Phishing: Angriffsform mit vielen Gesichtern (Teil 1)
Wenn es um Internetkriminalität geht, fällt schnell der Begriff des „Phishings“. Dahinter verbirgt sich ganz allgemein der „digitale“ Versuch eines Angreifers, sich das Vertrauen seiner Opfer zu erschleichen, um sie anschließend zur Herausgabe persönlicher Daten zu verleiten. Im Fokus stehen dabei vor allem Benutzernamen, Login-Daten, Passwörter und Kreditkartennummern. Der Variantenreichtum dieser Angriffsart überrascht dabei jedoch selbst eingefleischte IT-Security-Profis stets aufs Neue. Mittlerweile bedienen sich die Cyberkriminellen immer ausgefeilterer Methoden, um ihre Pläne zu verwirklichen. Wie raffiniert vorgegangen wird, soll im Folgenden gezeigt werden.
Insgesamt werden elf Arten von Phishing genauer unter die Lupe genommen. Abschließend gibt es im zweiten Teil der Betrachtung natürlich auch hilfreiche Tipps, woran Betroffene die spezifische Gefahr erkennen können.
E-Mail-Phishing
Diese Methode stellt die wohl die häufigste Form des Phishings dar. Hier täuschen die Hacker eine legitime Identität oder Organisation als Absender vor und verschicken Massen-E-Mails an so viele Adressen wie möglich. Die Verteilung erfolgt nach dem „Spray and Pray“-Prinzip. Es wird gehofft, dass zumindest ein Teil der Empfänger darauf hereinfällt. Um das zu erreichen, werden die Adressaten in den E-Mails entsprechend unter Druck gesetzt. Beispielsweise wird behauptet, dass ein persönliches Konto bei einer Bank oder einem Online-Shop angegriffen wurde und darauf nun sofort reagiert werden muss. Ziel ist es, dem Opfer eine bestimmte Aktion zu entlocken, wie etwa das Klicken auf einen bösartigen Link, der zu einer gefälschten Anmeldeseite führt. Mit der Eingabe ihrer Anmeldedaten legen die Opfer die persönlichen Daten leider direkt in die Hände der Betrüger.
Beispiel für E-Mail-Phishing
The Daily Swig berichtete über einen Phishing-Angriff beim US-Gesundheitsdienstleister Elara Caring. Das Unternehmen bietet häusliche Gesundheitsdienste an und wurde im Dezember 2020 nach einer Reihe von Phishing-Angriffen Opfer eines unbefugten Zugriffs auf Rechner im Unternehmen. Der Angreifer verschaffte sich Zugang zu den E-Mail-Konten der Mitarbeiter, was dazu führte, dass die persönlichen Daten von über 100.000 älteren Patienten preisgegeben wurden. Darunter befanden sich deren Namen, Geburtsdaten, Finanz- und Bankinformationen, Sozialversicherungs- und Führerscheinnummern sowie Versicherungsinformationen. Der oder die Angreifer hatten eine ganze Woche lang Kontrolle über die Daten, bevor Elara Caring die Datenpanne vollständig eindämmen konnte.
Spear-Phishing
Im Gegensatz zur eingangs beschriebenen „Spray and Pray“-Methode werden beim Spear-Phishing bösartige E-Mails an bestimmte Personen innerhalb eines Unternehmens gesendet. Statt Massenversand an Tausende von Empfängern stehen einzelne Mitarbeiter in speziell ausgewählten Unternehmen im Visier. E-Mails sind in dem Fall oft personalisiert, um dem Opfer vorzugaukeln, dass bereits eine Beziehung zum Absender besteht.
Beispiel für Spear-Phishing
Armorblox rekapitulierte im September 2019 einen Spear-Phishing-Angriff auf eine Führungskraft eines Unternehmens, das zu den 50 innovativsten der Welt gehört. Die E-Mail enthielt einen Anhang, der wie ein interner Finanzbericht aussah, die Führungskraft jedoch auf eine gefälschte Microsoft Office 365-Anmeldeseite führte. Auf dieser war der persönliche Benutzername bereits voreingetragen, was die Tarnung der betrügerischen Webseite noch verstärkte.
Whaling
Whaling ähnelt stark dem Spear-Phishing. Hierbei haben es die Betrüger speziell auf die Führungskräfte (oder „die großen Fische“, daher der Begriff Whaling) abgesehen. Dazu gehören der CEO, CFO oder andere hochrangige Manager, da diese im Gegensatz zu Mitarbeitern der unteren Ebenen Zugang zu sensibleren Daten haben. Um ihre Opfer zu ködern, werden in den E-Mails Situationen erzeugt, die einen sofortigen Handlungsbedarf suggerieren. Dies geschieht beispielsweise über Inhalte zu geschäftskritischen Themen, wie einer geplanten Übernahme oder anstehenden Klage. Damit sollen die Empfänger dazu verleitet werden, auf den bösartigen Link oder Anhang zu klicken, um weitere Informationen zu erhalten.
Beispiel für Whaling
Im November 2020 wurde über einen Whaling-Angriff berichtet, der sich gegen den Mitbegründer des australischen Hedgefonds Levitas Capital richtete. Dieser erhielt eine E-Mail mit einem gefälschten Zoom-Link, über den Malware in das Firmennetzwerk des Hedgefonds eingeschleust werden konnte. Der Abfluss von insgesamt 8,7 Millionen Dollar durch betrügerische Rechnungen rückte in greifbare Nähe. Da der Angriff zwischenzeitlich erkannt wurde, kam der Cyberkriminelle letztlich mit „nur“ 800.000 Dollar davon. Viel schwerer wog aber der daraus resultierende Reputationsschaden: Dieser führte zum Verlust des größten Kunden des Hedgefonds und zwang Levitas Capital zur endgültigen Schließung.
Smishing
Beim SMS-Phishing, auch Smishing genannt, wird ein Phishing-Angriff nicht per E-Mail, sondern per SMS durchgeführt. Der Ablauf ähnelt E-Mail-basierten Phishing-Angriffen: Die Angreifer senden Texte von scheinbar legitimen Quellen (wie vertrauenswürdigen Unternehmen), die bösartige Links enthalten. Diese können als Gutscheincode („20 % Rabatt auf Ihre nächste Bestellung!“) oder Angebot für einen Sach-/Geldgewinn getarnt sein.
Beispiel für Smishing
Im September 2020 berichtete Tripwire über eine Smishing-Kampagne, die das United States Post Office (USPS) als Tarnung nutzte. In den verschickten SMS-Nachrichten wurden die Empfänger darüber informiert, dass sie auf einen Link klicken müssen, um wichtige Informationen über eine bevorstehende USPS-Zustellung anzuzeigen. Der bösartige Link führte die Opfer jedoch auf verschiedene Webseiten, die darauf ausgelegt waren, die Anmeldedaten der Besucher für ihr Google-Konto zu stehlen.
Vishing
Vishing – auch bekannt als Voice-Phishing – ähnelt dem Smishing insofern, als dass auch hier ein Telefon als Werkzeug für einen Angriff verwendet wird. Aber anstatt das Opfer über eine Textnachricht in die Irre zu führen, erfolgt dies über einen Anruf. Bei einem Vishing-Anruf wird oft eine automatisierte Sprachnachricht von einer scheinbar seriösen Institution, wie etwa einer Bank oder einer staatlichen Einrichtung, übermittelt. Die Angreifer behaupten beispielsweise, dass die Angerufenen einen hohen Geldbetrag schulden oder die Kreditkarte verdächtige Aktivitäten aufweist, die sofort behoben werden müssen. An diesem Punkt wird dem Opfer in der Regel mitgeteilt, dass es zur Überprüfung der Identität persönliche Informationen wie Kreditkartendaten oder seine Sozialversicherungsnummer angeben muss.
Beispiel für Vishing
2020 erfolgte bei der Gesundheitsorganisation Spectrum Health System ein Vishing-Angriff auf Patienten – ausgehend von Personen, die sich als interne Mitarbeiter ausgaben. Die Angreifer zielten darauf ab, persönliche Daten von Patienten und Spectrum Health-Mitgliedern in Erfahrung zu bringen. Gefragt waren Mitglieder-ID-Nummern und andere persönliche Gesundheitsdaten, die mit ihren Konten verbunden sind. Laut Spectrum Health nutzten die Angreifer Schmeicheleien oder sogar Drohungen, um die Opfer derart unter Druck zu setzen, dass sie Daten oder Geld herausgeben beziehungsweise den Zugriff auf persönliche Geräte erlauben.
Kompromittierung von Geschäfts-E-Mails (CEO-Fraud)
CEO-Fraud ist eine Form des Phishings, bei der sich der Angreifer Zugriff auf das geschäftliche E-Mail-Konto einer hochrangigen Führungskraft (z. B. des CEO) verschafft. Über dessen kompromittiertes Konto senden sie in seinem Namen „offizielle“ E-Mails an Mitarbeiter innerhalb des Unternehmens. Das Ziel: eine betrügerische Überweisung zu veranlassen oder sich Geld durch gefälschte Rechnungen zu beschaffen.
Beispiel für CEO-Fraud
Inky berichtete von einem CEO-Fraud-Angriff auf das österreichische Luft- und Raumfahrtunternehmen FACC im Jahr 2019. Bei diesem Angriff wurde eine Phishing-E-Mail an einen untergeordneten Buchhalter gesendet, die scheinbar vom CEO von FACC stammte. Die E-Mail enthielt Informationen über benötigte Finanzmittel für ein neues Projekt. Im Glauben, dass es sich hier um einen offiziellen Auftrag der Geschäftsleitung handelte, überwies der Buchhalter 61 Millionen US-Dollar auf betrügerische ausländische Konten.
Nach so viel krimineller Energie gibt es jetzt erstmal eine kurze Pause zum Verschnaufen. Im nächsten Teil setzen wir die Liste der Phishing-Beispiele fort und beleuchten unter anderem Clone-Phishing oder die Methode des Suchmaschinen-Phishings.