Cyberbedrohungen
Passwortsicherheit: Ungezielt ist nicht harmlos
Gezielt oder ungezielt – die Angriffstaktiken der Kriminellen werden immer raffinierter. Gut, wenn man weiß, was hinter Methoden wie Spearphishing, Whaling oder Dynamite Phishing steckt, aber auch wie man auf die Köder nicht hereinfällt.
Die Mehrzahl der Phishing-Angriffe erfolgt ungezielt: Die Täter schicken eine Mail ab und hoffen, dass von tausenden Adressaten ein paar darauf hereinfallen. Dabei betreiben sie in der Regel keinen großen Aufwand, um eine positive Kosten-Nutzen-Rechnung zu erhalten. Kennzeichen dieser ungezielten E-Mails sind Unpersönlichkeit (keine oder automatisiert erstellte Anrede) sowie Rechtschreib- und Ausdrucksfehler. Sehr häufig werden die Mails automatisiert aus anderen Sprachen übersetzt.
Klicken User auf Links in der Mail, werden sie in der Regel auf gefälschte Webseiten geführt und dort aufgefordert, persönliche Daten einzugeben. Allerdings sind dabei teils große Qualitätsunterschiede festzustellen: Während das Gros der Angriffe durch ein geübtes Auge relativ einfach erkennbar ist, gibt es auch Attacken, die sehr professionell durchgeführt werden: So wurde beispielsweise in einer Phishing-Mail eine aktuelle Nachricht auf einem bekannten Nachrichtenportal beworben. Klickte man den Link an, landete man auch auf besagtem Portal und konnte den Artikel lesen. Parallel wurde im Hintergrund jedoch eine existierende Verbindung zu Office365 terminiert und eine gefälschte Office365-Login-Seite aufgerufen -- für Homeoffice-Mitarbeiter, die über Webaccess arbeiten, eine schwer zu erkennende Falle.
Gezielt – aufwendig, aber teuflisch
Gezielte Angriffe erfordern hingegen, dass sich die Täter im Vorfeld mit ihrem Opfer beschäftigen. Geht es um einzelne Personen – „Spearphishing“ oder „Whaling“ – kennen die Kriminellen bereits persönliche Informationen wie Vorlieben, geschäftliche oder private Kontakte. Erfolgen gezielte Angriffe auf Unternehmen, versuchen die Täter, Geschäftsprozesse oder ähnliches zu imitieren. Auch hier variiert die Qualität je nach Ziel und Motivation: Bei einer erfolgreichen Attacke auf mehrere Politiker übernahmen die Angreifer beispielsweise im Vorfeld die weniger gesicherten privaten Accounts von Familienmitgliedern. Die gefälschten E-Mails an die eigentlichen Opfer kamen somit aus einer bekannten Quelle.
Die allermeisten gezielten Angriffe, vor allem auf Unternehmen, enthalten dagegen lediglich Informationen, die relativ einfach aus sozialen Medien auslesbar sind. Dazu gehören die Namen von Vorständen oder IT-Fachpersonal, die häufig als vermeintliche Verfasser herhalten müssen, um die Glaubwürdigkeit des Inhalts zu erhöhen. Die Cyberkriminellen imitieren dann Geschäftsprozesse, indem sie beispielsweise die Mitarbeiter auffordern, sich auf „internen“ Portalen anzumelden, um angeblich bestimmte Boni zu erhalten.
Gezielte Angriffe auf „Normalbürger“ gibt es kaum. Allerdings sind in den vergangenen Jahren sehr viele Datenbanken mit persönlichen Informationen „verloren gegangen“. Wundern Sie sich deshalb nicht, wenn Sie in einer Phishing-Mail mit korrektem Namen oder anderen Details angesprochen werden.
Ungezielt und doch gezielt: Das gibt es auch
Eine der aggressivsten ungezielten Varianten machte die Tätergruppe Emotet bekannt. Ihre Masche wurde aufgrund ihrer Gefährlichkeit „Dynamite Phishing“ genannt. Das Schema startete mit gestohlenen E-Mails. Auf diese wurde dem Absender geantwortet, wobei meist ein sehr generischer Text hinzugefügt wurde (zum Beispiel: „Hallo, die gewünschten Daten findest Du hier: …“). Auch in dieser Variation des Phishings war das Ziel der Angreifer primär die Verbindung zur Website, von welcher dann bösartiger Code heruntergeladen wurde. Waren die Täter erfolgreich, extrahierten sie zunächst bis zu 180 Tage alte E-Mails, um im Adressbuch neue Opfer zu finden.
Was passiert dann?
Ziel von Phishing ist es, möglichst viele Daten zu sammeln. Diese werden dann sortiert und im Untergrund verkauft. Zu beliebten Informationen gehören Zugänge zu mittelständischen oder größeren Unternehmen sowie zu Bezahldiensten. Auch wenn diese (hoffentlich) noch durch Multifaktor-Authentifizierung geschützt sind, ist damit eine erste wichtige Hürde genommen, um Angriffe durchzuführen.
Im privaten Bereich werden gestohlene Daten häufig zu Identitätsdiebstahl missbraucht. Sind E-Mail oder Social-Media-Accounts betroffen, kann es passieren, dass im Namen des Opfers Nachrichten an dessen Kontakte geschrieben werden. Eine derzeit beliebte Masche ist dabei der „Investment-Scam“, bei dem hohe finanzielle Renditen durch Kryptowährungs-Investments in Aussicht gestellt werden.
Fazit: Vorsicht bei Links in Mails
Gehen Sie davon aus, dass die Qualität von Phishing-Angriffen weiter steigen wird! Bereits heute ermöglicht die künstliche Intelligenz ChatGPT, dass sogar Personen ohne Sprachkenntnisse in perfektem Geschäftsdeutsch kommunizieren können.
Für viele Angriffsmethoden reicht schon ein Klick auf einen Link, selbst wenn Sie dort kein Passwort eintippen. Machen Sie es sich deshalb zur goldenen Regel, am besten niemals Links in Mails anzuklicken. Ist dies unvermeidbar, achten Sie darauf, dass der Link tatsächlich auch zum angegebenen Unternehmen führt. Dazu können sie mit dem Mauszeiger über den Link fahren und ohne diesen anzuklicken sich die Adresse anzeigen lassen. Hier ist vor allem der erste Teil relevant. Nach „http(s)://“ steht bis zum .de oder .com (oder anderen Kürzeln) die Domäne. Täter verwenden gerne Fälschungen wie ähnliche Schreibweisen (etwa: Microft.com). In anderen Fällen sind Fake-Domänen registriert, die sehr ähnlich zu bekannten Adressen sind. Beispielsweise landen Sie mit http://trendmicro.com auf unserer Homepage, während Sie bei „Trendmicro-fake.com“ sicher nicht bei uns sind.
Werden Sie nach dem Klick auf einen Link dazu aufgefordert, Daten wie Passwörter einzugeben, sollten Sie doppelt aufmerksam sein. Handelt es sich nicht um eine „https“-Adresse, ist es meist eine Fälschung. Leider garantiert jedoch auch das Vorhandensein des „s“ keine vollständige Sicherheit. Prüfen Sie deshalb immer genau die Mail, den Absender und die Seite.
Dieser Beitrag (wie auch schon frühere) ist zuerst im LANline Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.