Weshalb sind E-Mail Speerfischer-Angriffe (Spear-Phishing) so gefährlich
Was unterscheidet E-Mail Speerfischer-Angriffe (Spear-Phishing) von herkömmlichen Phishing-Emails?
Definition Phishing E-Mail Phishing wird vom englischen Wort für „fischen/angeln“ also fishing abgeleitet. Bei dieser Methode geht es den Angreifern vornehmlich darum, Zugangsdaten wie Benutzernamen und Passwörter bzw. allgemein „digitale Identitäten“ zu erlangen und diese in der Regel für kriminelle Handlungen zum Schaden des betroffenen Benutzers zu verwenden. Häufig werden auch ergaunerte Adressen aus dem Adressbuch des Betroffenen für weitere Angriffe genutzt. Beim Phishing allgemein geht der Angreifer in der Regel nach dem Prinzip der massenhaften Versendung von Phishing E-Mails vor. Trotz der mittlerweile verbreiteten Information über die Gefahr solcher Attacken und auch allgemeiner Schutzmaßnahmen wie Spam-/Phising-Filter, tappen immer wieder einzelne Benutzer in die Falle.
Kommen wir nun zum Spear-Phishing (also dem gezielten Fischen von Informationen auf einen einzelnen bzw. wenige Zielbenutzer mit einem direkten „Speer“-Angriff). Beim Spear-Phishing geht der Angreifer nun gezielt auf einzelne Opfer los,
anstatt wie beim normalen Phishing tausende Adressaten anzuschreiben. Sinnbildlich wird mit dem Speer ein einzelner Fisch angegriffen. In der Regel wird der Angriff auf einzelne oder wenige Adressaten ausgeführt, über die der Angreifer im Vorfeld Informationen eingeholt hat. Häufig sieht man Angriffe im Bereich des Personalmanagements, wo auf bestehende Personalanzeigen gezielte Bewerbungs-E-Mails mit gefährlichem Inhalt (Anlagen oder Links) gesendet werden. Lassen Sie Ihrer Phantasie freien Lauf. Sie werden in Ihrem beruflichen und privaten Interessen Umfeld selber viele Angriffspunkte finden, bei denen Sie „angreifbar“ sind.
Zusammenfassend liegt der Unterschied in folgenden Punkten:
Phishing E-Mail
massenhafte Versendung von Phishing E-Mails
Ziel: Zugangsdaten wie Benutzernamen und Passwörter und allgemeine Informationen zu erlangen (Angreifer versendet massenhaft E-Mails an Empfänger) Spear Phishing
zielgerichteter Angriff auf eine Zielperson
Ziel: gezielte Informationen über eine Person herausfinden (meist hat der Angreifer bereits im Vorfeld Informationen über die Zielperson gesammelt)
Wie soll man sich nun verhalten?
Technische Schutzmaßnahmen wie Spam- und Phishing Filter (die bei Unternehmen und auch in den meisten Online Postfächern eingesetzt werden) sind obligatorisch. Ohne solch „vorgeschalteten“ Schutzmechanismus vor seinem Postfach geht man meistens nach ein paar Jahren in Spam E-Mails unter. Zusätzlich ist auch ein aktueller Virenscanner (aktuell von Programmversion als auch der Virendefinition) obligatorisch, um überhaupt die Chance einer Erkennung und Abwehr zu erhalten, falls man doch einmal unaufmerksam war und eine Datei oder einen Link in einer solchen E-Mail angeklickt hat. Achten Sie auf Warn-Meldungen und Hinweise Ihrer E-Mail-Programme, Virenscanner und auch Browser. Viele der aktuellen Programme besitzen Erkennungsmechanismen für gefährliche Inhalte. Ignorieren Sie diese Hinweise nicht.
Wie erkenne ich eine gefälschte E-Mail?
Mittlerweile lassen sich die gefährlichen E-Mails nicht mehr so leicht an Rechtschreibfehlern und schlechter Wortwahl erkennen. Die Angreifer sind da weitestgehend professionell und lassen sich nicht mehr so leicht identifizieren. Weiterhin gelten die Empfehlungen aus meiner GCT Empfehlung 201912A, die Sie in folgendem PDF-Dokument finden können.
– Udo Janßen, geschäftsführender Gesellschafter bei GCT
Was ist Phishing?
Betrügerische Nachrichten enthalten oftmals einen oder mehrere gefährliche Links. Das Ziel dieser Links ist, dass Sie als Empfänger auf einen dieser Links klicken. Dabei werden Sie entweder auf eine täuschend echt wirkende, aber maliziöse Webseite weitergeleitet, die auf Ihrem Gerät eine Schadsoftware installiert oder Sie werden dazu aufgefordert, auf dieser Seite Ihre vertraulichen Zugangsdaten einzugeben, die in der Folge für kriminelle Absichten abgegriffen werden.
Kontrollieren Sie die URL bzw. die Webadresse
Bevor Sie einem Link folgen, kontrollieren Sie IMMER die Webadresse, die dem Link tatsächlich zugewiesen ist, denn entscheidend ist hier nicht der in einer Nachricht angezeigte Linkname, sondern die tatsächliche Linkadresse.
Die Vorgehensweise, um diese Information herauszubekommen, kann sich je nach Endgerät, Anwendung oder Dienst (Tablets, Smartphones, PCs etc.) unterschiedlich gestalten. Oft lässt sich die Information zur URL in Erfahrung bringen, indem Sie mit der Maus über den Link fahren, ohne ihn anzuklicken. Je nach Umgebung wird die Information (z. B. im Infofeld bzw. Tooltip) eingeblendet. In der nachfolgenden Abbildung dient Outlook als Beispiel für die Darstellung der gesuchten URL.
Identifizieren Sie den sog. „Wer-Bereich“ in der Webadresse
Der Wer-Bereich setzt sich zusammen aus den zwei Begriffen vor dem dritten Schrägstrich – getrennt durch einen Punkt.
Der Wer-Bereich gibt Auskunft über den Domainnamen bzw. die Server-Adresse des Absenders und enthält in der Regel den Namen des Absenders. Sofern Domains als IP-Adresse (wie beispielsweise 192.168.0.1) angezeigt werden, könnte dies unter Umständen ein Indiz für eine gefälschte Seite sein.
Achten Sie auf kleine Variationen der Webadresse
Kriminelle machen sich unterschiedliche Verschleierungstaktiken zunutze, wie den echten Wer-Bereich innerhalb der angegebenen Webadresse zu verschieben. So könnte beispielsweise der obige Link fälschlicherweise wie folgt angegeben werden:
Manchmal werden die echten Domainnamen täuschend echt imitiert, indem die Zeichenfolge marginal geändert wird. So könnte beispielsweise in oder abgewandelt werden.
Bleibt eine Restunsicherheit bei der Deutung der Webadresse bestehen, empfiehlt es sich stets, die Webadresse des Absenders über eine Suchmaschine wie beispielsweise Ecosia ausfindig zu machen.
Zu diesem Thema empfehlen wir ebenfalls, sich das NoPhish Video II: Gefährliche Links erkennen anzuschauen.
(Quelle: Die obigen Sicherheitstipps zum Erkennen von gefährlichen Links sind unter anderem anlehnend an den Flyer „Betrügerische Nachrichten“ der Forschergruppe Secuso des Karlsruher Instituts für Technologie entstanden)
Phishing geht nicht nur per E-Mail
Vom Abfischen von persönlichen Daten, dem Phishing, haben die meisten Internetnutzer bereits gehört: Cyberkriminelle versuchen durch geschickte Täuschung beispielsweise an Online-Banking-Zugangsdaten zu kommen, an Kennungen und Passwörter von E-Mail-Accounts, sozialen Netzwerken sowie von Online-Shops.
„Es geht aber nicht nur um das Leerräumen des Kontos. Durch ergaunerte Zugangsdaten ist es den Kriminellen auch möglich, Identitätsdiebstahl zu begehen und beispielsweise Waren unter dem Namen des Opfers zu bestellen oder Fake-Nachrichten zu verbreiten und so dem Opfer nicht nur finanziellen Schaden zuzufügen, sondern auch dessen Ruf zu schädigen. Mit ergaunerten Daten ist es außerdem möglich, Hackerangriffe auf Unternehmen zu starten oder im Namen eines Unternehmens betrügerische Websites zu erstellen“, informiert Patrycja Schrenk, Geschäftsführerin der PSW GROUP, über die Tragweite des Phishings.
Phishing ist kein reines E-Mail-Problem mehr, auch wenn die E-Mail der am häufigsten genutzte Angriffskanal ist. Auch über Kopien vertrauenswürdiger Websites können Kriminelle Daten abfischen oder aber ihre Opfer telefonisch oder über SMS davon zu überzeugen, Informationen preiszugeben. Beim Phishing in sozialen Netzwerken können Angreifer Konten hacken und über diesen Identitätsdiebstahl schädliche Links an Kontakte des Opfers verschicken. „Um private Informationen so gut wie möglich zu schützen, müssen Internetnutzer die Methoden des Phishing kennen sowie die Kanäle, auf denen gefischt wird. Denn Cyberkriminelle versuchen, ihre Opfer mit verschiedenen Methoden in die Falle zu locken und das Abfischen von persönlichen Informationen über gefälschte E-Mails ist nur eine davon“, warnt die IT-Sicherheitsexpertin.
Whaling, Pharming, Spoofing: Es gibt viele Angriffsmethoden
Die bekannteste Methode ist die des Deceptive Phishings: Angreifer versuchen, durch Fälschen von E-Mails oder Websites, die im professionellen Look daherkommen und deshalb keinen Verdacht erregen, an sensible Informationen heranzukommen. Voraussetzung ist das skrupellose Vortäuschen einer Notlage, die das Opfer durch Klicken eines Links oder Eingabe von Informationen beenden kann. Kriminelle gehen viel professioneller vor, als noch vor ein paar Jahren, als Fälschungen an schlecht gemachten Logos oder einer Orthografie zum Davonlaufen erkennbar waren. Es wird also immer schwieriger, gefälschte E-Mails oder Websites zu erkennen.
Weniger bekannt ist das Whaling, bei dem insbesondere Geschäftsführer in den Fokus von Kriminellen geraten. Der eigentliche Angriff teilt sich dabei in zwei Phasen: Zunächst geht es darum, den „dicken Fisch“ zu ködern. Ist dies gelungen, folgt der CEO-Fraud oder CEO-Betrug. „In diesem zweiten Schritt hat sich der Hacker bereits Zugang zum E-Mail-Account des Geschäftsführers verschafft und nimmt dessen Identität an. Über den gekaperten E-Mail-Account kann er Informationen anfordern oder Transaktionen tätigen, sodass es gelingen kann, Überweisungen zu tätigen. Da Führungskräfte in aller Regel viele Zugriffs- sowie Genehmigungsrechte besitzen, zeigt sich Whaling für Kriminelle besonders lukrativ“, warnt Patrycja Schrenk.
Beim Pharming indes verschaffen sich Cyberkriminelle Zugang zum DNS-Server. Dort ändern sie die IP-Adresse, die einer bestimmten Website zugeordnet ist. Die betroffene Domain wird dann genutzt, um Besuchende der eigentlichen Website auf eine gefälschte Version umzuleiten. Schrenk erklärt die Tragweite: „Besucher geben zwar den richtigen Website-Namen ein, werden im Hintergrund aber aufgrund der eingerichteten Weiterleitung auf die Fake-Seite umgeleitet, ohne, dass sie davon etwas bemerken. Jedoch besteht ab dem Moment des Umleitens die Gefahr, dass Daten ungewollt preisgegeben werden.“
Als sehr gefährlich stuft die Expertin das Clone Phishing ein. Kriminelle kreieren dabei auf Basis einer echten E-Mail eine fast identische Fälschung, einen Klon, jedoch werden Dateianhänge mit bösartiger Malware ersetzt. Mit einer ähnlichen E-Mail-Adresse, wie die des eigentlichen Absenders, versenden die Kriminellen die geklonte Version der echten E-Mail an denselben Empfänger. „Clone Phishing ist deshalb so bösartig, weil die Opfer in aller Regel davon ausgehen, dass die zweite E-Mail ergänzende oder aktualisierte Informationen enthält. So wird der Anhang dieser zweiten E-Mail schneller und nicht sehr achtsam geöffnet“, so Schrenk.
Eine weitere Methode des Phishings ist die Link-Manipulation, auch URL-Spoofing genannt. Mit dieser Methode wird Website-Besuchern in betrügerischer Absicht eine falsche Identität vorgespielt bzw. die eigentliche Adresse der Website wird verschleiert. Bei Webanwendungen, die persönliche Daten an Browser weiterleiten, kann der Missbrauch vertrauenswürdiger Websites für Phishing besonders gefährlich werden. „Tückisch ist die Tatsache, dass diese Methode auch bei HTTPS-gesicherten Websites funktioniert, ohne das SSL-Zertifikat dabei zu verletzen. Deshalb lohnt immer ein Klick auf das Schlosssymbol in der Adresszeile des Browsers, um etwas über die Identität des Website-Inhabers zu erfahren und sich so von der Echtheit einer Website zu überzeugen“, rät Patrycja Schenk.
Eine weitere Methode ist das Cross-Site-Scripting, bei dem fremde und eventuell schädliche JavaScripte in Websites eingeschleust werden. Sicherheitslücken in fehlerhaften Webanwendungen ermöglichen es dabei, Daten auch aus nicht vertrauenswürdigen Quellen in HTML einzubauen. „Angreifer können diese unsicheren Webanwendungen für ihre Machenschaften ausnutzen und Skripte indirekt an die Opfer-Browser senden, um bösartigen Code auf Client-Seite auszuführen. Mit dieser Angriffsmethode können Cookie-Diebstahl, Keylogging oder eben auch Phishing ausgeführt werden, um mit gefälschten Login-Formularen Nutzernamen und Passwörter abzufragen“, erklärt Schrenk.
Der effizienteste Phishing-Schutz ist tatsächlich das Wissen um Phishing. Wer ein paar Ratschläge beherzigt, kann sich gut vor Phishing-Attacken schützen. Dazu gehören vor allem gesunde Skepsis und eine kurze Prüfung verdächtig erscheinender Nachrichten: „Nicht arglos auf Links klicken oder Anhänge herunterladen und auch einmal einen Blick in den Quelltext einer E-Mail werfen, der Informationen über deren Herkunft und Absender gibt, helfen schon. Im Zweifel kann man den vermeintlichen Absender auch anrufen und nachfragen, ob die Nachricht tatsächlich von ihm stammt. Abgesehen davon werden seriöse Organisationen wie die Hausbank nie ihre Kunden kontaktieren, um nach persönlichen Daten zu fragen“, so Patrycja Schrenk.
Schlechte Grammatik und Orthographie gelten heutzutage zwar nicht mehr als ultimatives Erkennungszeichen betrügerischer Nachrichten, können aber dennoch ein Hinweis sein. Erscheint eine E-Mail verdächtig, sollte darauf verzichtet werden, dem Absender direkt zu antworten. „Besser eine neue Kommunikation über die offiziellen Kommunikationskanäle des Unternehmens beginnen“, rät Schrenk.
Um sich von der Echtheit einer Website, zum Beispiel eines Online-Shops, zu überzeugen, hilft es, die angegebene Sicherheitszertifikate oder –siegel anzuklicken. Sind sie echt, erfolgt eine Weiterleitung zum Zertifikate- bzw. Siegel-Anbieter. „Ich rate zudem, für jeden Web-Dienst separate, starke Passwörter zu verwenden. Kommt es zu einem Datenvorfall, sind dann nicht die Zugangsdaten bei allen Diensten betroffen“, ergänzt Schrenk. Sicher browst außerdem, wer einen Add-Blocker nutzt und mittels VPN seine Surfspuren verschleiert.
