Unser Blog-Universum

Phishing: Das Böse lauert immer und überall!

Zuletzt aktua­li­siert am 7. Okto­ber 2021 durch Jür­gen Voskuhl

Was haben die com­di­rect, Micro­soft, Pay­Pal, Tele­kom, Ama­zon und 1&1 gemein­sam? All die­se Unter­neh­men wer­den für soge­nann­te Phis­hing-Kam­pa­gnen miss­braucht! Dabei geht es den Tätern nur um eins: Ihre Zugangs­da­ten abzugreifen.
E‑Mails wer­den aber auch genutzt, um ande­re Schad­soft­ware auf Ihrem Com­pu­ter zu installieren.

Erfah­ren Sie in die­sem umfas­sen­den Beitrag

Lei­der könn­ten wir die­sen Bei­trag der­zeit täg­lich ver­öf­fent­li­chen. Denn täg­lich berich­ten Ver­brau­cher­schüt­zer, die Poli­zei oder irgend­ein Online-Dienst von einer neu­en Phis­hing-Atta­cke. Aber was sind eigent­lich Phishing-Attacken?

PCsicher

Was bedeutet der Begriff Phishing?

Das Kunst­wort Phis­hing setzt sich zusam­men aus den Begrif­fen Pass­wort und Fishing (eng­lisch für Angeln). In ers­ter Linie geht es dem Übel­tä­ter also dar­um, von Geschä­dig­ten Zugangs­da­ten zu erbeu­ten. Wie wir gleich sehen wer­den, funk­tio­niert dies vor allem durch Täu­schung der poten­zi­el­len Opfer.

Wie funktioniert Phishing? Was sind die "Zutaten"?

Gemein­sam mit Ihnen ver­fol­gen wir in die­sem Abschnitt den Weg einer Phis­hing-Mail, qua­si "von der Geburt bis auf Ihren Rech­ner". Dabei ver­ges­sen wir aber nicht, auch ande­re Schad­soft­ware zu betrach­ten, die per E‑Mail ver­brei­tet wird

Das Malware-Einmaleins

Zunächst benö­tigt der Phis­hing-Übel­tä­ter einen soge­nann­ten Key­log­ger. Aller­dings wird per E‑Mail auch ande­re Schad­soft­ware ("Mal­wa­re") ver­brei­tet. Die ver­schie­de­nen Kate­go­rien stel­len wir Ihnen hier kurz vor:

  • Key­log­ger die­nen dazu, Tas­ta­tur­ein­ga­ben von Nut­zern auf­zu­zeich­nen, um an schüt­zens­wer­te Daten wie bei­spiels­wei­se Pass­wör­ter oder PINs zu gelangen.
  • Mit Ran­som­wa­re wer­den Pro­gram­me und Datei­en zunächst ver­schlüs­selt, so das die­se nicht mehr benutzbar/​zugreifbar sind. Im Anschluss wird dann vom Besit­zer des Com­pu­ters ein Löse­geld erpresst.
  • Als Bots bezeich­net man Pro­gram­me, die selbst­stän­dig bestimm­te Aktio­nen aus­füh­ren. Ein Grup­pe der­art infi­zier­ter Com­pu­ter nennt man Bot­netz.
    Zu den "bestimm­ten Aktio­nen" gehö­ren etwa der Ver­sand von Spam-E-Mails oder die Durch­füh­rung soge­nann­ter DDoS-Atta­cken, also Angrif­fe auf Web-Ser­ver und gan­ze Netzwerke.
    Da die Akti­vi­tä­ten hier­bei vom infi­zier­ten Rech­ner aus­ge­hen, bleibt der tat­säch­li­che Ver­ur­sa­cher unerkannt.
  • Ein Remo­te Access Tro­ja­ner (RAT) ist beson­ders für Unter­neh­mens­netz­wer­ke gefähr­lich: Sobald die­se Schad­soft­ware instal­liert und aktiv ist, ver­fügt der Übel­tä­ter qua­si über eine Hin­ter­tür ("Back­door") und kann sich per Fern­zu­griff im Netz­werk umse­hen und ande­re Rech­ner fernsteuern.
  • Mög­li­cher­wei­se wird auch ein Cryp­to-Miner instal­liert. Hier­bei han­delt es sich um Soft­ware, die über umfang­rei­che Berech­nun­gen Gut­ha­ben in einer Cryp­to-Wäh­rung erschafft. Der Scha­den ent­steht hier­bei durch die (meist in nicht uner­heb­li­chem Umfang) abge­zweig­te Rechen­leis­tung: Ein ent­spre­chend infi­zier­ter Rech­ner wird aus Sicht des Anwen­ders extrem lang­sam. Der Scha­den ist daher ins­be­son­de­re für Unter­neh­men immens: Geschäfts­pro­zes­se lau­fen lang­sa­mer ab, die Pro­duk­ti­vi­tät sinkt also. Es soll auch schon Fäl­le gege­ben haben, in denen das Unter­neh­men neue Hard­ware wegen der ver­meint­lich zu lang­sa­men Com­pu­ter ange­schafft hat.

Viele E‑Mail-Adressen

Ein Übel­tä­ter, der eine Phis­hing-Kam­pa­gne durch­füh­ren oder ande­re Schad­soft­ware ver­brei­ten möch­te, benö­tigt E‑Mail-Adres­sen. Und zwar vie­le. Denn nur ein klei­ner Teil erreicht das gewünsch­te Ziel, näm­lich den Com­pu­ter eines Opfers. In ein­schlä­gi­gen Fach­pu­bli­ka­tio­nen ist von weni­gen Pro­zent die Rede.

E‑Mail-Adres­sen zu beschaf­fen ist weder teu­er, noch schwer.

So erbeu­te­ten Hacker bei­spiels­wei­se beim Mar­riott-Hack 383 Mil­lio­nen Daten­sät­ze von Hotel­gäs­ten (wir berich­te­ten). Der­art erbeu­te­te E‑Mail-Adres­sen sind in rie­si­ger Zahl im Umlauf und kön­nen von Inter­es­sier­ten für weni­ge Dol­lar erwor­ben wer­den. Die Zah­lung erfolgt hier­bei in Bit­co­in oder einer ande­ren Cryp­to-Wäh­rung, so das die­se nicht rück­ver­folg­bar ist.

Sie selbst haben wesent­li­chen Ein­fluss dar­auf, ob sie Spam-Mails erhal­ten oder nicht.

Aber es muss nicht immer ein Hacker­an­griff sein: Bei­spiels­wei­se reicht Ihre Teil­nah­me an einem obsku­ren Gewinn­spiel, oder Ihre Regis­trie­rung auf einer zwie­lich­ti­gen Web­sei­te aus, um an Ihre E‑Mail-Adres­se zu gelangen.

Es exis­tie­ren auch Bots, die "so ganz neben­bei" Ihr Adress­buch aus­le­sen und die gefun­de­nen E‑Mail-Adres­sen an die hei­mi­sche Daten­bank übermitteln.

Das Finale: Gestaltung der E‑Mail

Nun gilt es, die Mal­wa­re geschickt in einer E‑Mail zu ver­pa­cken, so das die­se vom Emp­fän­ger mög­lichst geöff­net und der Schad­code aus­ge­führt wird. Hier kom­men die ein­gangs erwähn­ten seriö­sen Unter­neh­men ins Spiel: Auf eine (ver­meint­li­che) Ama­zon-Bestell­be­stä­ti­gung oder eine (täu­schend echt aus­se­hen­de) E‑Mail Ihrer Bank, in der auf ein Pro­blem mit Ihrem Bank­kon­to hin­ge­wie­sen wird, reagie­ren Sie wahrscheinlich.
Auf eine E‑Mail eines Ihnen unbe­kann­ten Unter­neh­mens wohl nur in Aus­nah­me­fäl­len (aber auch damit hat es schon gut gemach­te E‑Mail-Atta­cken gegeben).

Wenn die Auf­ma­chung der E‑Mail im Cor­po­ra­te Design des vor­geb­li­chen Absen­ders gestal­tet ist und der Emp­fän­ger dort auch noch Kun­de ist, öff­nen arg­lo­se Com­pu­ter­nut­zer ger­ne mal den Datei­an­hang – und damit ist der Übel­tä­ter sei­nem Ziel bereits ganz nah! So warn­te bei­spiels­wei­se die Poli­zei Nie­der­sach­sen kürz­lich von einer Phis­hing-Wel­le mit angeb­li­chen Tele­kom-Rech­nun­gen für den Janu­ar. Zum Zeit­punkt der Ver­öf­fent­li­chung wur­de die in einer Word-Datei ver­pack­te Schad­soft­ware nur von einem klei­nen Teil der gän­gi­gen Anti­vi­rus­pa­ke­te erkannt.

Der Link: die Alternative zum Dateianhang

Bis­her haben wir beschrie­ben, wie die Schad­soft­ware in einen Datei­an­hang ver­packt wird, um dann bei­spiels­wei­se von gän­gi­gen Office-Pake­ten (und damit mei­nen wir nicht nur das Office-Paket von Micro­soft: auch ande­re Her­stel­ler sind betrof­fen!) ausgeführt/​installiert zu werden.

Als Alter­na­ti­ve bie­tet sich ein Link zu einer (wie­der­um täu­schend echt aus­se­hen­den) Web­site von Ama­zon, der eige­nen Bank oder Pay­Pal an, auf der Sie dann auf­ge­for­dert wer­den, Ihre Zugangs­da­ten ein­zu­ge­ben. Damit hät­te der Böse­wicht dann Ihre Zugangs­da­ten – und kann die­se nun bei dem "ech­ten" Web-Ange­bot ver­wen­den. Und dar­über hin­aus auch bei ande­ren Diens­ten aus­pro­bie­ren: viel­leicht haben Sie ja das glei­che Pass­wort mehr­fach verwendet?

Phishing

Wie kann man sich vor Phishing-E-Mails schützen?

Vie­le Phis­hing-Mails errei­chen den Emp­fän­ger gar nicht! Next Gene­ra­ti­on Fire­walls, Anti­mal­wa­re-Lösun­gen und Web-Con­tent-Fil­ter­sys­te­me ver­hin­dern dies glück­li­cher­wei­se in den meis­ten Fäl­len. Übri­gens: Wir bie­ten sol­che Lösun­gen an!

Spre­chen Sie uns also ruhig an, wenn Sie in Ihrem Unter­neh­men ein Pro­blem mit Phis­hing-Mails oder IT-Sicher­heit im All­ge­mei­nen haben.

Die genann­ten Maß­nah­men kön­nen nicht ver­hin­dern, das immer wie­der mal eine Phis­hing-Mail den Post­ein­gang des Emp­fän­gers erreicht (die Ver­sen­der sind schließ­lich auch lern­fä­hig). Hier ist dann der Emp­fän­ger der E‑Mail gefragt, also SIE! Was kön­nen Sie jetzt tun?

PCsicher

Identifikation einer Phishing-Mail

Zunächst geht es dar­um, eine Phis­hing-Mail als sol­che zu identifizieren.
Bereits in unse­rem Bei­trag zum The­ma Pass­wort-Sicher­heit hat­ten wir auf ein­zel­ne Maß­nah­men hin­ge­wie­sen. Hier nun eine voll­stän­di­ge Auflistung:

  • Über­prü­fen Sie den Absender
    Je nach E‑Mail-Cli­ent kön­nen Sie über Eigen­schaf­ten oder Details aus­führ­li­che Infor­ma­tio­nen über den Absen­der einer E‑Mail ein­se­hen. Hier soll­te in jedem Fall als Domain­na­me die des vor­geb­li­chen Absen­ders genannt sein, wie in der Gra­fik gelb her­vor­ge­ho­ben. Ansons­ten ist etwas faul!
    Echte Amazon-E-Mail
  • Über­prü­fen Sie in der E‑Mail ent­hal­te­ne Links 
    Das, was Sie als ver­meint­li­che Link-Adres­se im Text der E‑Mail sehen, muss nichts mit dem tat­säch­li­chen Link­ziel zu tun haben, an das Sie beim Kli­cken wei­ter­ge­lei­tet werden!
    Über­prü­fen Sie also vor dem Kli­cken auf einen Link in einer E‑Mail immer das tat­säch­li­che Ziel des Links. Und das geht so: Wenn Sie den Maus­zei­ger auf einen Link bewe­gen (Ach­tung: nicht kli­cken!), wird am unte­ren Rand des Brow­ser- oder Anwen­dungs­fens­ters die tat­säch­li­che Ziel­adres­se des Links ein­ge­blen­det. Han­delt es sich bei der dar­in ent­hal­te­nen Domain tat­säch­lich um die Web­site des Absen­ders? Egal wie lang der Link ist: Der Domain­na­me befin­det sich immer unmit­tel­bar vor dem ers­ten Fra­ge­zei­chen oder Schräg­strich in einem Link. Ein Beispiel:
    www.comdirect.de.irgendetwas.boese_domain.com/login/
    ver­weist nicht auf eine Web­sei­te bei einer belieb­ten Online-Bank, son­dern auf eine Sei­te, die zu boese_domain.com gehört.
    An die­ser Stel­le wird auch gern mit Buch­sta­ben "gespielt". Ob ver­tauscht, ver­dop­pelt oder weg­ge­las­sen: Haupt­sa­che, der Domain­na­me sieht am Ende noch irgend­wie dem gewünsch­ten Domain­na­men ähn­lich. So ver­weist bei­spiels­wei­se der Domain­na­me ammazn​.de nicht auf eine Sei­te des bekann­ten Online-Handelsunternehmens.
  • Ach­ten Sie auf alles Ungewöhnliche
    Bei­spiels­wei­se haben Ban­ken inner­halb ihres Online-Ban­king-Sys­tems ein eige­nes Kom­mu­ni­ka­ti­ons­sys­tem ("Post­fach" o. Ä.) imple­men­tiert. Es gibt also abso­lut kei­nen Grund für Ihre Bank, an Ihre E‑Mail-Adres­se eine Nach­richt mit einer Word-Datei im Anhang zu senden.
    Aber auch ande­re Fein­hei­ten kön­nen ein Hin­weis auf einen Phis­hing-Ver­such sein: Eine ande­re Anre­de als in vor­an­ge­hen­den E‑Mails? Die E‑Mail erreicht Sie auf einem ande­ren E‑Mail-Account als sonst? Meh­re­re Recht­schreib­feh­ler? Es wird zeit­li­cher Druck auf Sie ausgeübt?
    Wenn Sie bei einer ein­ge­hen­den E‑Mail auch nur eine die­ser Fra­gen mit "Ja" beant­wor­ten, han­delt es sich sehr wahr­schein­lich um eine Phishing-Mail.
  • E‑Mails von Ihnen unbe­kann­ten Absen­dern mit Datei­an­hang sind grund­sätz­lich verdächtig
    Unse­re Emp­feh­lung lau­tet daher: umge­hend löschen!
  • Fra­gen Sie im Zwei­fel beim Absen­der nach
    Auch bei E‑Mails von Geschäfts­part­nern und Freun­den soll­ten Sie vor­sich­tig sein: Schließ­lich könn­te auf dem Com­pu­ter des Absen­ders ein Bot sein Unwe­sen treiben.
    Des­halb: unbe­dingt nach­fra­gen, wenn Ihnen irgend­et­was an einer E‑Mail merk­wür­dig vor­kommt. Und zwar nicht, indem Sie auf einen Link in der E‑Mail kli­cken, son­dern indem Sie die­se zum Bei­spiel mit der Bit­te um Klä­rung an den (vor­geb­li­chen) Absen­der wei­ter­lei­ten oder ein­fach dort anrufen.

Und wenn Sie eine Phishing-Mail identifiziert haben?

  • Lei­ten Sie die E‑Mail an Ihre regio­na­le Ver­brau­cher­zen­tra­le weiter
    Die­se kön­nen Sie ganz leicht über www​.ver​brau​cher​zen​tra​le​.de ermitteln
  • Lei­ten Sie die E‑Mail an den ver­meint­li­chen Absen­der weiter
    Das benutz­te Unter­neh­men soll­te infor­miert sein, um ent­spre­chend reagie­ren zu können
  • Erstat­ten Sie Anzei­ge bei Ihrer ört­li­chen Polizeidienststelle
  • Löschen Sie die E‑Mail

Fazit

Es ist wich­tig, jede auf irgend­ei­ne Art und Wei­se unge­wöhn­li­che E‑Mail im Post­ein­gang auf einen mög­li­che Phis­hing-Ver­such zu über­prü­fen. Ent­spre­chen­de Kri­te­ri­en sind in die­sem Bei­trag beschrieben.
Bei posi­ti­ver Iden­ti­fi­ka­ti­on ist die Phis­hing-E-Mail zunächst an zustän­di­ge Stel­len wei­ter­zu­lei­ten. Danach wird sie gelöscht.

Wel­che Phis­hing-Mails haben Sie schon erhal­ten? Sind Sie dar­auf rein­ge­fal­len? Wir freu­en uns über Ihre Kommentare!

Weiterführende Links

Jura​Fo​rum​.de: Was bedeu­tet Phis­hing? – Defi­ni­ti­on und Beispiele

Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik: Spam, Phis­hing & Co. – Beispiele

Ver­brau­cher­zen­tra­le Nord­rhein-West­fa­len e.V.: Phis­hing-Radar: Aktu­el­le Warnungen

Poli­zei­li­che Kri­mi­nal­prä­ven­ti­on der Län­der und des Bun­des: Phis­hing nicht ins Netz gehen

T‑Online Quiz: Erken­nen Sie Phis­hing-Mails auf den ers­ten Blick?

KnowBe4 (engl.): Top-Cli­cked Phis­hing Email Sub­jects for Q3 2018 

Bildnachweis:

Bei­trags­bild: Vec​tee​zy​.com

 

/von
Das könnte Dich auch interessieren
Verschlüsselung - BackupIT-Sicherheit auf Basis von Windows-Bordmitteln, Teil 1: Datensicherung
PhishingSpam/Phishing-Emails: Vorsicht vor Homo­glyphen und IDN-Domains!
Passwort-Sicherheit: Lieber lang oder breit?
Deutschland sicher im Netz, LogoDer IT-Sicherheitscheck von "Deutschland sicher im Netz e.V."
Antiviren-SoftwareZusätzliche Antivirenprogramme: Braucht man das?
PC sicher machenIT-Sicherheit: 8 Themen, mit denen Sie sich unbedingt beschäftigen müssen!

Kontakt

Fon +49.69.24742919–0
Fax +49.69.24742919–9
E‑Mail info@​itcv-​software.​com
Face­book

itcv GmbH

Solms­str. 71
D‑60486 Frankfurt

SICHERHEIT

Ihre Daten sind bei uns sicher

Logo SSL-Verschlüsselung

Windows 7: Jetzt noch schnell auf Windows 10 umsteigen oder besser gleich einen...Verweis zur Webpräsenz der Allianz für Cyber-SicherheitBSI ruft zur Teilnahme an Cyber-Sicherheitsumfrage auf