WatchGuard Blog

Phishing: Angriffsform mit vielen Gesichtern (Teil 2)

E-Mail-Phishing, Spear-Phishing, Whaling, Smishing, Vishing oder CEO-Fraud waren bereits im letzten Blog-Beitrag Thema. Doch damit ist das Ende der Phishing-Fahnenstange noch lange nicht erreicht. Weiter geht’s.  

Clone-Phishing

Wenn Sie schon einmal eine legitime E-Mail von einem Unternehmen erhalten haben und kurz darauf eine scheinbar identische Nachricht im Posteingang eintrudelt, haben Sie höchstwahrscheinlich Clone-Phishing in Aktion erlebt. Bei dieser Phishing-Methode wird eine bösartige Kopie einer kürzlich erhaltenen Nachricht erstellt und von einer scheinbar glaubwürdigen Quelle erneut versendet. Alle Links oder Anhänge der ursprünglichen E-Mail werden jedoch durch bösartige ersetzt. Die Angreifer verwenden in der Regel den Vorwand, dass die Nachricht aufgrund von Problemen mit den Links oder Anhängen in der vorherigen E-Mail erneut verschickt werden musste.

Beispiel für Clone-Phishing

Bereits 2017 hat ein Sicherheitsforscher gezeigt, wie sich über die Verwendung von bestimmten Zeichen die korrekte Adresse einer Website im Browser-Fenster anzeigen lässt, obwohl sich dahinter eine betrügerische verbirgt. Wer einem E-Mail-Link zu diesem gefakten Online-Auftritt folgt, wird perfide ausgetrickst. Besuchen Sie daher Websites immer über Ihre eigenen Lesezeichen oder indem Sie die URL selbst eintippen. Klicken Sie außerdem niemals auf einen Link aus einer unerwarteten E-Mail (selbst wenn diese auf den ersten Blick legitim erscheint).

Evil-Twin-Phishing

Beim Evil-Twin-Phishing wird ein scheinbar legitimes WLAN eingerichtet, das die Opfer beim Verbindungsversuch auf eine Phishing-Website lockt. Sobald sie auf der Seite gelandet sind, werden sie in der Regel aufgefordert, ihre persönlichen Daten einzugeben, wie z. B. die Anmeldedaten, die dann direkt an den Hacker gesendet werden. Dieser kann sich anschließend in das Unternehmensnetzwerk einloggen, die Kontrolle darüber übernehmen, den unverschlüsselten Datenverkehr überwachen und weitere Wege finden, um sensible Informationen zu stehlen.

Beispiel für Evil-Twin-Phishing

Im September 2020 berichtete Nextgov über eine Datenpanne in den internen Systemen des US-Innenministeriums. Hacker nutzten Evil-Twin-Phishing, um eindeutige Anmeldedaten zu stehlen und sich darüber Zugang zum eigentlichen WLAN des Ministeriums zu verschaffen. Im Zuge der Ermittlungen kam heraus, dass beim Ministerium hinsichtlich einer „sicheren drahtlosen Netzwerkinfrastruktur“ grundsätzlich einiges im Argen lag. In der Netzwerkrichtlinie des Ministeriums waren weder die Verpflichtung zur Nutzung starker Benutzerauthentifizierungsmaßnahmen noch regelmäßige Tests zur Überprüfung der Netzwerksicherheit vorgeschrieben – von einer generellen Netzwerküberwachung zur Erkennung und Verwaltung häufiger Angriffe ganz zu schweigen.

Social-Media-Phishing

Social-Media-Phishing bedeutet, dass Angreifer soziale Netzwerke wie Facebook, Twitter und Instagram nutzen, um an vertrauliche Daten der Opfer zu gelangen oder sie dazu zu verleiten, auf bösartige Links zu klicken. Hacker können gefälschte Konten erstellen und sich als jemand ausgeben, den das Opfer kennt, um es in ihre Falle zu locken. Ein weiterer Trick ist, unter dem Namen einer bekannten Marke ein Kundendienstkonto zu eröffnen und diejenigen in die Irre zu führen, die sich mit einer Support-Anfrage dahin wenden.

Beispiel für Social-Media-Phishing

Im August 2019 informierte Fstoppers über eine Phishing-Kampagne auf Instagram. Betrüger schickten private Nachrichten an Instagram-Nutzer, in denen sie sie vor einer Urheberrechtsverletzung an einem Bild warnten, und aufforderten, ein Formular auszufüllen, um die Sperrung ihres Kontos zu vermeiden. Eines der Opfer erhielt eine private Nachricht von einem scheinbar offiziellen North Face-Konto. Darin wurde eine Urheberrechtsverletzung behauptet – verbunden mit der Aufforderung, einem Link zu "InstagramHelpNotice.com" zu folgen. Auf dieser scheinbar legitimen Website sollten die Benutzer ihre Anmeldedaten eingeben. Opfer, die auf diese Falle hereinfielen, verschafften den Hackern letztlich Zugang zu ihren Kontoinformationen und anderen persönlichen Daten, die mit ihrem Instagram-Konto verknüpft waren.

Suchmaschinen-Phishing

Beim Suchmaschinen-Phishing erstellen Hacker eigene Websites und sorgen dafür, dass diese in legitimen Suchmaschinen indiziert werden. Dort sind oft günstige Produkte und schier unglaubliche Angebote zu finden, um ahnungslose Online-Käufer anzulocken, die im Rahmen einer Webrecherche darauf gestoßen sind.  Wenn sie sich zum Kauf entschließen, werden sie in der Regel aufgefordert, ein Konto zu registrieren oder ihre Bankdaten einzugeben. Natürlich erhalten die Käufer im Anschluss keine Ware und müssen nicht nur den finanziellen Verlust verkraften. Vielmehr werden die gestohlenen persönlichen Daten zum Nachteil der Opfer oft für weitere kriminelle Machenschaften verwendet.

Beispiel für Suchmaschinen-Phishing

Laut Google werden täglich 25 Milliarden Spam- und Phishing-Webseiten entdeckt. Auch das Security-Unternehmen Wandera wartet in dem Zusammenhang mit eindrucksvollen Zahlen auf. Im Report ist davon die Rede, dass alle 20 Sekunden eine neue Phishing-Seite online geht und dadurch jede Minute drei neue Phishing-Seiten in Suchmaschinen auftauchen!

Pharming

Pharming – eine Kombination aus den Wörtern „Phishing“ und „Farming“ – bedeutet, dass Hacker grundlegende Mechanismen des Internets zum Nachteil der Anwender ausnutzen. Diese werden, nachdem Angriffe auf DNS-Server (Domain Name System) erfolgreich waren, auf bösartige Websites umgeleitet. Die Aufgabe von DNS-Servern ist es, dem im Adressfeld des Browsers eingegebenen Webseitennamen die richtige IP-Adresse zuzuweisen. Hacker, die Pharming betreiben, nehmen also DNS-Server ins Visier, um Opfer auf betrügerische Websites mit gefälschten IP-Adressen umzuleiten. Wenn diese darauf reinfallen und auf den korrumpierten Zielen persönliche Daten eingeben, fallen diese direkt in die Hände der Hacker.

Beispiel für Pharming

Secure List legt den Fokus auf einen Pharming-Angriff im Jahr 2019, bei dem eine humanitäre Kampagne in Venezuela zum Ausgangspunkt wurde. Auf einer zugehörigen Website konnten sich Freiwillige unter Angabe ihres Namens und Wohnort sowie ihrer persönlichen ID, Handynummer und mehr für die Teilnahme anmelden. Wenige Tage nach dem Start der Website tauchte eine fast identische mit ähnlicher Domain auf. Der Hacker erstellte diese gefälschte Domain unter Verwendung der gleichen IP-Adresse. Immer dann, wenn ein Freiwilliger die echte Website öffnete, wurden alle persönlichen Daten auf die gefälschte Website umgeleitet. Das führte zum Datendiebstahl bei Tausenden Kampagnen-Unterstützern.

Tipps zum Erkennen und Verhindern von Phishing-Angriffen

Eine der besten Möglichkeiten, sich davor zu schützen, Opfer eines Phishing-Angriffs zu werden, besteht darin, Beispiele für Phishing in Aktion zu studieren. Einschlägige Hinweise dazu liefert unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI). Im Allgemeinen gilt es, folgende Warnzeichen zu berücksichtigen:

  • Eine E-Mail fordert Sie auf, persönliche Informationen zu bestätigen: Wenn Sie eine E-Mail erhalten, die authentisch erscheint, aber aus heiterem Himmel kommt, ist das ein starkes Zeichen dafür, dass es sich um eine nicht vertrauenswürdige Quelle handelt.
  • Schlechte Grammatik: Falsch geschriebene Wörter, schlechte Grammatik oder eine seltsame Wortwahl sind ein offensichtliches Anzeichen für einen Phishing-Versuch.
  • Nachrichten, die Sie unter Druck setzen: Wenn eine Nachricht den Anschein erweckt, dass sofortiger Handlungsbedarf besteht, sollten Sie vorsichtig sein – dies ist ein gängiges Vorgehen von Cyberkriminellen.
  • Verdächtige Links oder Anhänge: Wenn Sie eine unerwartete Nachricht erhalten haben, in der Sie aufgefordert werden, einen unbekannten Anhang zu öffnen, sollten Sie dies nur dann tun, wenn Sie ganz sicher sind, dass der Absender ein legitimer Kontakt ist.
  • Angebote, die zu gut sind, um wahr zu sein: Wenn Sie wegen eines scheinbar einmaligen Angebots kontaktiert werden, handelt es sich wahrscheinlich um eine Fälschung oder einen Betrugsversuch.

Zudem gibt es nicht zuletzt Rettung durch einschlägige Security-Lösungen. So unterstützt beispielsweise WatchGuard DNSWatch mit Filterfunktionen auf DNS-Ebene. Potenziell gefährliche Verbindungen werden auf diese Weise erkannt und blockiert, was Netzwerke wie Mitarbeiter vor schädlichen Angriffen schützt.