Angriff und Verteidigung- Phishing

Das Thema Phishing ist sehr groß, lässt sich aber grundsätzlich in 3 Bereiche unterteilen. Es wird versucht, entweder über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten des Opfers zu kommen. Meistens ist das Ziel des Angreifers die Bankdaten zu benutzen und das Konto des Opfers leer zu räumen.

Gefälschte E-Mails

Eine typische Phishing E-Mail.

Eine typische Phishing E-Mail.

E-Mails haben den Vorteil zu garantieren, dass viele Menschen dem Phishing-Versuch ausgesetzt sind.

Worauf ist zu achten?

  • Es gibt keine persönliche Anrede
  • Rechtschreibfehler in der E-Mail
  • Unseriöse Angebote schnell Geld zu verdienen
  • Ein Link soll im Browser geöffnet werden

Wenn man trotzdem auf einen Link in einer Phishing E-Mail klickt, ist noch nicht alles verloren, denn meistens wird man mithilfe des Links auf eine Webseite weitergeleitet. Dort wird man aufgefordert bestimmte Daten, z.B. Logindaten preiszugeben.

Gefälschte Webseiten

postbank4_jpg

Eine gefälschte Webseite der Postbank. Quelle: http://goo.gl/PuAW17

Um dem User eine vertrauenswürdige Atmosphäre zu vermitteln wird bei den meisten Phishing Seiten versucht eine Ähnlichkeit zu der originalen Webseite zu erstellen, deshalb werden die gefälschten Seiten auch „Evil Twins“ genannt.

Sobald die Daten in den Händen des Hackers sind, werden sie entweder von dem Hacker selbst benutzt um das Konto der Opfer leer zu räumen oder die Daten werden in Hackerforen zum Verkauf angeboten. Der Verkauf ist in vielen Foren verboten, sodass eigene „Fraughtforen“ existieren um den Verkauf zu gewährleisten.

Spear-Phishing

Eine besondere Variante des Phishing ist das Spear-Phishing, welches verwendet wird um gezielt einen bestimmten Benutzer zur Herausgabe seiner Daten zu bewegen. Ein kleines Beispiel zur Veranschaulichung:
Paul, ein Jungunternehmer, hat durch seine Immobiliengeschäfte viel Geld erwirtschaftet. Er benutzt das Onlinebanking und ist leidenschaftlicher Poster in sozialen Netzwerken wie Twitter oder Facebook. Dort postet er zum Beispiel seine sportlichen Erfolge im heimischen Tennisclub.
Eines Tages erhält Paul eine E-Mail von seiner Bank die ihn bittet sich beim Onlinebanking anzumelden um eine offenstehende Rechnung bei seinem Tennisclub zu zahlen, ansonsten müsse er eine Strafgebühr zahlen. Nachdem er den Link in der E-Mail geöffnet hat und seine Daten in die vertrauenswürdige Seite der Bank eingab, macht sich Paul auf den Weg zum Tennis. Dort kommt er nach einem guten Match mit dem Vorsitzenden des Vereins ins Gespräch und spricht ihn auf die offenstehende Rechnung an. Dieser zeigt sich ahnungslos. Als Paul sich am Abend des selben Tages in seinen Account einloggt, findet er es komplett leer vor. Er schlägt Alarm bei seiner Bank und bekommt nach einer Untersuchung die Nachricht das ein Hacker sein ganzes Geld auf ein Konto in Jakarta überwiesen hatte und sich die Spur dort verlor.

Was können wir aus dieser kleinen Anekdote lernen?
– Es geht mit Risiken einher sein privates Leben für jedermann sichtbar auf Facebook oder anderen sozialen Netzwerken zu teilen.
– Nicht jede E-Mail ist Vertrauenswert, auch wenn sie genauso wie eine originale Bank E-Mail aussieht.

Unterschiede zum normalen Phishing
– Eine Person wird gezielt ausgesucht um den Profit für den Hacker zu maximieren.
– Die E-Mails und die Webseite wirken sehr vertrauenswürdig, ohne Rechtschreibfehler oder andere verräterische Zeichen.
– Eine persönliche Anrede in den E-Mails!

In dem nächsten Blogbeitrag wird es um Social Engineering und eine Variation des Spear-Phishing gehen.

Das könnte Dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.