Stuttgart-West, 3 ZKB, 90qm², 500€ warm, nähe Phishmarkt…Part 2
Achtung, es handelt sich um einen Phishing-Versuch! Inzwischen finden Sie Phishing in allen Lebensbereichen. Besonders Menschen in Not sind hierbei aufgrund ihrer Situation leichtere Opfer. Unsere Kollegin hat hierzu in ihrem Blogbeitrag ausführlich die Hintergründe hervorgehoben.
Leider sind heutzutage die seltensten Phishing-Versuche so offensichtlich, wie in unserem Titel. Im Gegenteil, sie werden immer besser und wirken täuschend echt. Trotz der guten Aufklärung über Phishing-Attacken nimmt die Anzahl der Klicks auf gefälschte Links oder Mails weiter zu. Dies haben wir zum Anlass genommen, die Hintergründe dieser Attacken im Detail aufzuzeigen.
Kleine Phishe und große Whale
Zu Beginn entscheidet sich der Angreifer für eine bestimmte Art des Phishings. Grob zu unterscheiden gilt zwischen einem Massenphishing (dem allgemein bekannten Phishing) und einem gezielten Angriff, wobei hier zwischen dem sogenannten „Spearphishing“ und dem „Whaling“ differenziert wird.
Massenphishing
Beim herkömmlichen Phishing geht der Angreifer nicht persönlich auf den Empfänger ein. Die Attacken, meist durch Mails, sollen an die große Masse verteilt werden, sodass möglichst viele Personen auf die Links klicken. Hierbei werden Szenarien gewählt, welche für einen möglichst großen Personenkreis realistisch erscheinen. Zur Verdeutlichung möchten wir ein Beispiel anführen:
In diesem Fall wurde Amazon als Absender gewählt, da heutzutage fast jeder diesen e-Commerce Shop nutzt. Die Wahrscheinlichkeit, dass eine Phishing-Mail mit Inhalten von Amazon geöffnet wird, ist daher deutlich höher. Das Opfer vermutet aufgrund des Absenders und des Erscheinungsbildes eine echte Amazon-Mail. Die Bestellinformationen im Bild wurden von uns aus Datenschutzgründen geändert, normalerweise steht hier eine wirklich existierende Adresse. Der Angreifer gibt beispielsweise die Adresse einer in der Nachbarschaft lebenden Person an, welche aktuell dort nicht anzutreffen ist. Dies ermöglicht dem Täter Pakete abzugreifen, ohne seine eigene Adresse preiszugeben.
Der Inhalt der Mail wurde so formuliert, dass er für Laien durchaus authentisch erscheint. Auf den ersten Blick entsteht der Eindruck, dass diese Mail tatsächlich von Amazon stammt. Durch die Druckausübung mittels der Deadline, wird das Opfer verstärkt dazu verleitet, auf den in der Mail enthaltenen Link zu klicken. Dieser wurde im Beispiel durch den Linktext getarnt (anstelle von „http://www.example.com“ steht hier „Klicken Sie hier […]“). Demzufolge kann der Linkinhalt nur durch Mouseover betrachtet werden. Außerdem ist auffällig, dass Amazon keinen Datenabgleich dieser Art durchführen würde.
Allerdings wird durch die Druckausübung Unsicherheit erzeugt, die Opfer werden daher unaufmerksam oder haben Angst vor den Konsequenzen. Infolgedessen werden häufig die Auffälligkeiten übersehen, der Link wird geklickt und persönliche Daten werden auf der Landing-Page preisgegeben. Gerade im Fall Amazon ist dies sehr fatal. Im Profil sind persönliche Daten wie beispielweise die Bankdaten hinterlegt. Der Angreifer kann jegliche Produkte über diesen Account ungehindert bestellen und somit dem Opfer enormen finanziellen Schaden zufügen.
Spearphishing
Spearphishing bezeichnet eine präzisere Form des Phishings, welche gezielt auf einen Personenkreis zugeschnitten wird, sodass sie vertrauenswürdig erscheint. Zu diesem Zweck werden vorab Informationen über die Zielperson gesammelt. Um entsprechende Informationen herauszufinden, wird zum Beispiel über Suchmaschinen, soziale Netzwerke, die Universität oder die Arbeitsstätte der Opfer eingegrenzt. Diese Informationen werden anschließend genutzt, um die Attacken durch potenziell zutreffendere Inhalte authentischer wirken zu lassen.
Demzufolge schafft die Einschränkung des Zielpersonenkreises eine Vertrauensbasis, wodurch eine deutlich höhere Trefferquote erzielt wird. Daher gilt Spearphishing als die erfolgreichste Phishing-Methode.
In folgendem Beispiel handelt es sich um einen solchen Angriff in Bezug auf Bankdaten. Das Opfer gelangte hierbei durch die Suchmaschinenanfrage „Volksbank Stuttgart“ auf die unten abgebildete Login-Seite.
Hierbei lässt sich auf den ersten Blick kein Unterschied erkennen, das Erscheinungsbild entspricht dem Original. Bei genauerem Prüfen ist allerdings auffällig, dass es sich hier nicht um den Schriftzug der Volksbank Stuttgart handelt. Jedoch schöpft das Opfer an dieser Stelle nicht zwingend Verdacht, da die Volksbank Stuttgart der Genossenschaft der Volksbanken-Raiffeisenbanken angehört. Die Originalseite der Volksbank-Raiffeisenbanken ist allerdings unter www.vr.de zu erreichen. Weitere Auffälligkeiten zeigen sich oben im URL-Feld. Dort steht „Raiffaisenbanken“, nicht die korrekte Schreibweise „Raiffeisenbanken“. Außerdem beinhaltet die Seite kein https-Sicherheitszertifikat. Hat das Opfer nun seine Zugangsdaten durch das Formular übermittelt, wird folgende Seite angezeigt:
Hier werden weitere wichtige Daten angefragt. Diese ermöglichen dem Angreifer schließlich einen Identitätsdiebstahl durchzuführen. Er kann nun beispielsweise die Bank telefonisch kontaktieren und sich als das Opfer ausgeben. Mit den gestohlenen Daten kann der Täter die Sicherheitsfragen der Bank umgehen und somit die Identität bestätigen. Er hat nun Zugriff auf das Konto sowie auf das Geld des Opfers.
Whaling
Sehr ähnlich ist die Vorgehensweise beim Whaling, jedoch zielt diese Attacke speziell auf hohe Führungskräfte ab. Die Mails werden möglichst genau an das Ziel angepasst, beispielweise mit persönlicher Anrede und präziser Funktionsbezeichnung. Das Prinzip ist analog zum Spearfishing, die Informationsbeschaffung ist hier allerdings erheblich aufwendiger, da hohe Führungskräfte in der Regel deutlich aufmerksamer sind. Daher muss die Mail detailreicher angefertigt werden, um authentisch zu wirken. Angreifer möchten über diese Angriffsmethode an hochsensible Daten gelangen, welche sehr wertvoll sein können.
In diesem Fall ziehen wir ein allgemeines Beispiel hinzu: Oftmals übernehmen internationale Konzerne Firmen aus dem gehobenen Mittelstand im nahen oder fernen Ausland. Hier gilt die Devise: berufliche Nähe, persönliche Distanz. Die Firmen führen zwar eine enge Geschäftsbeziehung, jedoch haben sich die betroffenen Personen auf Grund der Entfernung höchst wahrscheinlich noch nie persönlich getroffen. Angreifer erfahren durch die Medien von der Übernahme und machen sich diese spezielle Situation zunutze. Sie sammeln gezielt relevante Informationen und missbrauchen diese, um sich als CEO der übernehmenden Firma auszugeben. Per Mail mit ähnlich klingenden Domainnamen, wenden sie sich an wichtige Schlüsselpersonen in der aufgekauften Firma und fordern schnellstmöglich die Überweisung eines hohen Geldbetrages auf ein Konto des Angreifers. Die Übernahme bietet den perfekten Grund, die Überweisung zu legitimieren. Der angebliche CEO stellt beispielsweise eine Forderung an die Buchhaltung, welche Geldtransaktionen sie in Zusammenhang mit der Geschäftsübernahme tätigen sollen.
Grundsätzlich kann man sagen, dass der Aufwand für den Angriff analog zum Gewinn, beziehungsweise finanziellen Schaden, steigt.
Bei diesen Phishing-Angriffen haben die Kriminellen ein gewieftes Vorgehen, in Part 3 dieser Blog-Reihe beleuchten wir dieses näher.
1 Kommentar