert oftmals, da sich die Angreifer mitunter in bestehende E-Mail-Unterhaltungen einklinken und zunächst über ganz belanglose Themen kommunizieren. Beispielsweise, dass eine anstehende Präsentation geändert werden muss oder eine Besprechung verschoben werden muss.
Irgendwann im Laufe der E-Mail-Unterhaltung wird das Opfer gebeten, beispielsweise die Terminverschiebung zu bestätigen. Dieser Link führt das Opfer dann auf eine gefälschte Anmeldeseite für Microsoft 365 oder Outlook. Wenn der Anwender dort seine Zugangsdaten eingibt, hat der Betrüger sein Ziel erreicht.