Phishing ist die häufigste Methode für Cyberangriffe und wird immer beliebter, weil dabei mit relativ wenig Aufwand großer Schaden angerichtet werden kann. Phishing Attacken setzen in der Cyberwelt auf die Schwachstelle „Mensch“ und agieren äußerst erfolgreich. Laut Bundesamt für Sicherheit in der Informationstechnik stehen dabei in Deutschland neben Mitarbeitern in Unternehmen, insbesondere auch Kunden von Banken, Bezahlsystemen und Online-Händlern im Fokus.
Was ist eine Phishing Attacke?
Zunächst ist es eine prominente Form des Identitätsdiebstahls mit Hilfe der Kommunikationswege E-Mail, Websites, SMS oder Telefon. Die Angreifer versuchen anhand von hoch entwickelten Techniken der sozialen Manipulation (Social Engineering), ihre Opfer zur Herausgabe sensibler Informationen zu bewegen. Dabei orientieren sich die Täter mit ihren Phishing Kampagnen häufig an gesellschaftlichen Ereignissen und aktuellen Themen. Populäre sind Themen, die bei der Bevölkerung mit Unsicherheit belastet sind, wie zum Beispiel Geldanalage oder Steuerangelegenheiten.
Die gängigsten Phishing Attacken – Wissen schützt
Es gibt eine große Vielfalt an ausgefeilten Techniken und Cyberkriminelle sind sehr erfinderisch, wenn es darum geht, diese zu verbessern. Zu Ihrem Schutz ist es wichtig, die gängigsten Vorgehensweisen zu studieren. Wenn Sie damit vertraut sind, werden Sie eine Grundsensibilität entwickeln, mit der Sie auch neue Formen von Phishing Attacken leichter erkennen.
Deceptive Phishing
Deceptive Phishing funktioniert mithilfe des Domain Spoofing. Dabei wird die Domain eines Unternehmens oder einer Organisation vorgetäuscht. Um die User auf diese Domain zu bringen, werden E-Mails versandt – entweder mit dem Absender der Domain oder Fake-Adressen Ihrer Freunde, Kollegen oder sonstiger vertrauter Kontakte. Der Inhalt der E-Mail kann einen glaubwürdigen Text mit einem Link enthalten oder nur einen Link. Der ist entweder anklickbar oder nicht aktiv, so dass ihn der Empfänger in die Webadressleiste kopieren muss. In diesem Fall ist es sogar für Sicherheitsfilter schwer, den Phishing Versuch zu erkennen. Auf der Website angelangt, wird der Besucher nun dazu verleitet, persönliche Daten preiszugeben. Zu beachten ist dabei, dass Links, die auf HTTPS gesicherte Domains verweisen, genauso gefährlich sein können. Heute werden fast zwei Drittel aller Phishing Websites über HTTPS Verschlüsselung bereitgestellt. Gängige Beispiele für Domain Spoofing sind Datenschutzanfragen, Gewinnspiele, Sicherheitsüberprüfungen, Datenupdate und Kontoeinschränkungen. Auch Datei-Sharing-Anbieter oder Dienstleister zur Internet-Datenübertragung werden für Phishing-Zwecke gefaked. Die Cyberkriminellen setzen hier darauf, dass Menschen bekannte Unternehmen, Kollegen, Freunde oder sonstige wichtige Kontakte, weniger hinterfragen und deren Aufforderungen grundsätzlich gerne Folge leisten.
Dagegen hilft nur: Folgen Sie grundsätzlich keinen Links, die Sie per Mail erhalten. Gehen Sie immer separat auf die Website.
Pharming
Angenommen, Sie haben aufgepasst und die erhaltene E-Mail überprüft. Sie haben die Absender-Adresse und den Link auf seine Vertrauenswürdigkeit gecheckt und somit zunächst alles richtig gemacht. Allerdings sind Sie dann noch lange nicht vor einer Phishing Attacke geschützt, denn die Cyberkriminellen wissen, dass die Benutzer dazulernen und greifen zu immer perfideren Methoden, wie eben das Pharming. Dabei schicken sie betrügerische E-Mails von authentischen Quellen und fordern Sie beispielsweise auf, eine Passwortänderung auf Ihrem Konto durchzuführen. Das Tückische daran ist, dass der Link auf den Sie klicken sollen, dieselbe Webadresse wie das Original verwendet, Sie aber auf eine gefälschte Website weitergeleitet werden. Das geschieht entweder durch Infektion Ihres Computers, womit Sie sich durch Security Software, wie Kaspersky sie anbietet, schützen können. Oder durch Manipulation eines DNS-Servers, so dass die vom Benutzer eingegebene, korrekte Internetadresse in eine falsche IP-Adresse umgewandelt wird. So landet das Opfer auf einer Fake Website und gibt unbedarft seine Daten Preis.
Hier können Sie nur eines tun: die Website selbst auf ihre Vertrauenswürdigkeit prüfen, bevor Sie sensible Daten eingeben.
Spear Phishing
Beim Spear Phishing greifen die Täter nicht mit Spam ähnlichen E-Mails Massen von Usern an, sondern richten sich an ganz bestimmte Personen innerhalb eines Unternehmens. Sie verwenden Social-Engineering Techniken, um ihre E-Mails auf ihre Opfer maßzuschneidern. Beispielsweise gestalten sie die Texte der Betreffzeilen in den E-Mails so, dass sie für das Opfer interessante Themen enthalten. Viele lassen sich dadurch leicht verleiten, die Mail zu öffnen und anschließend auf Links und Anhänge zu klicken. Das Ziel ist, Daten zu stehlen oder den Computer des Empfängers mit Malware zu infizieren. Damit können die Angreifer Zugang zum Netzwerk und zu den Accounts der Empfänger bekommen.
Diese Attacken sind so sehr an den Adressaten angepasst, dass traditionelle Spamfilter sie in der Regel nicht erkennen. Deshalb ist es besonders wichtig, dass Sie Ihre Mails prüfen und stets gesundes Misstrauen walten lassen.
CEO Fraud oder Business Email Compromise
Die beiden Begriffe werden dafür verwendet, wenn die Phishing Attacke vortäuscht, dass der Geschäftsführer oder Vorstand eine streng vertrauliche Sache mit einem Mitarbeiter per E-Mail anbahnen will. Dazu schicken die Cyberkriminellen eine E-Mail an einen untergeordneten Mitarbeiter, der in der Buchhaltungs- oder Finanzabteilung arbeitet und geben sich dabei als CEO der Firma aus. In der Hoffnung, dass der Mitarbeiter arglos genug ist, fordern Sie ihn auf, Geld auf ein gefälschtes Konto zu überweisen. Die Täter setzen dabei darauf, dass Mitarbeiter E-Mails von „oben“ generell mit wenig Misstrauen begegnen. Es kann sich dabei natürlich auch um leitende Angestellte oder Handelspartner handeln, deren Anweisungen der Betroffene Folge leisten würde.
Damit es nicht soweit kommt, sollten Sie erhaltene E-Mails auf jeden Fall prüfen, wenn Vorgesetzte Ihnen darin Anweisungen geben, die nicht dem üblichen Gebaren entsprechen oder Geldtransfers betreffen. Checken Sie die Richtigkeit des Mail-Absenders und der Signatur. Prüfen Sie, ob der Text, der üblichen Art Ihres CEOs entspricht und rufen Sie ihn im Zweifel direkt an.
Whaling
Beim Whaling haben die Täter jeweils eine ausgewählte, hochrangige Führungskraft, wie einen CEO, CFO oder COO im Visier. Diese Person wird sorgfältig danach ausgewählt, an welche Daten die Täter kommen wollen. Zunächst generieren die Cyberkriminellen perfekt zugeschnittene E-Mails mit Informationen aus Suchmaschinen und Social Media. Sie benutzen die korrekte Anrede mit Titel, Namen, Berufsbezeichnung und Details, die die Nachricht vertrauenswürdig erscheinen lassen. Das weitere Vorgehen entspricht dem Spear Phishing, aber die Auswahl der hochrangigen Adressaten samt deren Befugnisse hat eine extrem hohe Dimension der Schäden zur Folge.
Führungskräfte sollten deshalb so wenig persönliche Informationen wie möglich auf den Sozialen Medien preisgeben. Als Unternehmer sollten Sie über die Mitarbeiterschulung hinaus, auch genügend in Datensicherheit und Verifizierungsprozesse investieren.
Clone Phishing
Bei einer Clone Phishing Attacke erstellen die Täter auf der Basis einer echten, rechtmäßigen E-Mail mit Anhang, die das Opfer bereits bekommen hat, eine fast identische E-Mail. Diese wird dann von einer E-Mail-Adresse, die legitim wirkt, abgeschickt. Alle Links und Anhänge der ursprünglichen E-Mail werden durch böswillige ausgetauscht. Die Kriminellen verwenden dabei oft die Ausrede, dass es in der vorhergehenden Mail Probleme mit den Links und Anhängen gab – womit Sie die User verleiten wollen, auf diese zu klicken. Die Täter setzen darauf, dass sich ihre Opfer leicht verleiten lassen, weil sie mit dem Inhalt der Mail bereits vertraut sind.
Seien Sie also zunächst misstrauisch, wenn Sie eine E-Mail vermeintlich zum zweiten Mal erhalten. Es kann sich um eine Phishing Attacke handeln.
Watering Hole Phishing
Die Angreifer verhalten sich dabei als würden sie wie ein Krokodil den Tieren an einer Wasserstelle auflauern: Wer sich zu weit vorwagt, wird ihr Opfer. In der Cyberwelt machen die Täter dazu die Websites ausfindig, die Ihr Unternehmen oder Ihre Mitarbeiter am häufigsten besuchen. Das kann die Website eines Lieferanten sein, den Ihre Firma regelmäßig beauftragt. Die Täter infizieren diese Websites so, dass bei einem Besuch automatisch Malware auf Ihrem Computer hochgeladen wird. Diese Schadsoftware wiederum beliefert die Angreifer mit dem Zugang zu Ihrem Netzwerk, den Servern und zu sensiblen Informationen wie persönliche und finanzielle Daten.
Der Nutzer kann leider nicht erkennen, ob die von ihm besuchte Website Cyberkriminelle zu einem Watering Hole umfunktioniert haben. Da hilft lediglich ein hohes Niveau an generellen IT-Sicherheitsmaßnahmen im Unternehmen.
Evil Twin
Dabei tarnt sich ein betrügerischer drahtloser Wi-Fi Zugangspunkt als legitimer Zugangspunkt. Der Angreifer kann damit, ohne Wissen des Benutzers, Informationen sammeln. Dazu muss er sich in der Nähe eines Hot-Spots aufhalten und per geeigneter Software dessen Funkfrequenz und den SSID (Service Set Identifier) herausfinden. Anschließend sendet er sein eigenes Funksignal mit gleicher SSID. Wenn der Benutzer dann eine Verbindung herstellt, kann der Angreifer den Netzwerk-Verkehr mitlesen.
Wenn Sie beruflich über Wi-Fi surfen, sollten Sie Ihre Internetverbindung nur über ein virtuelles privates Netzwerk (VPN) aufbauen. Privat gehen Sie auf Nummer sicher, wenn Sie in öffentlichen Hot-Spots finanzielle Transaktionen vermeiden.
Smishing
Der Begriff Smishing ist eine Kurzform von SMS-Phishing. Dabei scheinen die SMS von vertrauenswürdigen Quellen zu kommen und enthalten gefährliche URLs auf die Sie klicken sollen. Häufig werden angebliche Gutscheincodes für Rabattaktionen, Freikarten für Veranstaltungen oder sonstige Vorteile versprochen. Die eigene Nummer ersetzen die Täter dabei in der Regel mit einer fünfstelligen Kurzwahlnummer. Damit kann der Benutzer nicht sofort erkennen, ob der Anbieter echt ist.
Um die Seriosität des Anbieters zu überprüfen, müssen Sie dieser sogenannten Premium Kurzwahlnummer nachgehen. Das können Sie auf den Datenbanken oder Dokumenten der Mobilfunkanbieter oder per Suchmaschine im Internet. Dort finden Sie gute Hinweise, ob eine Kurzwahlnummer von Betrügern benutzt wird.
Vishing
Mit Vishing ist eigentlich Voice Phishing gemeint. Dazu werden Sie von den Tätern zu einem Telefonat verleitet und gebeten, persönliche oder finanzielle Informationen herauszugeben. In der Regel werden Sie dabei im Erstkontakt nicht direkt für ein Gespräch angerufen, sondern zu einem Rückruf animiert. Ein Computer wählt Sie an und legt sofort wieder auf. Wenn Sie zurückrufen, haben Sie den Täter am Apparat. Um Sie zu täuschen, gibt sich Ihr Gegenüber gerne als vertrauenswürdige Person aus - beispielsweise als Mitarbeiter Ihrer Hausbank. Wenn diese Ihnen mitteilt, dass Ihr Konto missbraucht wurde und mit Ihren persönlichen Daten verifiziert werden muss, werden Ängste geweckt, die Ihr natürliches Misstrauen blockieren können.
Rufen Sie also keine unbekannten Nummern zurück und wenn Sie es unbedingt trotzdem ton wollen, sollten Sie die Rufnummer im Internet checken. Legen Sie sofort auf, wenn die Person etwas Verdächtiges von Ihnen verlangt.
Fazit
Bei Phishing Attacken versuchen Cyberkriminelle, Sie auf verschiedenen Kommunikationswegen, sei es per E-Mail, Websites, SMS oder Telefonanruf zur Herausgabe von sensiblen Daten zu bewegen, um Sie damit finanziell schädigen zu können. Prüfen Sie also, ob eine E-Mail auch von der Person stammt, von der sie vorgibt zu sein. Checken Sie die Vertrauenswürdigkeit einer Website, bevor Sie sensible Dateien eingeben. Hüten Sie sich bei SMS-Kurzwahlnummern unvorsichtig zu reagieren und seien Sie stets auf der Hut, wenn Sie mit Unbekannten telefonieren.
Welche Sicherheitslösungen schützen vor Phishing?
Kaspersky Internet Security for Android