Phishing – So läuft eine Attacke 

14. September 2020
| Keine Kommentare
Mail Attacke
Anzeige

Beitrag teilen

Phishing wird meist nur theoretisch erklärt. Kaspersky-Experten erklären eine Attacke an einem Live-Beispiel. Ein ausführlicher Einblick in eine Phishing-Website und ihre Versuche, sich als E-Mail-Scanner zu tarnen und Opfer damit zu ködern.

In den letzten Jahren gab es recht regelmäßig Nachrichten über E-Mail-basierte Infektionen von Unternehmensnetzwerken (und im Allgemeinen im Zusammenhang mit Ransomware). Es ist daher keine Überraschung, dass Betrüger die Angst vor solchen Angriffen gerne nutzen, um an die E-Mail-Zugangsdaten von Firmenkonten zu gelangen, indem sie Mitarbeiter des Unternehmens dazu bringen, ihre Mailbox zu „scannen“.

Anzeige

Der Trick richtet sich an Personen, die sich der potenziellen Bedrohung durch Malware in E-Mails Bewusst sind, aber nicht wissen, wie sie damit umgehen sollen. Das IT-Sicherheitsteam sollte jedenfalls den Mitarbeitern die Tricks der Betrüger erklären und anhand Beispielen veranschaulichen, worauf Mitarbeiter achten sollten, um nicht Opfer von Cyberkriminellen zu werden.

Die getarnte Phishing E-Mail

Kaspersky Phishing Email

Phishing-Mail: Mit Emotionen und Warnungen will man User täuschen (Quelle: Kaspersky)

Diese betrügerische Botschaft bedient sich des altbewährten Tricks der Opfereinschüchterung. Anzeichen können Sie schon direkt in der Kopfzeile sehen: Betreff „Virenalarm“ gefolgt von drei Ausrufezeichen. So unbedeutend die Interpunktion auch erscheinen mag, sie ist wohl so ziemlich das erste, was dem Empfänger einen Hinweis darauf geben sollte, dass möglicherweise etwas nicht stimmt. Unnötige Interpunktion in einer Arbeits-E-Mail ist ein Zeichen von Drama oder Unprofessionalität. So oder so ist es für einer Benachrichtigung, die Sie vor einer Bedrohung schützen möchte, sehr unangemessen.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Jeder Empfänger sollte sich zunächst fragen, wer überhaupt die Nachricht gesendet hat. In der E-Mail steht, dass bei keiner unternommenen Aktion seitens des Empfängers das Konto gesperrt wird. Es wäre logisch anzunehmen, dass sie entweder vom IT-Dienst, der den Support für den Mail-Server des Unternehmens leitet, oder von Mitarbeitern des Mail-Dienstleisters gesendet wurde.

Wo die Infektion dann stattfindet

Man sollte jedoch beachten, dass kein Anbieter oder interner Dienst eine Aktion seitens des Benutzers verlangen würde, um den Inhalt des Posteingangs zu scannen. Das Scannen findet automatisch auf dem Mailserver statt. Außerdem tritt „Virenaktivität“ innerhalb eines Kontos nur selten auf. Selbst wenn jemand einen Virus gesendet hat, müsste der Empfänger diesen herunterladen und ausführen. Die Infektion findet auf dem Computer statt, nicht im E-Mail-Konto.

Um auf die erste Frage zurückzukommen: Ein Blick auf den Absender sollte gleich zwei Alarmglocken läuten lassen. Erstens wurde die E-Mail von einem Hotmail-Konto aus verschickt, während bei einer legitimen Benachrichtigung die Domäne des Unternehmens oder Providers angezeigt wird. Zweitens soll die Nachricht vom „E-Mail-Sicherheitsteam“ stammen. Wenn die Firma des Empfängers einen Drittanbieter verwendet, muss dessen Name in der Signatur erscheinen. Und wenn der Mailserver in der Infrastruktur des Unternehmens steht, kommt die Benachrichtigung von der hauseigenen IT-Team oder dem IT-Sicherheitsdienst. Es ist sehr unwahrscheinlich, dass ein ganzes Team nur für die E-Mail-Sicherheit verantwortlich ist.

Versteckte URLs im Link

Als nächstes der Link. Die meisten modernen E-Mail-Clients zeigen die hinter dem Hyperlink verborgene URL an. Wenn der Empfänger aufgefordert wird, sich zu einem E-Mail-Scanner durchzuklicken, der auf einer Domäne gehostet wird, die weder Ihrem Unternehmen noch dem Mail-Provider gehört, handelt es sich mit ziemlicher Sicherheit um Phishing.

Die Website sieht aus wie eine Art Online-E-Mail-Scanner. Um den Anschein der Authentizität zu erwecken, zeigt sie die Logos einer Reihe von Antiviren-Anbietern an. In der Kopfzeile steht sogar der Name der Firma des Empfängers, was jeden Zweifel daran ausräumen soll, um wessen Tool es sich handelt. Die Website simuliert zunächst einen Scan und unterbricht ihn dann mit der ungewöhnlichen Meldung „Bestätigen Sie Ihr Konto unten, um den E-Mail-Scan abzuschließen und alle infizierten Dateien zu löschen“. Dazu ist natürlich das Kontopasswort erforderlich.

Phishing-Website

Um die wahre Natur einer Website zu ermitteln, untersuchen Sie zunächst den Inhalt der Adressleiste des Browsers. Erstens handelt es sich, wie schon erwähnt, nicht um die richtige Domain. Zweitens enthält die URL höchstwahrscheinlich die E-Mail-Adresse des Empfängers. Das ist an sich in Ordnung – die Benutzer-ID könnte über die URL weitergegeben worden sein. Sollten jedoch Zweifel an der Legitimität der Site bestehen, ersetzen Sie die Adresse durch beliebige Zeichen (behalten Sie jedoch das @-Symbol bei, um das Erscheinungsbild einer E-Mail-Adresse beizubehalten).

Websites dieser Art verwenden die Adresse, die über den Link in der Phishing-E-Mail übergeben wird, um die Lücken in der Websiten-Vorlage auszufüllen. Zu Versuchszwecken verwendeten wir die nicht existierende Adresse [email protected], und die Site ersetzte ordnungsgemäß „yourcompany“ in den Namen des Scanners und die gesamte Adresse in den Namen des Kontos, woraufhin sie offenbar begann, nicht existierende Anhänge in nicht existierenden E-Mails zu scannen. Als wir das Experiment mit einer anderen Adresse wiederholten, stellten wir fest, dass die Namen der Anhänge in jedem „Scan“ gleich waren.

Die Fake-Website täuscht einen Scan vor

Ein weiterer Widerspruch zeigt sich, indem der Scanner angeblich den Inhalt der Mailbox ohne Authentifizierung scannt. Wozu braucht er dann das Passwort? Es gibt aber Mittel und Wege Ihre Mitarbeiter schützen.

Kaspersky hat die Anzeichen von Phishing sowohl in der E-Mail als auch auf der Website des gefälschten Scanners eingehend analysiert. Wenn Sie den Mitarbeitern diesen Beitrag einfach zeigen, erhalten sie eine grobe Vorstellung davon, worauf sie achten müssen. Aber das ist nur die Spitze des sprichwörtlichen Eisbergs. Einige gefälschte E-Mails sind raffinierter und schwieriger zu entlarven.

Kaspersky empfiehlt daher eine kontinuierliche Sensibilisierung der Mitarbeiter für die neuesten Cyber-Bedrohungen – zum Beispiel mit unserer Kaspersky Automated Security Awareness Platform.

Verwenden Sie darüber hinaus Sicherheitslösungen, die in der Lage sind, Phishing-E-Mails auf dem Mail-Server zu erkennen und die Weiterleitung von Arbeitsrechnern auf Phishing-Sites zu verhindern. Kaspersky Security for Business kann beides. Darüber hinaus bieten wir eine Lösung an, die die integrierten Schutzmechanismen von Microsoft Office 365 erweitert.

 

Mehr dazu im Blog bei Kaspersky.com

 

Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/

 

Passende Artikel zum Thema

Sicherheitsrisiko Solaranlage: Europa stark gefährdet

Auf der ganzen Welt gibt es viele Solaranlagen, die über das Internet erreichbar und somit ein lohnendes Ziel für Cyberangriffe ➡ Weiterlesen

TransferLoader: neue Malware verbreitet Morpheus-Ransomware

Seit einigen Monaten ist eine neue Malware mit Namen TransferLoader aktiv, die aus Downloader, Backdoor und einem Loader für die ➡ Weiterlesen

Schwachstellendatenbank EUVD ist ein wichtiger Schritt

Die Einführung der Europäischen Schwachstellendatenbank (EUVD) durch die Agentur der Europäischen Union für Cybersicherheit (ENISA European Network and Information Security ➡ Weiterlesen

Security Trends Report: Fehlende Expertise in Unternehmen

Die Cyber Security befindet sich in vielen Unternehmen in der Effizienz- und Expertise-Krise. Es wird zwar massiv investiert, aber die Infrastruktur ➡ Weiterlesen

Risiko Identitäten: Wenn Unternehmen den Überblick verlieren

In Unternehmen kommen mehr als 80 Maschinenidentitäten auf eine menschliche Identität. Das bedeutet, dass zwei Drittel der deutschen Unternehmen ihre ➡ Weiterlesen

Cyberabwehr mit KI: 3 von 4 Unternehmen setzen bereits darauf 

Bei der Cyberabwehr steht KI bereits an vorderster Front: 74 Prozent der deutschen Unternehmen setzen KI bereits in der Cyberabwehr ➡ Weiterlesen

Unternehmen sehen rasanten KI-Fortschritt als Top-Sicherheitsrisiko

Der Data Threat Report 2025 zeigt, dass 74 Prozent der deutschen Unternehmen den rasanten KI-Fortschritt als Top-Sicherheitsrisiko im Zusammenhang mit ➡ Weiterlesen

Sind Unternehmen gegen quantengestützten Cyberangriffe gerüstet?

Der Q-Day wird zur realen Bedrohung. Der neue Report zeigt, wie sich Unternehmen vorbereiten. „Q-Day“ bezeichnet den Tag, an dem ➡ Weiterlesen

Storys
, , , ,