News

Haken, Schnur und Senker – Betrug durch Phishing und wie man sich davor schützen kann

Kaum ein Tag vergeht ohne Online-Nachrichten zu ‚Phishing“ auch als ‚Carding“ (Kämmen) oder ‚Brand Spoofing“ (Markenimitation) bezeichnet. Aber worum handelt es sich genau, wie funktioniert es und welche Auswirkungen hat es?

Phishing (eine bewusst falsche Schreibweise des Wortes ‚fishing“) ist eine spezielle Form der Internetkriminalität. Dabei werden Computernutzer überlistet, ihre persönlichen Daten (wie Benutzername, Passwort, PIN und andere Informationen) offenzulegen. Diese Angaben werden dann benutzt, um unter Vortäuschung falscher Tatsachen Geld zu stehlen. Das ist klassischer Betrug: Datenklau mit anschließendem Geldraub.

Phisher stützen sich hauptsächlich auf das Social Engineering, also das Erlangen vertraulicher Informationen durch Annäherung an Geheimnisträger mittels sozialer Kontakte.

Social Engineering wird von Viren-Autoren oft eingesetzt, um nichtsahnende User zu verleiten, einen infizierten Anhang zu öffnen oder einen gefährlichen Code zu aktivieren. Das kann heißen, dass ein Virus an eine scheinbar harmlose E-Mail Nachricht angefügt wird. LoveLetter zum Beispiel kam als E-Mail mit der Betreff-Zeile ‚I LOVE YOU“ (und wer bekommt nicht gerne solche Briefe?) und dem Text ‚Bitte lies meinen Liebesbrief im Anhang“. Um die nichtsahnenden Anwender noch unvorsichtiger werden zu lassen, hatte der Anhang eine doppelte Dateierweiterung (LOVE-LETTER-FOR-YOU.TXT.vbs): In der Standardeinstellung zeigt Windows die zweite (eigentliche) Erweiterung nicht an. Dieser Trick wurde seitdem bei sehr vielen Viren und Würmern angewandt, unter anderem bei SirCam, Tanatos und NetSky.

Eine weitere Methode des Social Engineering besteht darin, eine E-Mail so aufzubauen, dass sie wie etwas sehr Nützliches aussieht. Swen, zum Beispiel, war als Microsoft-Patch getarnt und manipulierte das wachsende Bewusstsein der Anwender, ihr System vor Attacken durch Internetwürmer schützen zu müssen. Eine weitere Form des Social Engineering sind zum Beispiel ICQ-Mitteilungen, die Links auf infizierte Webseiten enthalten.

Beim Betrug durch Phishing erstellt der kriminelle Täter eine mehr oder weniger perfekte Kopie einer ausgewählten Webseite eines Finanzinstitutes.
Der Täter geht dann zum ‚Angeln“ – mittels Spam-Methoden verschickt er eine E-Mail, die ein echtes Schreiben eines Finanzinstitutes imitiert. Phisher benutzen typischerweise legitime Logos, verfügen über einen guten Geschäftsstil und erwähnen teilweise existente Namen aus dem Management des Finanzinstitutes. Auch der Kopf der E-Mail wird gefälscht, um den Eindruck zu erwecken, sie wäre von einer ‚echten“ Bank verschickt worden.

Im Allgemeinen informieren solche Briefe die Kunden über Änderungen der IT-Struktur ihrer Bank und bitten sie um Bestätigung ihrer Nutzerdaten. Manchmal werden in diesen Briefen Netzwerkfehler oder sogar Hackerattacken als Grund für die Bitte um Bestätigung der persönlichen Daten der Kunden angeführt.

Diese durch Phisher versandten falschen E-Mails haben Eines gemeinsam: sie sind der Köder, der den Kunden verlocken soll, einen im Brief vorhandenen Link anzuklicken. Wenn der Köder geschluckt wird, begibt sich der glücklose ‚Fisch“ in die ernste Gefahr, seine vertraulichen Informationen preiszugeben, die einen kriminellen Zugriff auf sein Bankkonto ermöglichen. Der Link führt den Anwender direkt zur nachgebauten Webseite, die ein Formular enthält, welches der Anwender ausfüllen soll. Wenn er dies tut, hat er dem Kriminellen alle erforderlichen Informationen geliefert.

Phisher imitieren größtenteils Websites großer Finanzunternehmen , deren Kunden ihre Bankgeschäfte vorrangig online tätigen. In den letzten 18 Monaten waren Kunden von Barclays, Citibank, Halifax, HSBC, Lloyds TSB und MBNA NatWest Ziel solcher Phisher. Aber nicht nur Bankkunden sind betroffen: Weitere betroffene Organisationen, deren Kunden persönliche Daten zu Finanztransaktionen im Netz hinterlegt haben, sind unter anderen amazon.com, AOL, eBay, MSN, PayPal und Yahoo.

Natürlich erreicht bei jeder einzelnen Attacke nur ein geringer Teil der gefälschten E-Mails tatsächlich Kunden der imitierten Bank oder anderer Organisation; und nur ein geringer Teil dieser Kunden wird auch tatsächlich ‚den Köder schlucken“. Beim Spamming verschicken die Täter jedoch solch eine große Menge gefälschter E-Mails, dass sie auch bei nur geringer Trefferquote so viel Datenmaterial erhalten, dass sich jeder einzelne Betrug lohnt.
In diesem Sinne wäre der Begriff ‚Trawling“ (Schleppnetzfang) vielleicht passender als Phishing.

Es steht viel auf dem Spiel. Schätzungen zu finanziellen Verlusten durch Phishing, die man im Internet findet ,schwanken zwischen 400 Millionen bis 2,4 Milliarden Dollar. Es ist offensichtlich, dass die Zahl der Pishing-Attacken ansteigt, ebenso wie die damit verbundenen finanziellen Schäden. Von Juli 2004 bis November 2004 wurde ein monatlicher Zuwachs von 34% neuer Pishing E-Mails verzeichnet, der Zuwachs nachgebauter Webseiten betrug 28 Prozent. (Zahlen übernommen aus Phishing Activity
Trends Report – November 2004, Anti-Phising Working Group).

Dem nicht genug beschränkt sich das Problem nicht alleine auf finanzielle Schäden: Einige der Phisher bringen auf ihren Websites Exploits für Schwachstellen des Microsoft Internet Explorer (IE) unter. Wenn das Opfer dann dem Link auf die gefälschte Website folgt, wird über den Exploit ein Trojaner auf seinen Computer geladen.
Das kann zur Folge haben, dass nicht nur Bank- und andere persönliche Informationen ‚einkassiert“ werden – außerdem werden die betroffenen Computer unfreiwillige ‚Soldaten“ in einer Armee von ‚Zombie-Rechnern“, die für weitere kriminelle Aktivitäten eingesetzt werden können: als Teil einer DDoS-Attacke (Distributed Denial of Service, etwa ‚Dienstverweigerungs-Angriff“), die zur Erpressung von Unternehmen ausgeführt werden kann, oder als Ausgangspunkt für Spam-Versand und zur Verbreitung von Viren und Würmern.

Nicht schlecht für einen Phising-Tag!

Es ist nicht überraschend, dass das Thema Phishing seit nunmehr etwa einem Jahr große Medienaufmerksamkeit genießt und Finanzinstitute ihre Kunden über diese potentielle Gefahr informieren. Dadurch werden die Anwender immer vorsichtiger.

Die Phisher entwickeln immer intelligentere Methoden, um Computer-Anwender dazu zu verleiten, ihre persönlichen Bankdaten preiszugeben. Einige Phisher nutzen gar Schwachstellen im Betriebssystem aus, um ihre Betrügereien weniger offensichtlich zu machen.

Eine Schwachstelle im Internet-Explorer, die durch Microsoft Ende 2003 dokumentiert wurde, hat einem Phisher ermöglicht, eine vorgetäuschte Website zu imitieren, die nicht nur den Eindruck eines legitimen Geldinstituts macht , sondern auch die korrekte URL-Adresse im Browserfenster des Internet-Explorer anzeigt. Klickt der Nutzer den Link in der E-Mail des Phishers an, zeigt der Webbrowser den Inhalt der gefälschten Website an, die URL-Adresse im Browserfenster aber ist die der echten Bank. Diese Schwachstelle wird auf der Microsoft-Website erläutert. Dort finden sich auch Tipps, wie man gefälschte Websites erkennt.

Neuerdings haben Phisher einen Weg gefunden, Anwender auf gefälschte Websites zu locken, ohne dass sie überhaupt ein Link anklicken müssen. Das basiert auf der Möglichkeit, Script-Anleitungen (unter anderem Anleitungen für Exploits ) in HTML einzubetten, die automatisch beim Lesen der E-Mail ausgeführt werden. Im November 2004 haben Phisher HTML-E-Mails versandt, die Script-Anleitungen enthielten, um die Datei des Absenders auf dem Opfer-Computer zu manipulieren. Beim nächsten Aufruf der Bank-Webseitewir der Anwender automatisch auf die nachgebaute Website umgeleitet, wo alle etwaigen Eingaben abgefangen werden konnen.

Die Anwender hatten keinen Link angeklickt. Sie hatten auch keinen Grund zur Annahme, nicht wie gewohnt ihre normale Bankwebsite benutzt zu haben. Dennoch wurden sie Phishing-Opfer. Dies sollte ein Grund mehr sein, für E-Mails anstelle von HTML einen unverschlüsselten Text zu verwenden und die Scriptfunktion auf dem Computer zu deaktivieren.

Im Folgenden werden einige allgemeine Hinweise gegeben, wie man das Risiko
minimieren kann, Opfer von Phishern zu werden:

  • Seien Sie sehr vorsichtig bei E-Mails, in denen persönlichen Angaben abgefragt werden. Es ist höchst unwahrscheinlich, dass Ihre Bank solche Daten per E-Mail abfordert. Wenn Sie Zweifel haben, rufen Sie Ihre Bank zur Überprüfung an.
  • Nutzen Sie keine Links in einer E-Mail, um eine Website aufzurufen. Tippen Sie stattdessen die URL-Adresse selbst in Ihren Webbrowser ein.
  • Füllen Sie kein Formular in einer E-Mail aus, welches persönliche Angaben erfragt. Achten Sie darauf, dass die URL mit ‚https//“ beginnt und nicht einfach nur mit “http//“. Wenn Sie den Internet Explorer benutzen, suchen Sie das Schloss-Symbol rechts in der Statuszeile und öffnen Sie es mit Doppelklick, um die Gültigkeit des digitalen Zertifikats zu überprüfen. Oder tätigen Sie als Alternative Ihre Geschäfte telefonisch.
  • Denken Sie darüber nach, eine Toolbar für den Webbrowser zu installieren, die Ihnen bekannte Phishingangriffe anzeigt.
  • Prüfen Sie regelmäßig Ihre Bankkonten (einschließlich Geldkarten und Kreditkarten, Kontoauszüge etc.) um sicher zu gehen, dass alle angeführten Transaktionen korrekt sind.
  • Vergewissern Sie sich, dass Sie die aktuellste Version Ihres Browsers benutzen und dass alle etwaigen Korrekturprogramme durchgeführt worden sind.
  • Informieren Sie Ihre Bank über Auffälligkeiten.

Weitere Informationen zu Phishing, Phishing-Angriffen und Schutzmaßnahmen finden Sie in Consumer Advice on Phishing (Anti-Phising Working Group).

Haken, Schnur und Senker – Betrug durch Phishing und wie man sich davor schützen kann

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach