In den Medien liest und hört man immer wieder von sogenannten Phishing-Mails bzw. Phishing-Attacken/Angriffen und gestern wurde es auch bei tech4blog.de versucht.
Was ist Phishing überhaupt?
Den Begriff Phishing kann man am einfachsten mit “abfischen” übersetzen. Kriminelle versuchen dabei über gefälschte Mails, SMS, Webseiten oder Anrufe an persönliche Daten der Opfer zu kommen, also deren Daten “abzufischen“. Das können z. B. Passwörter oder Bankinformationen sein. Auf jeden Fall geht es um sensible Daten, welche man nicht in fremde Hände geben möchte. Und natürlich auch nicht tun sollte.
Wie gehen die Angreifer dabei vor?
Die Phishing-Angriffe können auf verschiedene Arten erfolgen, häufig aber über E-Mails. Dabei wird vorgetäuscht, dass die Mail beispielsweise von einer Bank, dem Internetprovider, einem Online-Dienst, dem BKA oder sonst einer vertrauenswürdigen Stelle kommt. Der Absendername kann leicht manipuliert werden und die restliche Mail ist einer offiziellen Nachricht nachempfunden, indem das Logo der Bank, die Adresse der Bank in der Fußzeile und anderen Details gefälscht werden. Wie man trotzdem eine solche Fake-Mail erkennen kann, dazu später mehr. Während die ersten Fake-Mails noch relativ “schlecht” gemacht und gespickt mit Rechtschreibfehlern waren, werden aktuelle Mails immer professioneller.
Auch per SMS können Angriffsversuche erfolgen, indem z. B. ein angebliches Paket nicht zugestellt werden konnte und man auf den Link klicken soll. Soziale Netzwerke und das Telefon sind leider auch nicht vor Phishing-Versuchen sicher. Aktuell gibt es z. B. Fake-Anrufe von “Interpol”, die mit einer englischen Bandansage darüber informieren, dass mit deiner ID Card (Personalausweis) eine Straftat begangen wurde. Auflegen! Wenn wirklich etwas passiert wäre, würde keine Bandansage darüber informieren, außerdem würde Interpol bestimmt jemanden anrufen lassen, welcher die jeweilige Landessprache spricht oder die lokale Polizei meldet sich. Aber bestimmt nicht per Bandansage. Geht man übrigens darauf ein und drückt am Telefon eine Taste, meldet sich eine reale Person. Das ist etwas effektiver, weil die reale Person erst dann ins Spiel kommt, wenn das Opfer bereits angebissen hat.
Auch kann es sein, dass Vertipper bei Webadressen ausgenutzt werden. Ein Betrüger könnte z.B. die Domain gogle.de (statt google.de) registrieren (fiktives Beispiel) und die Besucher dazu verleiten, sich mit dem Google-Account anzumelden.
Egal auf welchem Weg, die Angreifer versuchen meistens “Druck” aufzubauen. Das Opfer gerät dadurch in eine Stresssituation und handelt unter Umständen unbedacht. Typisch ist, dass immer innerhalb weniger Stunden gehandelt muss, weil sonst etwas gesperrt oder gelöscht wird, oder eine Strafe fällig wird.
Was passiert, wenn auf den Link geklickt wird?
Meist wird man auf eine manipulierte Internetseite geleitet, welche der Originalseite des angeblichen Absenders sehr ähnlich sieht. Also z.B. die Bankseite, der Online-Login von PayPal usw. Achtet man auf die Adresse im Browser, ist es aber in der Regel nicht hausbank.de, sondern etwas Ähnliches wie hausbnk.de oder kryptisches wie dheiu.yxw.com. Werden dort die persönlichen Anmeldedaten eingetragen, schickt man selbige direkt in die Hände des Betrügers. Ich meine mich zu erinnern, dass es auch schon den Fall gab, dass man tatsächlich auf die erwartete Seite geleitet wurde. Der Angreifer hat aber über das “echte” Login-Formular ein manipuliertes Feld gelegt und konnte infolgedessen trotzdem die Daten abgreifen.
Der Phishing-Versuch bei tech4blog – ein konkretes Beispiel
Warum kam es überhaupt zu diesem Beitrag? Weil ich gestern eine Mail bekommen haben, angeblich von Strato, die sich aber als Phishing-Versuch entpuppt hat. Aber der Reihe nach.
Als ich gestern in einem Café saß und meine Mails geprüft habe, hatte ich eine Mail von Strato mit dem Betreff “Aussetzung von domain tech4blog.de” in meinem Posteingang. Zugegeben, im ersten Moment bin ich schon etwas erschrocken. Nach dem Öffnen und erstmaligem Lesen der Mail wurde jedoch schnell klar, dass die Mail NICHT von Strato kommt und mit der Domain tech4blog.de alles in Ordnung ist.
Woran hatte ich es erkannt, was kam mir seltsam vor?
- wenn die Mail wirklich von Strato kommt, warum fehlt dann mein Name, Strato kennt mich als Kunden
- “trotz unserer vorherigen Erhöhung” – welche Erhöhung, wohl eher Mahnung/Hinweis -> schlecht übersetzt
- “innerhalb von 24 Stunden am Tag” – entweder innerhalb von 24 Stunden oder innerhalb eines Tages -> auch wieder schlecht übersetzt
Wie wurde mein Verdacht bestätigt?
Nachdem ich durch die oben genannten Punkte schon etwas misstrauisch war, habe ich mir die Mail genauer angesehen.
Ich habe meine @tech4blog.de Adresse erst nach der Registrierung bei Strato bekommen, musste mich also mit einer anderen Adresse bei Strato registrieren. Wieso ging die Mail aber an die @tech4blog.de Adresse?
Der Absendername ist zwar STRATO AG, die Adresse dahinter aber etwas Kryptisches, was absolut nichts mit Strato zu tun hat.
Der Link scheint zwar auf Strato zu verweisen, allerdings muss der Text nicht mit dem Link dahinter übereinstimmen. Schaue ich mir den tatsächlichen Link an, verweist dieser nicht auf Strato, sondern wohl eher auf eine betrügerische Seite.
Woher kamen die Daten aus der Mail?
Zugegeben, ganz schlecht gemacht war es nicht, weil die Mail zumindest teilweise personalisiert war.
Es wurde sich in der Mail auf die konkrete Domain berufen und die Seite ist wirklich bei Strato gehostet.
Ein Hexenwerk ist es aber trotzdem nicht, denn meine Mail-Adresse steht im Impressum und dass die Seite bei Strato liegt, ist der Datenschutzerklärung zu entnehmen. Dort wird nämlich auf den bestehenden AV-Vertrag mit Strato hingewiesen.
Hätte der Absender etwas mehr recherchiert, hätte er auch noch meinen Namen über das Impressum finden und die Mail noch weiter zuschneiden können. Aber ich will hier ja keine Tipps geben :-).
Schlusswort
Leider finden Cyberkriminelle immer wieder neue Wege und kreative Möglichkeiten, sodass Achtsamkeit und gesunder Menschenverstand das oberste Gebot sind. Erst überlegen, ob ich wirklich ein Paket erwarte oder warum mich Bank a anschreibt, wenn ich doch bei Bank b bin.
Und wenn ihr euch nicht sicher seid, ruft den Kundendienst an und fragt nach. Oder loggt euch direkt über die Homepage der Bank/des Dienstes an, NICHT über den Link aus der Mail. Sollte wirklich etwas nicht in Ordnung sein, wird im Kundenbereich mit Sicherheit eine Mitteilung vorliegen.
Wer noch weitere Informationen zum Thema Phishing sucht, wird beim BSI oder bei proofpoint.com fündig.