|
Research|
Blog|
Newsletter|
Websession|
EN
Phishing, das Datenangeln oder die Verbreitung von Schadsoftware zur Kompromittierung von Computern, Smartphones oder ganzen Unternehmensnetzwerken, ist ein Phänomen, das scheinbar nicht totzukriegen ist.
Das liegt nicht zuletzt daran, dass Phishing im Laufe der Jahre kontinuierlich weiterentwickelt wurde. Die Zeiten extrem stümperhaft gemachter Phishing-Mails, die auf den ersten Blick zu erkennen sind, sind zwar längst nicht vorbei, dennoch wurde Phishing kontinuierlich verbessert. Und gerade während der Corona-Pandemie, als die E-Mail noch einmal einen Bedeutungsschub erfuhr, haben Cyberkriminelle neue Phishing-Kampagnen ersonnen, die konkret auf die Mitarbeiter im Homeoffice abzielten. Eine Vielzahl an vermeintlich von Paketdienstleistern stammenden Sendungsverfolgungsmails machte sich beispielsweise den Umstand zunutze, dass so viele Pakete wie noch nie unterwegs waren.
Am Beispiel der Phishing-Mail vom vermeintlichen Paketdienstleister zeigt sich allerdings auch, dass sich Phishing über das ursprüngliche Medium E-Mail hinaus weiterentwickelt hat. Immer häufiger werden die Phishing-Nachrichten auch per SMS versandt. Wie bei der E-Mail wird der Empfänger beispielsweise zum Abruf des Sendungsstatus aufgefordert oder sogar gedrängt, sich möglichst zeitnah mit seinen Log-in-Daten anzumelden, weil die ersehnte Sendung sonst angeblich nicht zugestellt werden könne. Längst hat auch das Phishing per SMS mit „Smishing“ seinen eigenen Namen erhalten. Aktuell liegen auch wieder Versuche, Daten via Telefonanruf abzugreifen – Vishing (Voice und Phishing) – wieder voll im Trend. Dabei geben die Betrüger dann gerne vor, Beamte hochrangiger Polizei- oder Bundesbehörden zu sein, um so ihre Opfer zur Weitergabe sensibelster Informationen, etwa Kreditkartendaten, zu verleiten.
Dabei gelten zum Schutz vor Phishing, Smishing und Vishing im Grunde immer dieselben Regeln. Niemals sollten Nutzer Hyperlinks unbekannter Herkunft leichtfertig folgen, gerade weil im Falle von E-Mail und SMS oft nicht sofort ersichtlich ist, wer tatsächlich Absender der Nachricht ist. Eine Eingabe von Anmeldeinformationen oder Kreditkartendaten sollte zudem niemals auf Webseiten erfolgen, die via Hyperlink aufgerufen wurden. Und im Fall des vermeintlichen Anrufers einer Bundesbehörde, der zur Angabe sensibler Informationen zwecks angeblicher Verifizierung auffordert? Ganz einfach: Anmeldeinformationen und Kreditkarten dürfen niemals weitergegeben werden. Allein schon deshalb ist es undenkbar, dass es von offizieller Stelle zu einer solchen Aufforderung kommen könnte.
Dennoch ist Phishing nicht immer so leicht zu erkennen. Und weil gerade im geschäftlichen Umfeld immer wieder gut gemachte Phishing-Mails der Beginn eines groß angelegten Cyberangriffs mit verheerenden Folgen sein können, ist es wichtig, Mitarbeiter zu sensibilisieren. Mit Trainings und anderen Schulungsmaßnahmen müssen sie durch die Vermittlung umfassenden Wissens in die Lage versetzt werden, richtig zu reagieren. Mit regelmäßigen Phishing Tests kann beispielsweise der vorhandene Sensibilisierungsgrad immer wieder auf die Probe gestellt und der Mitarbeitende zugleich nachhaltig geschult werden.
Seit Jahren warnen Banken bereits auf ihren Startseiten vor Phishing-Mails, mit denen arglose Nutzer zur Eingabe ihrer Zugangsdaten bewegt werden sollen. Dabei betonen die Institute unisono, dass derartige Abfragen niemals stattfinden würden, weder per Telefon noch per E-Mail. Dennoch sind die Betrüger immer wieder erfolgreich. Aktuell warnen die Polizei und die Verbraucherzentrale vor zwei neuen Betrugsmaschen in Thüringen. Einerseits handelt es sich um vermeintliche E-Mails von Banken und andererseits um Anrufe von Euro- oder Interpol. Die Verbraucherzentale rät, Phishing-Mails direkt zu löschen und keinesfalls auf Links zu klicken.
Bezüglich der vermeintlichen Europol-/Interpol-Anrufe rät die Polizei ebenfalls, niemals persönliche Daten herauszugeben und betont noch einmal, dass die Polizei am Telefon nie auffordern würde, Zahlungen zu leisten oder Forderungen zu erfüllen. Die Menschen dadurch in die Falle zu locken, dass die Aufforderung von einer Behörde oder öffentlichen Stelle zu stammen scheint, liegt derzeit besonders im Trend. Das LKA Niedersachsen warnt momentan vor einer laufenden Phishing-Welle, bei der scheinbar die Bundesregierung zur Dateneingabe auffordert.
In der E-Mail wird der Empfänger aufgefordert, seine Kreditkarendaten zu verifizieren, um einer angeblich drohenden Sperrung seiner Karte zuvorzukommen. Laut Mail sei die Bezahlkarte mit einer „PSD2“-Richtlinie der EU nicht mehr konform, weshalb eine einmalige Verifizierung erfolgen müsse.
Der Link „Identität bestätigen“ führt auf eine Webseite der Domain bundesregierung.de-verifizierung.eu, der bei flüchtiger Betrachtung unverdächtig erscheint. Auch die Seite ist äußerst authentisch gestaltet.
Gefordert werden die Eingabe von Nach-/Vornamen, Geburtsdatum, E-Mail-Adresse und schließlich Kreditkartennummer, -Ablaufdatum sowie -Sicherheitsnummer. Das Perfide: Opfer werden nach Eingabe und Versand ihrer sensiblen Daten auf der gefälschten Seite tatsächlich auf die echte Seite der Bundesregierung weitergeleitet, was wohl den Eindruck der Legitimität verstärken soll. In Wirklichkeit sind die Daten längst bei den Betrügern.
Auch wenn das Opfer viel früher abbrechen sollte, bereits bei der Aufforderung Kartendaten einzugeben, zeigt auch diese Kampagne, dass Phishing durch Aufklärung und umfassende Schulungsmaßnahmen oft anhand mehrerer Indizien frühzeitig zu entlarven wäre.
Für besonders viel Aufsehen sorgte kürzlich ein Phishing-Angriff auf Twilio. Durch die Attacke auf die Cloud-Kommunikationsplattform des US-amerikanischen Unternehmens gelangten die Eindringlinge mal so nebenbei an 1.900 Telefonnummern von Nutzern des Messenger-Dienstes Signal.
Weil Signal seine Verifikations-SMS und -Anrufe über den Dienst abwickelt, hätten die Angreifer potenziell die Telefonnummer sowie den per SMS übertragenen Registrierungscode der betroffenen Signal-Nutzer einsehen können.
Laut Signal hätte das die Angreifer sogar in die Lage versetzt, die Nummern der Betroffenen auf neuen Geräten zu registrieren. Zwar sei die Signal-Infrastruktur selbst nicht betroffen gewesen und durch die verwendete Ende-zu-Ende-Verschlüsselung seien weder Nachrichten-Archive, Kontaktlisten noch Profilinformationen für die Angreifer einsehbar gewesen. Dennoch hätten sie im Falle der Neuregistrierung einer Telefonnummer Nachrichten versenden können und an diese Nummer gesandte Nachrichten wären dann bei den Angreifern gelandet.
Für den Angriff auf Twilio umgingen die Täter sogar eine vorhandene Zwei-Faktor-Authentifizierung. Dazu sendeten die Kriminellen eine Phishing-SMS an die privaten Geräte der Angestellten, die sie dabei als Nachricht vom Arbeitgeber ausgaben und die einen Link zu einer Phishing-Seite enthielt. Hier gaben mehrere Angestellte ihren TOTP-Code zur Zwei-Faktor-Authentifizierung ein, wodurch die Angreifer schließlich Zugriff auf die Infrastruktur von Twilio erlangten.
Bild (c) Quangpraha / Pixabay
