Coronakrise: Phishing-Versuche haben Hochkonjunktur

Wie letzte Woche bekannt wurde, kam es in Nordrhein-Westfalen und Sachsen zu Phishing-Angriffen, die auf die Soforthilfeprogramme der beiden Länder im Zuge der Coronakrise abzielten.

Leider veranschaulichen diese jüngsten Vorfälle einmal mehr das generelle Vorgehen von Cyberkriminellen: Sie nutzen jede sich ihnen bietende Gelegenheit aus, um daraus Profit zu schlagen. Die globale Covid-19-Pandemie dieser Tage bietet ihnen geradezu perfekte Bedingungen, um Gelder zu stehlen oder auch persönliche Daten zu erbeuten. Viele Bürger sind dieser Tage verunsichert ob der aktuellen Entwicklungen und blicken mit Besorgnis auf das, was noch kommen mag. Für Cyberkriminelle der ideale Moment, um zur Tat zu schreiten. Die Verunsicherung in der Bevölkerung und teils widersprüchliche Informationen in den Medien führen häufig dazu, dass Internetnutzer verstärkt verschiedene Quellen heranziehen, um ihren Informationsbedarf zu stillen – oft agieren sie dabei mit weniger Bedacht, als es momentan geboten wäre.

Anzeige

Zunahme von Phishing-Kampagnen

In den vergangenen Tagen und Wochen haben wir eine dramatische Zunahme von Phishing-Kampagnen in Zusammenhang mit dem Coronavirus beobachten können: angefangen mit Ködern rund um den derzeit florierenden Versandhandel, über das Stehlen von Zugangsdaten für Streaming-Dienste, bis hin zu gefälschten Angeboten von Schutzmasken und vermeintlich von der WHO stammenden E-Mails. Insgesamt umfassten die Phishing-Aktivitäten rund 170 solcher Kampagnen mit mehr als 500.000 Nachrichten, 300.000 gefälschten URLs und 200.000 schädlichen Dateianhängen.

Für Internetnutzer ist es folglich derzeit besonders wichtig, legitime Nachrichten von Phishing-Versuchen zu unterscheiden. Da Phishing-Mails in Sachen Inhalt und Layout jedoch in vielen Fällen nahezu perfekt gefälscht sind, gibt es für den Anwender oft nur wenige Indizien, die auf einen Betrugsversuch hindeuten. Einen entscheidenden Hinweis kann daher die E-Mail-Adresse des Absenders liefern. Doch auch die Cyberkriminellen sind sich dieses Umstands bewusst und versuchen deshalb auch diese zu fälschen. Hierfür bedienen sie sich zweier unterschiedlicher Techniken: zum einen dem sogenannten Typosquatting. Zu diesem Zweck werden von den Gruppen hinter dem Betrugsversuch Domains registriert, die in ihrer Schreibweise denen einer legitimen Domain ähneln. In einem weiteren Schritt werden danach E-Mail-Adressen generiert, die nur bei genauerer Betrachtung als illegitim erkannt werden können.

Mail Spoofing

Die zweite und weitaus gefährlichere Methode, derer sich die Cyberkriminellen bedienen, ist das Domain Spoofing, das auch als Mail Spoofing bekannt ist. Hierbei machen sich Online-Betrüger Schwachstellen in E-Mail-Protokollen zunutze, um eine Nachricht unter einer vermeintlich legitimen Absenderadresse zu verschicken. Dies macht es für einen gewöhnlichen Internetnutzer nahezu unmöglich, eine Fälschung vom Original zu unterscheiden.

Anzeige

Insbesondere die zuletzt genannte Technik lässt sich von Seitenbetreibern legitimer Websites jedoch mit vergleichsweise einfachen Mitteln unterbinden. Denn mit Hilfe des E-Mail-Authentifizierungsprotokolls DMARC kann für Domains legitimer Organisationen das Domain Spoofing unterbunden werden. Dies erschwert es Cyberkriminellen, sich als die jeweilige Organisation auszugeben. Die Abkürzung DMARC steht für „Domain-based Message Authentication, Reporting and Conformance“ und überprüft die Identität des Absenders anhand der etablierten Standards DKIM (DomainKeys Identified Mail) und SPF (Sender Policy Framework). Das SPF-Protokoll basiert auf dem DNS-Eintrag (Domain Name System), also der IP-Adresse, unter der E-Mails autorisiert versendet werden. Dadurch erkennt die E-Mail-Anwendung des Adressaten die Legitimität einer E-Mail anhand der hinterlegten, gültigen und nur schwer fälschbaren IP-Adresse – und nicht anhand des Domain-Namens. Die zweite Komponente liegt mit dem DKIM-Protokoll verschlüsselt vor. Der passende Schlüssel findet sich öffentlich im DNS und dient der Signatur einer E-Mail. Der Empfänger erkennt dadurch, dass die Nachricht von einem legitimen Absender stammt und nicht verändert wurde. Mittels DMARC kann nun erstmals durchgesetzt werden, dass nur E-Mails ausgeliefert werden, die sowohl DKIM als auch SPF bestehen. Alle anderen werden schon vor der Zustellung an die Mailbox geblockt. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Sichere Kommunikation schaffen

In einer Zeit, in der die Bürger auf vertrauenswürdige, sichere E-Mail-Kommunikation mit Regierungsstellen und Unternehmen angewiesen sind, ist es nicht nur im öffentlichen Sektor sondern auch in der Privatwirtschaft von erheblicher Bedeutung, die technischen Rahmenbedingungen für eine sichere Kommunikation zu schaffen. 

Gerade in Bezug auf die derzeitigen Nothilfemaßnahmen raten wir dazu, Informationen nur von offiziellen Stellen zu beziehen. Anfragen, die von einer anderen Quelle (E-Mail, Telefon, SMS) stammen, sollten tunlichst ignoriert werden. Dies gilt speziell für Anfragen, die den Empfänger dazu ermutigen sollen, persönlichen Daten preiszugeben, um Gelder schneller oder überhaupt zu erhalten. Aber auch generell gilt: Wenn eine E-Mail eine Aufforderung enthält zu handeln, und sei es nur auf einen Link zu klicken, sollte der Empfänger Vorsicht walten lassen. Bevor man Gefahr läuft, Opfer einer Phishing-Attacke zu werden, ist es grundsätzlich besser, sich eine Aufforderung gegebenenfalls mittels eines anderen Kommunikationskanals wie dem Telefon bestätigen zu lassen.

Michael

Heuer

Area VP DACH

Keepit

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.