Vom Abfischen von persönlichen Daten, dem Phishing, haben die meisten Internetnutzer bereits gehört: Cyberkriminelle versuchen durch geschickte Täuschung beispielsweise an Online-Banking-Zugangsdaten zu kommen, an Kennungen und Passwörter von E-Mail-Accounts, sozialen Netzwerken sowie von Online-Shops.
„Es geht aber nicht nur um das Leerräumen des Kontos. Durch ergaunerte Zugangsdaten ist es den Kriminellen auch möglich, Identitätsdiebstahl zu begehen und beispielsweise Waren unter dem Namen des Opfers zu bestellen oder Fake-Nachrichten zu verbreiten und so dem Opfer nicht nur finanziellen Schaden zuzufügen, sondern auch dessen Ruf zu schädigen. Mit ergaunerten Daten ist es außerdem möglich, Hackerangriffe auf Unternehmen zu starten oder im Namen eines Unternehmens betrügerische Websites zu erstellen“, informiert Patrycja Schrenk, Geschäftsführerin der PSW GROUP, über die Tragweite des Phishings.
Phishing ist kein reines E-Mail-Problem mehr, auch wenn die E-Mail der am häufigsten genutzte Angriffskanal ist. Auch über Kopien vertrauenswürdiger Websites können Kriminelle Daten abfischen oder aber ihre Opfer telefonisch oder über SMS davon zu überzeugen, Informationen preiszugeben. Beim Phishing in sozialen Netzwerken können Angreifer Konten hacken und über diesen Identitätsdiebstahl schädliche Links an Kontakte des Opfers verschicken. „Um private Informationen so gut wie möglich zu schützen, müssen Internetnutzer die Methoden des Phishing kennen sowie die Kanäle, auf denen gefischt wird. Denn Cyberkriminelle versuchen, ihre Opfer mit verschiedenen Methoden in die Falle zu locken und das Abfischen von persönlichen Informationen über gefälschte E-Mails ist nur eine davon“, warnt die IT-Sicherheitsexpertin.
Whaling, Pharming, Spoofing: Es gibt viele Angriffsmethoden
Die bekannteste Methode ist die des Deceptive Phishings: Angreifer versuchen, durch Fälschen von E-Mails oder Websites, die im professionellen Look daherkommen und deshalb keinen Verdacht erregen, an sensible Informationen heranzukommen. Voraussetzung ist das skrupellose Vortäuschen einer Notlage, die das Opfer durch Klicken eines Links oder Eingabe von Informationen beenden kann. Kriminelle gehen viel professioneller vor, als noch vor ein paar Jahren, als Fälschungen an schlecht gemachten Logos oder einer Orthografie zum Davonlaufen erkennbar waren. Es wird also immer schwieriger, gefälschte E-Mails oder Websites zu erkennen.
Weniger bekannt ist das Whaling, bei dem insbesondere Geschäftsführer in den Fokus von Kriminellen geraten. Der eigentliche Angriff teilt sich dabei in zwei Phasen: Zunächst geht es darum, den „dicken Fisch“ zu ködern. Ist dies gelungen, folgt der CEO-Fraud oder CEO-Betrug. „In diesem zweiten Schritt hat sich der Hacker bereits Zugang zum E-Mail-Account des Geschäftsführers verschafft und nimmt dessen Identität an. Über den gekaperten E-Mail-Account kann er Informationen anfordern oder Transaktionen tätigen, sodass es gelingen kann, Überweisungen zu tätigen. Da Führungskräfte in aller Regel viele Zugriffs- sowie Genehmigungsrechte besitzen, zeigt sich Whaling für Kriminelle besonders lukrativ“, warnt Patrycja Schrenk.
Beim Pharming indes verschaffen sich Cyberkriminelle Zugang zum DNS-Server. Dort ändern sie die IP-Adresse, die einer bestimmten Website zugeordnet ist. Die betroffene Domain wird dann genutzt, um Besuchende der eigentlichen Website auf eine gefälschte Version umzuleiten. Schrenk erklärt die Tragweite: „Besucher geben zwar den richtigen Website-Namen ein, werden im Hintergrund aber aufgrund der eingerichteten Weiterleitung auf die Fake-Seite umgeleitet, ohne, dass sie davon etwas bemerken. Jedoch besteht ab dem Moment des Umleitens die Gefahr, dass Daten ungewollt preisgegeben werden.“
Als sehr gefährlich stuft die Expertin das Clone Phishing ein. Kriminelle kreieren dabei auf Basis einer echten E-Mail eine fast identische Fälschung, einen Klon, jedoch werden Dateianhänge mit bösartiger Malware ersetzt. Mit einer ähnlichen E-Mail-Adresse, wie die des eigentlichen Absenders, versenden die Kriminellen die geklonte Version der echten E-Mail an denselben Empfänger. „Clone Phishing ist deshalb so bösartig, weil die Opfer in aller Regel davon ausgehen, dass die zweite E-Mail ergänzende oder aktualisierte Informationen enthält. So wird der Anhang dieser zweiten E-Mail schneller und nicht sehr achtsam geöffnet“, so Schrenk.
Eine weitere Methode des Phishings ist die Link-Manipulation, auch URL-Spoofing genannt. Mit dieser Methode wird Website-Besuchern in betrügerischer Absicht eine falsche Identität vorgespielt bzw. die eigentliche Adresse der Website wird verschleiert. Bei Webanwendungen, die persönliche Daten an Browser weiterleiten, kann der Missbrauch vertrauenswürdiger Websites für Phishing besonders gefährlich werden. „Tückisch ist die Tatsache, dass diese Methode auch bei HTTPS-gesicherten Websites funktioniert, ohne das SSL-Zertifikat dabei zu verletzen. Deshalb lohnt immer ein Klick auf das Schlosssymbol in der Adresszeile des Browsers, um etwas über die Identität des Website-Inhabers zu erfahren und sich so von der Echtheit einer Website zu überzeugen“, rät Patrycja Schenk.
Eine weitere Methode ist das Cross-Site-Scripting, bei dem fremde und eventuell schädliche JavaScripte in Websites eingeschleust werden. Sicherheitslücken in fehlerhaften Webanwendungen ermöglichen es dabei, Daten auch aus nicht vertrauenswürdigen Quellen in HTML einzubauen. „Angreifer können diese unsicheren Webanwendungen für ihre Machenschaften ausnutzen und Skripte indirekt an die Opfer-Browser senden, um bösartigen Code auf Client-Seite auszuführen. Mit dieser Angriffsmethode können Cookie-Diebstahl, Keylogging oder eben auch Phishing ausgeführt werden, um mit gefälschten Login-Formularen Nutzernamen und Passwörter abzufragen“, erklärt Schrenk.
Der effizienteste Phishing-Schutz ist tatsächlich das Wissen um Phishing. Wer ein paar Ratschläge beherzigt, kann sich gut vor Phishing-Attacken schützen. Dazu gehören vor allem gesunde Skepsis und eine kurze Prüfung verdächtig erscheinender Nachrichten: „Nicht arglos auf Links klicken oder Anhänge herunterladen und auch einmal einen Blick in den Quelltext einer E-Mail werfen, der Informationen über deren Herkunft und Absender gibt, helfen schon. Im Zweifel kann man den vermeintlichen Absender auch anrufen und nachfragen, ob die Nachricht tatsächlich von ihm stammt. Abgesehen davon werden seriöse Organisationen wie die Hausbank nie ihre Kunden kontaktieren, um nach persönlichen Daten zu fragen“, so Patrycja Schrenk.
Schlechte Grammatik und Orthographie gelten heutzutage zwar nicht mehr als ultimatives Erkennungszeichen betrügerischer Nachrichten, können aber dennoch ein Hinweis sein. Erscheint eine E-Mail verdächtig, sollte darauf verzichtet werden, dem Absender direkt zu antworten. „Besser eine neue Kommunikation über die offiziellen Kommunikationskanäle des Unternehmens beginnen“, rät Schrenk.
Um sich von der Echtheit einer Website, zum Beispiel eines Online-Shops, zu überzeugen, hilft es, die angegebene Sicherheitszertifikate oder –siegel anzuklicken. Sind sie echt, erfolgt eine Weiterleitung zum Zertifikate- bzw. Siegel-Anbieter. „Ich rate zudem, für jeden Web-Dienst separate, starke Passwörter zu verwenden. Kommt es zu einem Datenvorfall, sind dann nicht die Zugangsdaten bei allen Diensten betroffen“, ergänzt Schrenk. Sicher browst außerdem, wer einen Add-Blocker nutzt und mittels VPN seine Surfspuren verschleiert.