Internet-Hacks: Phishing und Spearphishing erklärt

[ware_item id=33][/ware_item]

Phishing


Phishing, das ausgesprochene Fischen, ist eine Social-Engineering-Technik, mit der Kennwörter, Kreditkartendaten und andere vertrauliche Informationen gestohlen werden. Das ultimative Ziel ist es, mit diesen Anmeldeinformationen Zugriff auf noch mehr Informationen wie soziale Medien und Bankkonten zu erhalten.

Ein Phishing-Angriff kann per E-Mail, Telefon oder SMS erfolgen und enthält in der Regel einen Link zu einer von den Angreifern kontrollierten Site, auf der Sie aufgefordert werden, Ihre Anmeldedaten einzugeben. Die E-Mail könnte beispielsweise so gestaltet sein, dass sie wie eine normale Dropbox- oder Facebook-E-Mail aussieht und einen Link zu einer gefälschten Website enthält, die genau wie Dropbox oder Facebook aussieht. Hier finden Sie viele Beispiele.

Facebook-Phishing und andere Angriffe

Phishing-E-Mails enthalten häufig unschuldig klingende Inhalte, beispielsweise "Jemand hat Sie auf Facebook erwähnt" oder "Ich habe ein Dokument für Sie in Dropbox freigegeben". Der Angreifer erwartet, dass Sie auf diese Links klicken, ohne deren Authentizität zu überprüfen, und anschließend Ihre Anmeldeinformationen eingeben. Häufig leitet die Phishing-Website Sie dann zurück zur Anmeldeseite der realen Website, auf der Sie erneut zur Eingabe der Anmeldeinformationen aufgefordert werden, diesmal zu Recht. Da Sie jetzt auf der eigentlichen Website angemeldet sind, besteht die Hoffnung, dass jeder Verdacht verschwinden wird.

In der Zwischenzeit hat der Angreifer Ihren Benutzernamen und Ihr Passwort gesammelt und gespeichert und kann diese nach Belieben verwenden. Wenn sie Zugriff auf Ihr E-Mail-Konto erhalten haben, können sie das Kennwort jedes mit Ihrer E-Mail-Adresse verknüpften Kontos zurücksetzen und diese dann ebenfalls kontrollieren.

Schlimmer noch, die Informationen in Ihrem E-Mail-Posteingang ermöglichen es einem Angreifer, den perfekten Zeitpunkt für die Verfolgung Ihrer Finanzkonten zu planen, beispielsweise während einer Krankheit oder eines langen Fluges.

Spoofing von Adressen und Phishing-E-Mails

Angreifer verwenden hauptsächlich zwei technologische Tricks, um Menschen erfolgreich zu fischen - das Fälschen von E-Mails oder Telefongesprächen. Alles andere dreht sich um gutes Timing, glaubwürdige Sprache und exzellentes Design.

E-Mail-Adressen und Telefonnummern sind sehr einfach zu fälschen. Sie können sich also nicht darauf verlassen, dass eine E-Mail-Adresse, die angeblich von [email protected] stammt, wirklich von Facebook gesendet wurde. Viele E-Mail-Dienste suchen nach kryptografischen Signaturen, die belegen, dass eine E-Mail von einer bestimmten Domain gesendet wurde. Diese Signaturen sind jedoch im gesamten Web noch kein Standard. Daher ist ihre Abwesenheit kein Beweis für eine gefälschte Nachricht.

Ebenso kann ein Anruf von einer bekannten Nummer, beispielsweise von Ihrer Bank, auf Ihrem Telefon eingehen. Es gibt jedoch keinen Beweis dafür, dass dieser Anruf wirklich von dieser Nummer stammt. Wenn Sie Zweifel an einer gefälschten Nummer oder E-Mail-Adresse haben, schreiben Sie oder rufen Sie zurück und warten Sie auf eine Antwort.

Gefälschte URLs und Phishing-Websites

Angreifer fälschen nicht nur E-Mail-Adressen, sondern registrieren auch URLs, die denen legitimer Websites entsprechen. Sie tun dies häufig, indem sie die Reihenfolge der Buchstaben geringfügig ändern, z. B. goolge.com. Eine andere Taktik besteht darin, unschuldig aussehende Domains zu registrieren und legitim klingende Domains als Subdomains zu verwenden, z. B. facebook.com.importantsecurityreview.co.

Da der Angreifer tatsächlich der Eigentümer dieser Unterdomänen ist, kann er ein HTTPS-Sicherheitszertifikat dafür erhalten, wodurch die Site als legitim erscheint.

Phishing-BeispieleAngreifer fischen nach Ihren Daten.

Der Unterschied zwischen Phishing und Spearphishing

Spearphishing ist eine Phishing-Attacke, die sich speziell an Sie richtet und nicht wie Spam an die E-Mail-Adresse verbreitet wird, die sie finden können. Diese Phishing-Angriffe haben sich als besonders fruchtbar erwiesen, da E-Mails möglicherweise persönlich gerichtet und auf einen bestimmten Kontext zugeschnitten sind oder häufig in einen größeren, ausgeklügelten Angriff passen.

Um die Angelanalogie zu verwenden: Anstatt den Köder ins Meer zu werfen und darauf zu warten, dass ein Fisch beißt, folgt das Speerphishing genau einem einzelnen Fisch und greift ihn einzeln an.

Wenn Sie beispielsweise Freiberufler sind, finden Sie möglicherweise eine Anfrage für Ihre Dienste in Ihrem Posteingang. Anschließend werden Sie möglicherweise aufgefordert, Ihre Referenzschreiben in einen Dropbox-Ordner hochzuladen. Anstatt direkt auf diesen Ordner zu verlinken, werden Sie zu einer Phishing-Site weitergeleitet. Nachdem Sie Ihr Passwort auf der Phishing-Site eingegeben haben, werden Sie möglicherweise in einen echten Dropbox-Ordner umgeleitet und haben keinen Verdacht auf ein unerwünschtes Spiel.

Spearphishing-Angriffe sind in großen Organisationen sehr verbreitet, in denen kriminelle Unternehmen, Konkurrenten und Regierungen auf Mitarbeiter abzielen, die häufig auf LinkedIn gefunden werden, um Informationen über die Organisation zu sammeln und Schwachstellen im Netzwerk zu finden.

Erkennen eines Angriffs und Phishing-Schutz

Die Zwei-Faktor-Authentifizierung bietet Schutz vor Phishing-Angriffen, da der Angreifer nur schwer wiederholt auf Ihr Konto zugreifen kann. Anspruchsvolle Phishing-Angriffe speichern jedoch nicht nur Ihre Anmeldeinformationen, sondern melden sich gleichzeitig in Ihrem Konto an. Auf diese Weise kann der Angreifer sofort herausfinden, ob die gesammelten Anmeldeinformationen funktionieren, und falls nicht, Sie erneut nach dem Kennwort fragen.

Wenn Angreifer auf ein Captcha oder eine Zwei-Faktor-Authentifizierung stoßen, werden sie aufgefordert, den Code in ein Fenster auf ihrer gefälschten Site einzugeben und ihn dann zu verwenden, um sich bei Ihrem echten Konto anzumelden.

Facebook und einige andere Unternehmen bieten Ihnen die Möglichkeit, Ihren PGP-Schlüssel auf ihre Server hochzuladen. Danach werden alle E-Mails, die Sie von Facebook erhalten, verschlüsselt und signiert, so dass Sie ihre Echtheit viel einfacher überprüfen können. Wenn jemand Zugriff auf Ihr E-Mail-Konto erhalten könnte, könnte er Ihre Benachrichtigungen nicht lesen oder Ihr Facebook-Passwort nicht zurücksetzen.

Leider ist der einzige dauerhafte Schutz vor Phishing-Angriffen gesunde Skepsis, Sorgfalt und ein starkes Bewusstsein. Viele Unternehmen testen ihre Mitarbeiter regelmäßig auf ihre Fähigkeit, Phishing-Betrug zu erkennen und zu vermeiden. In Unternehmen, in denen die Cybersicherheit von höchster Bedeutung ist, ist das wiederholte Fallen auf solche Phishing-Tests ein Grund für die Beendigung des Arbeitsverhältnisses.

Ausgewähltes Bild: Kluva / Deposit Photos
Phishing: alexandragl / Fotos hinterlegen

Internet-Hacks: Phishing und Spearphishing erklärt
admin Author
Sorry! The Author has not filled his profile.