Phishing-Kits: Wie Betrugsversuche per E-Mail wirklich funktionieren

Phishing-Kits spiegeln die Webseiten vertrauenswürdiger Anbieter wider und bringen Sie dazu, Ihre vertraulichen Daten preiszugeben. Selbst wenn manche dieser Betrugsversuche mit dem bloßen Auge nur schwer zu erkennen sind, gibt es vor allem zwei mögliche Wege, sich effektiv dagegen zu schützen. [...]

Phishing-Versuche lassen sich manchmal mit dem bloßen Auge nicht erkennen. Vorsicht ist daher besser als Nachsicht! (c) Pixabay.com

Phishing“ fällt als sogenannter „sozialer Angriff“ direkt in den Bereich des Social Engineering. In der Regel manifestiert sich diese Form der Cyberattacke in E-Mails, und wird von Kriminellen dazu verwendet, um Zugang zu persönlichen Accounts oder persönlichen Daten zu erhalten. Phishing-Angriffe können dabei nach einer standardisierten Vorlage funktionieren oder individuell auf das Opfer und sein Unternehmen zugeschnitten sein.

Ein Phishing-Angriff mit einem gerichteten Fokus wird „Spear Phishing“ genannt. Wenn der Angreifer beispielsweise eine Person oder eine ganze Gruppe innerhalb eines Unternehmens anvisiert, verwendet er Spear Phishing, indem er eine E-Mail verfasst, die auf das Opfer einen legitimen Anschein macht. Dies wird meist dadurch erreicht, dass der korrekte Name und der Titel des Opfers verwendet und auf bestimmte legitime Projekte Bezug genommen wird, oder indem die Namen von leitenden Angestellten dazu verwendet werden, um den Inhalt einer E-Mail zu fälschen.

„Vishing“ ist dagegen die gängige Bezeichnung für Phishing am Telefon. Diese Form des Betrugsversuchs hat zumeist das gleiche Ziel und verwendet die gleichen emotionalen Auslöser wie Phishing, mit dem einzigen Unterschied, dass der Angreifer hier keine E-Mail verfasst, sondern sein Opfer direkt anruft. Häufige Varianten des Vishing sind zum Beispiel Anrufer, die sich fälschlicherweise als Vertreter einer Finanzbehörde oder des IT-Supports ausgeben und ihre Opfer auf diese Weise zu betrügen versuchen. In beiden Fällen hoffen die Angreifer natürlich auf persönliche Informationen und – allem voran – auf Geld.

Unabhängig davon, um welche Art des Phishing-Angriffs es sich handelt, ist es immer das Ziel der Angreifer, ihre Opfer dazu zu bringen, sensible Daten preiszugeben, z. B. Benutzernamen und Passwörter offen zu legen oder Dokumente und andere persönliche Details zu teilen.

Bei einem Phishing-Angriff betonen die Angreifer normalerweise die Dringlichkeit ihres Vorhabens oder spielen stark auf die Hilfsbereitschaft einer Person an. Oder sie lösen in den Betroffenen bewusst ein Gefühl der Angst aus, indem sie vor ernsthaften Konsequenzen warnen. Die Unterbrechung laufender Dienste, der Verlust kritischer Daten oder unterschiedliche persönliche Konsequenzen dienen dabei häufig als Druckmittel. Die häufigste Art, ihre Opfer auf eine Phishing-Attacke aufmerksam zu machen, ist jedoch, ihre Neugier anzusprechen – schließlich ist diese zumeist der erste und einzige Grund für das Opfer, eine E-Mail überhaupt zu öffnen.

Was ist ein Phishing-Kit?

Ein Phishing-Kit ist die jeweilige Webkomponente oder auch das Back-End für einen Phishing-Angriff. In den meisten Fällen umfasst es den letzten Schritt der Angreifer, mithilfe dessen sie eine bekannte Marke oder das Corporate Design eines Unternehmens replizieren. Einmal geladen, ist das Kit so konzipiert, dass es legitime Webseiten zu jeder Zeit genauso wiedergeben kann, wie sie von Microsoft, Apple oder Google verwaltet werden.

Das Ziel eines Phishing-Angriffs besteht darin, das Opfer gerade so weit zu verführen, dass es seine Login-Daten und andere sensible Informationen über die gefälschte Webmaske teilt, bevor der Betrugsversuch überhaupt auffällt. Die meisten Phishing-Kits sind mit einem Mix aus einfachem HTML und PHP entwickelt und wurden auf einem kompromittierten Webserver oder einer Website gespeichert. Dabei werden sie durchschnittlich nur etwa 3 Stunden auf einem Server gespeichert, bevor sie erkannt und wieder entfernt werden.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Steve Ragan erklärt, wie ein Apple-Phishing-Versuch aussehen könnte (c) CSO Online

Wenn Erkennungssoftware und andere Sicherheitsmaßnahmen vorhanden sind, können Administratoren Phishing-Versuche normalerweise sofort blockieren, sobald sie den Mail-Server erreichen und die Kits erkennen, sobald sie hochgeladen wurden. Das ist jedoch leider die Ausnahme und nicht die Regel. Kriminelle und Angreifer registrieren jeden Tag tausende neue Domains – und sobald eine davon als schädlich markiert wird, nimmt eine andere ihren Platz ein.

Ein weiterer Nachteil ist, dass Angreifer nur allzu gut mit grundlegenden Phishing-Erkennungstechniken vertraut sind und ihre Scripts mittlerweile so entwickeln, dass sie ihr Kit vor der Öffentlichkeit verbergen können. Im Backend (bzw. auf dem Webserver) sehen ihre Kits dann wie ganz normale Webseiten aus – und weil der kompromittierte Host einen neutralen oder sogar guten Ruf hat, kann eine passive Erkennung normalerweise leicht vermieden werden.

Zudem ist es inzwischen weit verbreitet, dass Phishing-Kits ganze IP-Bereiche blockieren, die nicht nur zu einigen der weltweit größten Sicherheitsunternehmen (Kaspersky, Symantic, McAfee, Palo Alto, Blue Coat) gehören, sondern auch zu Universitäten und Tech-Giganten wie Google und Amazonas. Diese schichtweise ausgerichtete Vorgehensweise der Cyber-Kriminellen kann sehr nützlich sein, besonders dann, wenn es dem Serveradministrator an proaktiven Maßnahmen mangelt.

Wie funktionieren Phishing-Kits?

Die kurze Antwort? Genau wie normale Webseiten auch. Eine Hauptseite mit Login-Feld, einer kurzen „Danke“-Nachricht und ein Formular, das Sie nach zusätzlichen Informationen fragt. Manchmal werden Sie sogar, nachdem Sie Ihre Daten in das Formular eingegeben haben, direkt zu originalen Webseite weitergeleitet, als ob nichts passiert wäre.

Warum funktionieren Phishing-Kits?

Phishing-Attacken funktionieren, weil Menschen von Natur aus hilfsbereit und neugierig sind und zumeist nicht erwarten, dass ihnen schlechte Dinge wiederfahren, wenn sie gerade ihrer täglichen Routine nachgehen. Phishing bzw. Social Engineering ist eine der wohl schnellsten Möglichkeiten, um ein ganzes Netzwerk zu kompromittieren. Manchmal ist eben der einfachste Weg, einfach um Zugang zu bitten, und genau das ist der Grund, warum einige Red Team Assessments Phishing und Social Engineering leider völlig außer Acht lassen.

Die erfolgreichsten Phishing-Attacken zielen auf eine einzige Person und sind auf diese Person so genau abgestimmt, dass sie sich für sie nicht wie ein Angriff anfühlen. Tatsächlich wird sich ein gut geplanter Phishing-Versuch mehr anfühlen wie eine typische persönliche oder geschäftliche Interaktion als wie ein Betrugsversuch.

Stellen Sie sich vor, Sie arbeiten im Bereich Human Resources und erhalten eine E-Mail von einem Dienst wie Indeed – ein Service, den Ihr Unternehmen schon seit längerem nutzt und durchaus vertraut. Die Nachricht ist an Sie adressiert, schließlich sind Sie mit dem Service bereits vertraut: Es gibt ein Problem mit einer kürzlich erfolgten Stellenausschreibung seitens Ihres Unternehmens und da Sie den Beitrag selbst erstellt haben, sind Sie neugierig darauf, um welches Problem es sich handelt.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Steve Ragan erklärt, wie ein Office365-Phishing-Versuch aussehen könnte (c) CSO Online

Sie klicken also auf den Link in der besagten E-Mail und es öffnet sich kurz darauf eine Login-Seite, die Sie nach der Eingabe Ihres Benutzernamens und Passworts zur Verifizierung Ihrer Identität um weitere grundlegende Informationen bittet. Und obwohl Sie alle gewünschten Formulare ausgefüllt haben, werden Sie nach Bestätigung Ihrer Eingabe einfach auf die Indeed-Webseite weitergeleitet, ohne eingeloggt zu sein. Wurden Sie nun also Opfer eines Phishing-Versuchs?

Ja, höchstwahrscheinlich schon. Doch die Rekrutierung über Drittanbieter-Webseiten gehört für HR-Verantwortliche einfach dazu, daher merken Sie vielleicht erst viel zu spät, dass mit der E-Mail und dem Link, auf den Sie geklickt haben, etwas nicht stimmt. Da die meisten bewusstseinsfördernden Trainingsprogramme keine Drittanbieter-Services und Supply-Chain-Angriffe abdecken, sind Tricks wie diese in fast allen Fällen über kurz oder lang erfolgreich. Besonders dann, wenn das Opfer dieselben Passwörter immer wieder verwendet.

Andere, wesentlich allgemeinere Phishing-Angriffe sind vielleicht nicht so ambitioniert, aber immer noch effektiv. Zum Beispiel E-Mails, die über verpasste Sendungen informieren oder vor Problemen bei der Zustellung von E-Mails warnen. Diese werden täglich zu Tausenden versendet, und von diesen mag vielleicht nur ein halbes Prozent auf den Betrug hereinfallen – genug jedoch, als dass sich der geringe Aufwand für die Kriminellen lohnt. Wenn sie konsequent bleiben, kann das zu weiteren Tausend Opfern im Monat führen. Angesichts der Tatsache, dass Passwort-Recycling ein ständiges Problem ist – nicht nur geschäftsbedingt, sondern auch wenn es um den Schutz der eigenen, privaten Daten geht –, können die Angreifer ihre Phishing-Versuche wiederum auf Hunderte von Social-Media- und E-Mail-Konten ausweiten, was den Opfer-Pool der Kriminellen wiederum um ein ganzes Stück erweitert, da sie nun mit jedem bekannten Kontakt einen erneuen Phishing-Versuch starten können.

Was kann ich tun, um mich zu schützen?

Stellen Sie alles, was Sie in Ihrem Posteingang finden (nicht nur E-Mail, sondern auch auf jeder möglichen Plattform, die direkte Nachrichten erlaubt) in Frage und verwenden Sie nach Möglichkeit eine Zwei-Faktor-Authentifizierung (2FA), um sich zu schützen. Sie haben eine E-Mail von Ihrem Chef erhalten, in der er Sie nach sensiblen Daten fragt? Rufen Sie Ihren Chef an und lassen Sie sich den Inhalt der Nachricht bestätigen. Das Indeed-Beispiel von vorhin? Klicken Sie nicht auf den Link, sondern besuchen Sie die Webseite manuell, damit Sie sichergehen können, dass es sich um die tatsächliche Domain handelt. Sie haben eine erschreckende Nachricht von Ihrer Bank im Posteingang? Rufen Sie Ihre lokale Niederlassung an und sprechen Sie direkt mit einem Mitarbeiter (nutzen Sie aber keinesfalls die in der Mail enthaltene Telefonnummer, sondern suchen Sie sie manuell heraus).

Lassen Sie nicht zu, dass Angreifer Ihre Gutgläubigkeit ausnutzen. Lassen Sie sich den Inhalt einer Nachricht persönlich bestätigen! (c) Picjumbo.com

Im ersten Moment mag es seltsam erscheinen, alles in Frage zu stellen und misstrauisch zu sein, doch Sicherheit geht immer vor – und es kann durchaus eine nützliche Angewohnheit sein, sich ominöse Nachrichten immer erst bestätigen zu lassen. Besonders in der Geschäftswelt, wenn es um sensible Dokumente und finanzielle Angelegenheiten geht, kann eine Bitte um Bestätigung als Mehrwert und Beweis dafür verstanden werden, dass Sie die Ihnen übertragene Verantwortung sehr ernst nehmen.

Antworten Sie dem Absender daher nicht auf seine E-Mail, sondern rufen Sie ihn an oder versuchen Sie, ihn von Angesicht zu Angesicht um Bestätigung zu bitten (besonders, wenn es sich um geschäftliche Angelegen handelt). Sonst erhalten Sie vielleicht eine Antwort von einem Kriminellen, der Ihnen versichert, dass mit seiner Phishing-Mail alles in Ordnung ist, und sich im nächsten Moment an Ihrer Achtlosigkeit bereichert.

*Steve Ragan ist Redakteur bei CSO online.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*