Phishing – Das „angeln“ nach Passwörtern und persönlichen Daten

Das Technologie-Marktforschungsunternehmen The Radicati Group geht für das Jahr 2017 von rund 269 Milliarden versendeten und empfangen E-Mails pro Tag in Deutschland aus. In immer mehr sogenannten Phishing-E-Mails werden die Empfänger aufgefordert eine Datei zu öffnen, die entweder als Anhang der E-Mail direkt beigefügt ist oder alternativ über einen Link zum Download bereitsteht. Im großen Stil werden E-Mails mit gefährlichen Links oder Anhängen versendet, um so hochsensible Daten der Empfänger abzufangen („fischen“).

Welche fatalen Folgen ein einziger, scheinbar harmloser, Klick auf einen Link hat, zeigt ein aktueller Fall, der unsere Spezialisten in den letzten Tagen ins Staunen versetzt hat. Vergangene Woche erreichte unseren Servicedesk ein Hilferuf eines Unternehmens. Mehrere E-Mails wurden vom Account einer Mitarbeiterin versendet. Es handelte sich um Zahlungsaufforderungen an Kunden des Unternehmens. Reale fünf stellige offene Beträge, mit den korrekten dazugehörigen Rechnungsnummern, waren angegeben. Selbst Signatur und Absender glichen der der Mitarbeiterin, welche sich zu diesem Zeitpunkt ahnungslos im Urlaub befand.

 

 

 

Erst durch vereinzelte Rückfragen der Kunden fielen die gefälschten Mails auf. Während man versuchte die Mitarbeiterin zu erreichen, wurde bereits ein weiterer Account gehackt. Es schien so, als würden „wie von Geisterhand“ Zahlungserinnerungen an Kunden versendet werden. Der Angriff auf das Unternehmen begann schon Wochen zuvor. Zwei Office 365 Accounts waren bereits seit längeren in den Händen der Angreifer. E-Mails wurden mitgelesen, manipuliert und letztendlich im Namen der Angestellten versandt. Mit folgender Nachricht wurden die betroffenen Mitarbeiterinnen in die Falle gelockt:

 

 

 

 

Mit dem Klick auf den Link im PDF-Anhang wurde man direkt auf eine, auf den ersten Blick seriöse, Übersichtsseite im Internet weitergeleitet. Im nächsten Schritt wurde der Besucher aufgefordert seinen entsprechenden Service-Provider (z.B. Office 365, Yahoo, Facebook, Google, etc.) auszuwählen. Anschließend wurde man zu einer nachgeahmten Login Seite des ausgewählten Providers weitergeleitet, welche zur Eingabe von E-Mail-Adresse und persönlichem Kennwort aufforderte.

Nur bei genauem Betrachten der Seite fällt auf, dass es sich hier eindeutig um eine nachgebaute Seite handeln muss. Auch der Betreiber einer Webseite eines indischen Unternehmens wurde Opfer der Falle. Die gleichen Hacker nutzten den indischen Webserver, um darauf die gefälschten Anmelde Seiten abzulegen. Im vorliegenden Beispiel authentifizierten sich die Betroffenen durch ihren Office 365 Account. Bei der Eingabe der Daten passierte beim ersten Versuch nichts Ungewöhnliches. Die Seite funktionierte offensichtlich nicht und man sollte es noch einmal versuchen. Beim zweiten Mal wurde man sofort auf die offizielle Seite zum persönlichen Account sogar weitergeleitet. Die Account Besitzer erkannten keine Gefahr, jedoch wurden die Login Daten schon längst an die Hacker weitergeleitet. Dieser hatte ab nun ungehinderten Zugriff und konnten sich unbemerkt als Mitarbeiter des geschädigten Unternehmens auszugeben.

 

 

Mit den jeweiligen Passwörtern konnten sich die Unbekannten Zugang zu allen E-Mails und abgelegten Daten verschaffen. Kontaktdaten wurden kopiert und eingehende Nachrichten der Kunden mitgelesen. Damit die gehackten Benutzer nichts mitbekommen, wurden Outlookregeln definiert, welche eingehende E-Mails entweder verschoben oder direkt löschten. Das Eintreffen ausgewählter Nachrichten von Kunden wurde sofort auf erledigt gestellt und fiel somit im Posteingang nicht weiter auf.

 

 

Im Hintergrund wurden sensible Daten, wie z.B. Rechnungsbeträge und Informationen zum Schriftverkehr gesammelt. Die Hacker verfolgten dabei ein Ziel: Die Kunden sollten über eine vermeintlich neue Bankverbindung des Unternehmens informiert werden und auf das vermeintlich geänderte Konto ihre offenen Rechnungen überweisen. Anhand diesem PDFs wurden alle Kontakte über die Änderung informiert. Die Hacker konnten damit Rechnungsbeträge im fünf Stelligen Bereich auf ihr Konto umleiten. Im Moment ermittelt die Kriminalpolizeiinspektion Weiden über den Fall.

 

 

Das aktuelle Beispiel zeigt wie wichtig es ist, aktuelle Securitylösungen wie z.B. Firewallsysteme mit UTM Software oder Next Gen Funktionalität einzusetzen. Mindestens genauso wichtig ist auch die permanente Wartung der Security Infrastruktur, so dass bekannte Bedrohungen abgewehrt werden. Anhand der folgenden Grafik sehen Sie gefundenen Viren im Zeitraum von einem Monat innerhalb eines mittelständischen Unternehmens. Von 764 000 gescannten Mails und Dokumenten, waren 261 000 mit Viren befallen.

 

 

Ebenfalls empfehlen wir Unternehmen, ihre Mitarbeiter zu sensibilisieren. Ein Mitarbeiter der einen Angriff bzw. eine gefälschte Email erkennt, ist die erste Barriere, um Schäden abzuwenden. Mit den BIZTEAM Awareness Schulungen werden Ihre Mitarbeiter in die Lage versetzt, Bedrohungen zu erkennen und Schäden zu verhindern.

 

Sollten Sie in Zukunft Emails erhalten, die…

– fehlerhaftes Deutsch und Zeichsatzfehler durch Übersetzungen aufweisen.

– die Anrede unpersönlich oder fehlerhaft ist.

– eine Aufforderung zum dringenden Handlungsbedarf

– mit z.B. der sofortigen Eingabe von sensiblen und persönlichen Daten – enthält.

– Links enthalten, die der Empfänger sofort öffnen soll.

– gefälschte Absenderadressen haben (Den gefälschten Absender kann man in den meisten Fällen nur über die Header-Auswertung erkennen).

Dann sollten Sie mit äußerster Vorsicht damit umgehen und im Zweifelsfall unseren Servicedesk kontaktieren. Sie haben noch Fragen zum Thema Phishing und Ihrer Sicherheit im Unternehmen? Gerne steht Ihnen unser Team zur Verfügung. Zögern Sie nicht und lassen Sie unbekannten Angreifern keine Chance auf Ihr Netzwerk zu gelangen.

Comments are closed.