Social Engineering

Phishing-Angriffe verstehen und erfolgreich verhindern

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bezeichnet Phishing als „[g]efährliche Umleitung für Ihre Passwörter“. Betrugsmaschen, die das Ziel haben, Zugangsdaten zu erbeuten, sind jedoch nur eine Möglichkeit. Durch die mutwillige Ausnutzung menschlicher Emotionen kann es auch auf anderen Wegen zu erheblichen Schäden für die Opfer kommen.

Grund für die Popularität von Phishing-Angriffen sind vor allem die einfache Umsetzung und der große finanzielle Gewinn, der einem erfolgreichen Angreifer winken kann. Eine Befragung von 1.400 Unternehmen aus 23 Branchen hat ergeben, dass ein erfolgreicher Phishing-Angriff ein mittelständisches Unternehmen im Durchschnitt 1,4 Millionen Euro (1,6 Millionen US-Dollar) kostet.

Nicht nur Konzerne stehen im Fokus der Angreifer, immer öfter sind es auch Privatpersonen, die Opfer gezielter Phishing-Kampagnen werden. Besonders die Etablierung anonymer Kryptowährungen wie Bitcoin hat dazu beigetragen, dass sich völlig neue Geschäftsmodelle entwickeln konnten. Ransomware-Angriffe haben spätestens mit WannaCry im Jahr 2017 den Massenmarkt erreicht. Im Darknet werden immer neuere und ausgefallenere Erpressungstrojaner zum Verkauf angeboten. Gelingt es einem Angreifer, diese auf dem Rechner eines Opfers auszuführen, verschlüsselt die Schadsoftware automatisch aller auffindbaren Daten. Zur Wiederherstellung wird anschließend ein Schlüssel im Austausch gegen eine Lösegeldzahlung angeboten. Auch heute sind es häufig noch immer Microsoft-Office-Makros oder präparierte PDF-Dateien, die als Einfallstor ins interne Netzwerk dienen.

Im Folgenden schauen wir uns an, welche Phishing-Techniken bei Betrügern besonders beliebt sind.

Phisher’s Fritz phisht frische Phishe


1987 stellten Jerry Felix und Chris Hauck auf der Interex Konferenz ihre Forschungsarbeiten unter dem Titel „System Security: A Hacker’s Perspective“ vor. Darin wird einer der ersten Methoden beschrieben, bei der sich eine außenstehende Person als angeblich vertrauenswürdige Instanz ausgibt.

In den frühen 1990er haben sich erste Gruppierungen in der Hacker-Szene gebildet, die sich vor allem mit Kreditkarten- und Online-Betrügereien beschäftigten. Zu Kommunikation untereinander waren damals AOL-Chaträume besonders beliebt. Dies ist nicht lange unbemerkt geblieben und AOL hat damit begonnen, die Unterhaltungen automatisch nach bestimmte Schlüsselbegriffe zu scannen. Die Hacker haben sich deshalb verschiedene Methoden einfallen lassen, um abseits der Filterkriterien über ihre kriminellen Aktivitäten sprechen zu können. Unter anderem hat man die Betrugsmaschen nicht mehr direkt angesprochen, sondern durch die Zeichenfolge „<><“ ersetzt. Grundlage dieser Idee war, dass die drei Zeichen die am häufigst verwendeten HTML-Tags im Code des Chat-Clients waren. Entsprechend war AOL nicht in der Lage, schlichtweg nach Nachrichten mit diesem Inhalt zu suchen. Die visuelle Repräsentation eines Fisches („<><„) zu wählen, war also nicht nur eine simple Spielerei, sondern die beste Möglichkeit, im legitimen Nachrichtenverkehr unterzutauchen.

Der Begriff „Fishing“ wird zum ersten Mal in der 1995 erschienenen Version des Hacker-Toolkits AOHell verwendet. Anwender konnten damit automatisierte Social-Engineering-Angriffe auf beliebige AOL-Kunden starten. Die Software verschickte dazu per AOL Instant Messenger (AIM) gefälschte Nachrichten eines angeblichen Servicemitarbeiters:

„Hi, this is AOL Customer Service. We’re running a security check and need to verify your account. Please enter your username and password to continue.“

Zur damaligen Zeit war das sogenannte Phreaking eine beliebte Aktivität in der Hacking-Szene. Darunter versteht man das Erforschen und Manipulieren von Telekommunikationssystemen (Freak als Abwandlung von Frequency zusammen mit dem Ph- von Phone). Über bestimmte Tonfrequenzen war es zum Beispiel für jeden unbemerkt möglich, kostenlose Ferngespräche in die ganze Welt zu führen. Letztendlich ist aus der Adaption des Ph- von Phreaking und der Zeichenfolge „<><“ (englisch Fish) der Begriff Phishing entstanden.

Der richtige Köder für den richtigen Phish


Bevor wir die einzelnen Phishing-Angriffe im Detail betrachten, ist es wichtig zu verstehen, für welche Zielgruppen diese konzipiert wurden. Die meisten Angriffe lassen sich in eine dieser 3 Kategorien einordnen:

Jagd auf den Schwarm

Der überwiegende Großteil besteht aus ungerichteten und in ihrer Ausführung unspezifisch gehaltenen Massenangriffen. Ziel ist es eine Nachricht so zu formulieren, dass diese auf einen möglichst großen Anteil der Bevölkerung zutrifft. Aufgrund der enormen Menge an Empfängern kann es ausreichen, wenn weniger als ein Prozent der Opfer auf den Phishing-Versuch anspringt.

Jagd auf den Einen

Bei Angriffen auf Einzelpersonen werden Nachrichten sehr gezielt auf die jeweilige Persönlichkeit und das Umfeld des Opfers zugeschnitten. Die Personen werden direkt mit ihrem Namen angesprochen, es werden Verbindungen zu realen Situationen hergestellt und Informationen genannt, die scheinbar nur von einem Beteiligten stammen können. Dies erfordert im Vorfeld ein deutlich höheres Maß an Recherchearbeit, jedoch spiegelt sich dies auch in der Erfolgschance wider. Entsprechende Angriffe werden unter dem Begriff „Spear Phishing“ zusammengefasst.

Jagd auf den ganz dicken Fisch

Eine besondere Variante des Spear Phishings stellen Angriffe auf Mitglieder der Führungsebene eines Unternehmens dar. Das Ziel ist hierbei entweder an gesonderte Informationen, wie Geschäftsgeheimnisse, zu gelangen oder die erweiterten Befugnisse der jeweiligen Person auszunutzen. Es ist beispielsweise keine Seltenheit, dass der Account des CEOs Admin-Privilegien auf dem Rechner oder sogar in der Domäne besitzt. Eingeschleuste Schadsoftware hat dadurch eine deutlich höhere Chance, sich erfolgreich auszubreiten. Angriffe auf C-Level-Executives (CEO, COO, CIO et cetera) bezeichnet man als „Whaling“.

Die beliebtesten Phishing-Angriffe


Im nachfolgenden Abschnitt betrachten wir die beliebtesten Angriffstechniken heutiger Phisher und was jeder einzelne machen kann, um diese frühzeitig zu erkennen und zu verhindern.

In den meisten Fällen werden emotionale Schwächen der menschlichen Natur ausgenutzt, um das gewünschte Ergebnis zu erzielen. Besonders erfolgversprechend sind hierbei das Verlangen, anderen Menschen zu helfen, und die Angst des eigenen Verlustes.

Vishing

Unter „Vishing“ werden Social-Engineering-Angriffe verstanden, die über das Telefon durchgeführt werden. Betrüger verwenden immer öfter auch Voice-over-IP-Dienste (VoIP) wie Skype. Der Begriff „Vishing“ setzt sich aus den beiden Worten „Voice“ und „Phishing“ zusammen. Angreifer verfolgen dabei auf zwei unterschiedliche Herangehensweisen.

Direkte Anrufe

Das Opfer wird direkt von den Betrügern angerufen. Die notwendigen Kontaktinformationen stammen entweder aus öffentlichen Quellen, wie sozialen Netzwerken, oder es werden schlichtweg alle Kombinationen an möglichen Rufnummern durchprobiert. Angriffe dieser Art erfordern ein gewisses Geschick im direkten Kontakt mit Menschen. Wird der Vorwand des Anrufs in den ersten Sekunden nicht glaubwürdig vermittelt, ist das restliche Gespräch zum Scheitern verurteilt. Vorgefertigte Tools erlauben es hierfür, mit wenigen Klicks die ausgehende Nummer zu manipulieren und als vertrauenswürdige Instanz auf dem Display des Opfers zu erscheinen.

Indirekte Anrufe

Einfacher ist es, wenn sich das Opfer selbst meldet. Über einen anderen Kommunikationskanal schafft der Angreifer im Vorfeld eine Situation, die letztendlich dazu führt, dass das Opfer eine hinterlegte Nummer kontaktiert. Ein Beispiel einer solchen Nachricht könnte folgendermaßen aussehen:

Phishing-Nachricht mit Nummer der Betrüger

Wie schütze ich mich vor Vishing?

Um sich gegen gefälschte Anrufer-Identifikationen zu schützen, kann ich mir im Zweifelsfall die angezeigte Nummer notieren, das Gespräch beenden und anschließend zurückrufen. Noch besser ist es, sich die korrekte Rufnummer aus einer anderen Quelle, beispielsweise der offiziellen Webseite des vermeintlichen Unternehmens, herauszusuchen und nur über diese den Kontakt aufzunehmen. Grundsätzlich sollte ich jede Aussage, egal wie belanglos sie erscheinen mag, hinterfragen. Ein legitimer Service-Mitarbeiter würde niemals Login-Informationen über das Telefon abfragen, geschweige denn einen Passwortwechsel darüber durchführen.

Smishing

Phishing über SMS-Nachrichten wird als „Smishing“ bezeichnet. Dabei wird in der Regel ein ähnlicher Vorwand konstruiert, wie es beim Vishing der Fall ist. Die Kurznachrichten dienen in den meisten Fällen jedoch lediglich als Grundlage für weitere Angriffsstrategien (siehe Vishing).

Wie schütze ich mich vor Smishing?

Auch hier gilt, dass ich jede erhaltene Nachricht hinterfragen sollte. Hab ich meine Rufnummer überhaupt bei dem angeblichen Absender hinterlegt? Werde ich namentlich angesprochen oder wird lediglich eine generische Floskel wie „Sehr geehrter Kunde“ verwendet? Wird in der Nachricht zeitlicher Druck durch eine gewisse Dringlichkeit vermittelt? Generell sollten keine Links unbekannter Herkunft angeklickt werden. Ein datenschutzkonformes Unternehmen würde niemals persönliche Informationen über SMS anfragen.

Pharming

Pharming stellt eine der gefährlichsten, aber gleichzeitig auch komplexesten Phishing-Methoden dar. Ein Angreifer führt hierbei im Vorfeld einen sogenannten DNS-Poisoning-Angriff entweder auf den verwendeten DNS-Server des Opfers oder die lokalen DNS-Einträge auf dem Client-System aus.

Über die Auflösung von DNS-Anfragen weiß der Browser, welche IP-Adresse einer menschenlesbaren URL zugewiesen ist. Beispielsweise werden Anfragen an www.google.com an einen Server, der unter der IP-Adresse 172.217.15.78 erreichbar ist, geschickt. Gelingt es einem Angreifer, diese Zuordnung zu manipulieren, kann er das Opfer auf seinen eigenen Server umleiten. Darüber kann dann zum Beispiel eine gefälschte Variante der angefragten Webseite bereitgestellt werden. Derartige Angriffe sind nicht ohne Weiteres durchführbar. In den meisten Fällen wird der Rechner des Opfers im Vorfeld durch einen Trojaner infiziert. Router mit unsicheren Zugangsdaten sind ebenfalls ein beliebtes Ziel, da sich darüber eine Vielzahl von Anwendern gleichzeitig angreifen lässt.

Wie schütze ich mich vor Pharming?

Sich gegen Pharming zu verteidigen ist nicht so trivial, wie bei anderen Techniken. Grundsätzlich sollte ich immer darauf achten, dass die Kommunikation zwischen Client und Server mittels TLS verschlüsselt ist. Im Zweifelsfall kann das verwendete SSL-Zertifikat der jeweiligen Seite zusätzlich auf seine Herkunft hin überprüft werden. Wenn ich mir unsicher bin, ob der angezeigte Inhalt von der korrekten Quelle stammt, kann ich die eingegebene URL zur Verifikation über ein zweites Gerät außerhalb des Netzwerkes aufrufen. Um bösartige Trojaner zu vermeiden, sollte ich immer eine aktuelle Anti-Viren-Lösung im Einsatz haben.

Phishing via E-Mail

Die mit Abstand beliebteste Methode des Phishings sind gefälschte E-Mails. Die Vorteile liegen hierbei klar auf der Hand: Absender und Inhalt sind leicht zu fälschen, ohne viel Aufwand kann ein verhältnismäßig hohes Maß an Anonymität erreicht werden und es entstehen praktisch keine Kosten, selbst bei einer großen Anzahl an Empfängern.

Markenimitation

Brand Impersonation bzw. Markenimitation ist die verbreitetste Variante bei Massenangriffen. Dabei gibt sich der Angreifer in seiner E-Mail als Unternehmen aus, von welchem das Opfer mit hoher Wahrscheinlichkeit Produkte oder Dienstleistungen in Anspruch genommen hat. Besonders attraktiv sind Anbieter wie Amazon, Paypal oder Apple, da diese einen großen Kundenstamm besitzen und in ihren Mails oftmals Links einbetten oder Rechnungen anhängen.

CEO-Fraud

CEO-Fraud stellt eine besondere Art des Spear Phishings dar. Wie der Name vermuten lässt, spielt der Geschäftsführer dabei eine entscheidende Rolle. Dieser ist jedoch nicht das Opfer, sondern der vermeintliche Absender der Nachricht. Als potenzielle Ziele werden Mitarbeiter ausgewählt, welche die Befugnis besitzen, größere Transaktionen im Namen der Geschäftsleitung auszuführen. E-Mails bieten sich als Kommunikationsmedium für derartige Angriffe besonders gut an. Mit etwas Geschick kann leicht das nötige Vertrauen hergestellt werden. Manchmal genügt es bereits, den E-Mail-Footer des Geschäftsführers zu kopieren und das Opfer mit dem richtigen Namen anzusprechen.

Wie schütze ich mich vor E-Mail-Phishing?

Kontrolliere den Absender

Es gibt verschiedene Möglichkeiten, den Absender einer E-Mail zu fälschen. Um dies zu erkennen, müssen nicht immer die Metainformationen im Header einer Nachricht bis ins letzte Detail analysiert werden. Meistens genügt es bereits, wenn ich mir die gesamte Adresse des Absenders anzeigen zu lassen.

Korrekte Analyse des Absenders einer Phishing-E-Mail

Profi-Tipp: Ein geschultes Auge erkennt auf dem gezeigten Screenshot ebenfalls, dass die Endung „.de“ im Amazon-Logo leicht deformiert erscheint. Fehlerhafte Grafiken können ebenso ein erstes Anzeichen für eine Fälschung sein.

Kontrolliere die Ansprache

Werde ich in der Nachricht falsch oder nur sehr allgemein angesprochen? Auch fehlerhafte Groß- und Kleinschreibung oder eine Mischung aus Deutsch und Englisch sollten die Alarmglocken läuten lassen.

Kleinschreibung in der Ansprache der Phishing-Mail

Kontrolliere Verlinkungen

Bevor ich überstürzt auf einen Button oder Link in einer E-Mail klicke, sollte ich immer zuerst kontrollieren, wo dieser hinführt. Dazu genügt es in heutigen Browsern, wenn ich mit der Maus über den Link fahre, OHNE darauf zu klicken (!).

Gefälschter Verifizieren-Button in der E-Mail

In der unteren Ecke des Browser-Fensters wird dann das Ziel der Verlinkung eingeblendet. Im aufgezeigten Beispiel verweist der „Verifizierung“-Button nicht wie zu erwarten wäre auf eine Unterseite der Amazon-Domäne, sondern auf hxxp://macs.ozl0k.casa/.

Tatsächliches Ziel des Buttons

Neben Gefälschten können auch nicht vorhandene Verlinkungen ein klares Warnsignal darstellen. Beispielsweise wurde in der aufgeführten Phishing-Mail in der Kopfzeile zwar korrekterweise die Menüleiste hinzugefügt, jedoch sind die angeblichen Verlinkungen lediglich blau eingefärbte Textblöcke.

Fehlerhafter Menüleiste in der E-Mail

Das Bundeskriminalamt (BKA) bietet auf ihrer Seite zusätzlich ein Informationsblatt mit Maßnahmen gegen CEO-Fraud an.

Ausgefallene Phishing-Techniken

Phishing via Suchmaschinen

Bei einem Phishing-Versuch über Suchmaschinen wie Google, Bing und Co. platziert ein Angreifer einen gefälschten Webauftritt über dem Suchergebnis des eigentlichen Ziels. Dies erfordert jedoch einen hohen zeitlichen Aufwand und gute Kenntnisse in Suchmaschinenoptimierung (Search Engine Optimization – SEO) und Suchmaschinenmarketing (Search Engine Marketing – SEM).

Typosquatting

Beim Typosquatting erwirbt der Angreifer den Namen einer Domain, die bis auf einen Rechtschreibfehler analog zur Zielseite ist. Gibt das Opfer dann zum Beispiel statt youtube.com versehentlich yousube.com, youzube.com oder yutube.com ein, wird dieser unbewusst auf eine bösartige Alternative umgeleitet.

Fazit


Laut Verizon Data Breach Investigations Report werden 30 % aller Phishing-Nachrichten geöffnet und 12 % der eingefügten Links oder Anhänge angeklickt. 95 % aller erfolgreichen Hacking-Angriffe auf Unternehmen sind gar auf Phishing zurückzuführen. Entsprechend vielversprechend sehen die Aussicht für Betrüger des digitalen Zeitalters aus.

Die besten Verteidigungsstrategien gegen Phisher stellen der gesunde Menschenverstand und eine angemessene Portion Skepsis dar. Bei jeder Nachricht sollte grundsätzlich auf folgende Punkte geachtet werden:

  1. Handle nicht voreilig!
    Auch wenn der Inhalt eine gewisse Dringlichkeit suggeriert, klicke nicht zu vorschnelle auf irgendwelche Links oder Anhänge.
  2. Hinterfrage den Kontext!
    Ergibt es überhaupt Sinn, dass dich das vermeintliche Unternehmen/Person kontaktiert? Wenn ja, woher haben diese deine Kontaktdaten?
  3. Im Zweifelsfall: Ignorieren!
    Wenn nicht hundertprozentig klar ist, was sich hinter der Nachricht oder dem Anhang verbirgt, ignoriere sie. Neugierde liegt in unserer Natur, dennoch sollte man im Zweifelsfall einfach weiter scrollen. Im Unternehmen kann eine entsprechende E-Mail auch an den zuständigen Sicherheitsbeauftragten weitergeleitet werden.

Ebenso empfiehlt es sich, sowohl privat als auch beruflich einen Passwort-Manager einzusetzen. Dieser sorgt dafür, dass sämtliche Zugangsdaten nur bei den tatsächlich vorgesehen Seiten eingefügt werden. Bleibt das Eingabefeld leer, sollte die URL genau untersucht werden. Zusätzlich ermöglicht ein Passwort-Manager auch ohne großen Aufwand die Verwendung von sehr komplexen Passwörtern.

Zwei-Faktor-Authentifizierungen sollten überall aktiviert werden, wo es die Software erlaubt. Dadurch wird eine zusätzliche Ebene der Absicherung eingeführt. Ein Angreifer, dem es doch einmal gelingt, Zugangsdaten abzugreifen, kann damit ohne den verknüpften zweiten Faktor wenig anfangen.

Wer mehr zum Thema Phishing erfahren will, dem empfehle ich das Buch „Die Kunst des Human Hacking“ von Christopher Hadnagy.

Bonus