Stuttgart-West, 3 ZKB, 90qm², 500€ warm, nähe Phishmarkt…Part 3

Der Grundgedanke der Angreifer ist, unabhängig der verschiedenen Phishing-Arten, fast immer gleich – sie wollen persönliche Daten stehlen und diese für eigennützige Zwecke missbrauchen!

Dabei ist die Vorgehensweise stets ähnlich. Im Umkehrschluss wird es möglich, auf verschiedene Merkmale zu achten, um solche Angriffe besser enttarnen zu können. Phishing-Versuche können über verschiedene Wege stattfinden. Häufig verbreitet ist Phishing über Mails, zugleich kann sich Phishing aber auch in Suchmaschinen verbergen.

Angel-Checkliste

1. Köder auswerfen

Den Angreifern ist sehr wohl bewusst, dass die Menschen heute aufmerksamer sind, das heißt, die meisten Nutzer würden heutzutage keine Mails oder Webseiten mehr öffnen, welche von einem unseriösen oder unbekannten Absender stammen. Demzufolge versuchen die Täter Domains zu generieren, welche möglichst bekannt sind und seriös wirken. Oftmals machen sich die Kriminellen hierfür die Existenz von sogenannten Homoglyphen und internationalisierten Domainnamen zu Nutze. Diese Methodik ermöglicht den Angreifern, ihren tatsächlichen Domainnamen so zu kaschieren, dass diese täuschend echt erscheinen. In den meisten Fällen hat das Opfer keine Möglichkeit diesen auf den ersten Blick vom Original zu unterscheiden.

Für genauere Informationen und Erfahrungen verweisen wir an dieser Stelle auf die Blog-Beiträge unserer Kollegen.

https://blog.to.com/domainnamen-die-geschichte-des-o/

https://blog.to.com/social-engineering-wie-ich-zum-opfer-wurde/

https://blog.to.com/bei-e-mail-ist-sowieso-alles-fake/

Eine gut gefälschte Domain reicht aber lange nicht aus, um einen glaubwürdigen Eindruck zu vermitteln. Um plausibel zu erscheinen, müssen die Mails beziehungsweise Webseiten (die sogenannten Landing-Pages) thematisch und gestalterisch überzeugen. Demzufolge hat das Opfer an dieser Stelle Erwartungen und Erfahrungen bezüglich des Erscheinungsbildes der Webseite. Nach dem Prinzip „Dreistigkeit siegt“ kopiert der Täter meist einfach den Quellcode der originalen Webseite, welcher für jeden frei zugänglich ist. Anschließend sind nur geringfügige Änderungen nötig, um die Daten der Zielperson beim Login-Versuch auf einen vom Angreifer kontrollierten Server umzuleiten und somit abzugreifen.

Der Inhalt der Webseite beziehungsweise der Mail setzt das Opfer meist unter Druck. Unaufmerksamkeit und Panik sind die Folge, welche oft zu Kurzschlussreaktionen führen. Ein gutes Beispiel wie eine solche Druckausübung aussehen kann, findet man im 2. Part dieser Blogreihe.

2. Am Haken hängen

Sobald der Angreifer das Vertrauen der Opfer gewonnen hat, ist es ziemlich wahrscheinlich, dass Login-Daten preisgegeben werden. Sind die Daten erstmal abgeschickt, ist es unmöglich diesen Vorgang rückgängig zu machen. Die Daten wurden auf dem Server des Angreifers gespeichert, dem sogenannten Command and Control Server. Damit der Datendiebstahl vom Opfer unbemerkt bleibt, folgt darauf häufig eine Weiterleitung auf die Originalseite.

3. Phishe ausnehmen

Abhängig von der Art der Daten, können diese auf unterschiedliche Art und Weise missbraucht werden. Einige Täter verkaufen die Daten weiter, andere nutzen die Daten um Vermögensschäden zu verursachen. So können Bankdaten verwendet werden, um Geld vom Konto des Opfers zu stehlen. Wie ein solches Szenario ablaufen kann, lässt sich ebenfalls in Part 2 dieser Blogreihe nachlesen.

Handelt es sich um Accountdaten für ein Online-Shopping-Portal mit hinterlegten Zahlungsmitteln, kann der Täter beliebig viele Artikel bestellen und an diverse Adressen versenden lassen. Im Falle von Unternehmensdaten, können die Auswirkungen auch Erpressung oder Wirtschaftsspionage sein.

Auch Identitätsdiebstahl ist eine mögliche Folge. Dieser kann schwerwiegende Rufschäden mit sich bringen, beispielsweise kann der Täter Inhalte über soziale Netzwerke verbreiten oder Spammails im Namen des Opfers verschicken.

Eine große Problematik stellt die Strafverfolgung dar – es ist kaum möglich dem Täter auf die Spur zu kommen. Das ist darauf zurückzuführen, dass Command and Control Server normalerweise im Ausland stehen oder es sich um kompromittierte (vom Angreifer gehackte) Server handelt.

Wie kann ich dem Köder entkommen?

Führen Sie regelmäßig Updates Ihres Betriebssystems und der installierten Software durch, insbesondere Browserupdates. Besondere Vorsicht gilt zudem bei Mails mit unbekannten Absendern, welche einen Anhang beinhalten. Nutzen Sie die Mouseover-Funktion um Links in Mails zu überprüfen.

Welche Möglichkeiten habe ich, wenn ich doch an der Angel hänge?

Zuerst sollten Sie unverzüglich Ihr Passwort ändern! Falls Sie dieses Passwort wiederholt bei unterschiedlichen Accounts verwenden, sollte es bei allen geändert werden. Falls es sich um Bankdaten handelt, informieren Sie zusätzlich Ihre Bank über den Vorfall. Ist sogar Ihre Firma in den Betrug involviert, agieren Sie umgehend, wie in Ihrer IT-Sicherheitsrichtlinie vorgeschrieben. Im Zweifelsfall verständigen Sie Ihren Vorgesetzten, Datenschutzbeauftragten und Ihre IT-Abteilung.

Augen auf!

Phishing ist nur eine Gefahrenstelle von Vielen. Oftmals nutzen Täter verschiedenste Angriffsmethoden in Kombination, so wird beispielsweise ein Drive-By-Download auf der Landing-Page integriert oder die Phishingmail enthält einen infizierten Anhang, welcher sich zum Beispiel als PDF oder als Word-Datei tarnt. Durch das Öffnen installiert sich eine Malware. Für weitere Informationen verweisen wir an dieser Stelle auf die Blog-Beiträge unserer Kollegen.

Zur Erinnerung können Sie gerne unser Awareness-Plakat zum Thema Phishing drucken und aufhängen oder Sie kontaktieren uns, dann schicken wir Ihnen gerne ein Exemplar zu:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *