Vorsicht Hacker! (3)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt in seinem Lagebericht zur IT-Sicherheit zu dem Ergebnis, dass die Gefährdungslage weiterhin hoch ist. Im Vergleich zum Vorjahr hat sie sich sogar weiter verschärft und ist zudem vielschichtiger geworden.

Es gibt nach wie vor eine hohe Dynamik der Angreifer bei der Weiterentwicklung von Schadprogrammen und Angriffswegen und mit neu entdeckten Hardware-Schwachstellen hat die Bedrohung eine neue Qualität erreicht.

Doch nicht nur Unternehmen stehen im Fokus von Hackern. Wie ich selbst vor einigen Wochen erfahren musste, sind wir als Privatpersonen ebenso gefährdet und können schnell zu Opfern professioneller Cyberattacken werden.

In seinem 3-teiligen Gastbeitrag erklärt Alexander Simons (Senior Technical Consultant & IT-Security Professional, CCSP*), wie man Phishing-Mails erkennt und was man tun kann, um gravierende Schäden zu vermeiden.

*CCSP steht für: Certified Cloud Security Professional, IT-Zertifikat des International Information System Security Certification Consortiums (ISC)² Certified Cloud Security Professional, IT-Zertifikat, siehe auch https://www.isc2.org/Certifications/CCSP?

Die Angst vor Cyber-Angriffen steigt.

Rück- und Ausblick

Im letzten Beitrag habe ich gezeigt, wie ich mittels Analyse und weiterer Spurensuche im HTML der Phishing-E-Mail auf ein Profil des russischen sozialen Netzwerkes vk.com gestoßen bin. Sollten Sie den ersten Beitrag verpasst haben, klicken Sie bitte hier.

In diesem Beitrag werde ich die Kommunikation mit dem vermeintlichen Urheber der Phishing-E-Mail beschreiben und am Ende Tipps geben, wie sie vermeiden können, Opfer einer Phishing-Kampagne zu werden.

Kontakt über vk.com

Aus früheren Tagen besitze ich bereits ein Profil bei „vk.com“, kann mich aber nicht mehr an mein Passwort erinnern und nutze die Passwort-Vergessen-Funktion der Webseite. Beim Untersuchen der verdächtigen Domain bin ich auf einen Link aufmerksam geworden, der auf ein Profil von vk.com verwiesen hat. Ich nutze erneut eine virtuelle Maschine/Sandbox und logge mich in dem sozialen Netzwerk ein. Anschließend schreibe ich auf Englisch das verdächtige Profil an. Zunächst mit einem unverfänglichen „Hallo, wie geht’s“, um festzustellen, ob das Profil nach wie vor aktiv ist und ob überhaupt eine Reaktion erfolgt. Ich bin etwas überrascht, als ich bereits nach 10 Minuten eine Antwort erhalte.

E-Mail-Listen im Netz verfügbar

Ich beschließe, direkt nachzufragen, ob die verdächtige Domain in der Phishing-Mail tatsächlich dem Nutzer gehört und ob er wirklich der Urheber der Kampagne ist. Nach anfänglichem Verneinen, erläutere ich meine Analyse und frage, wie es sein kann, dass sein Nutzerprofil auf der dubiosen Domain auftaucht. Wie er mir erklärt, ist er tatsächlich der Macher der Phishing-Kampagne, aber nicht alleine. Er ist Mitglied einer Gruppe von fünf Leuten, alle um die 20 Jahre alt. Ich bin verwundert über die Offenheit, stelle aber auch fest, dass ein gewisser Stolz in den Sätzen mitschwingt und er sich sicher fühlt nicht enttarnt zu werden. Die Gruppe ist recht professionell organisiert und es gibt eine Arbeitsteilung. So gibt es Rollen, zuständig für Hosting, eine weitere für die Programmierung und eine für die Beschaffung der E-Mail-Listen. Die Listen sind mehr oder weniger frei im Darknet auf den einschlägigen Marktplätzen verfügbar. Hier findet mit diesen auch ein Handel statt, abhängig von der Qualität der Listen. Listen mit validierten E-Mail-Adressen kosten mehr als solche ohne Validierung. Dabei läuft die Bezahlung überwiegend anynom über Bitcoins. Offenbar war die E-Mail-Adresse des ursprünglichen Empfängers der Phishing-Mail auf einer dieser Listen. Für den Versand werden kostenlose Dienste verwendet und zum Teil automatisiert Benutzerkonten geöffnet, um die entsprechende Masse an E-Mails zu versenden.

Benutzerprofil gelöscht

Ich habe es leider versäumt, die Kommunikation aufzuzeichnen. Dies bereue ich, da ich einen Tag später meinen Chat fortsetzen möchte. Offenbar ist das Konto gelöscht und auch die der Server mittlerweile abgeschaltet. Vermutlich hat sich die Gruppe nach meiner Kontaktaufnahme und den Informationen, die ich erhalten habe, dazu entschlossen, schnellstmöglich die Spuren zu verwischen. Es ist allerdings davon auszugehen, dass umgehend weitere Kampagnen gestartet wurden.

Über die Kosten und Erträge habe ich leider nichts in Erfahrung bringen können. Nichtsdestotrotz sehe ich mich in meinem Verdacht bestätigt, dass es sich um eine professionelle Gruppe handelt.

Phishing Angriffe vermeiden

Um Phishing-Angriffe zu vermeiden, ist es sehr wichtig, stets auf die persönlichen Informationen, wie E-Mail-Adressen, Benutzernamen und Passwörter zu achten. Deshalb sollten Sie sich vergewissern, dass Sie sich auch wirklich auf einer vertrauenswürdigen Webseite befinden. Phishing-Seiten versuchen Ihnen vorzugaukeln auf der „richtigen“ Webseite zu sein. Dabei werden beispielsweise Login-Masken von Ihrer Bank nachgebaut, die sich optisch nicht unterscheiden.

Klicken Sie niemals auf Links in fragwürdigen E-Mails. Oft werden Links derart verschleiert, dass sie wie das Original aussehen. Tatsächlich werden Sie aber auf eine gefälschte Seite weitergeleitet.

Seien Sie besonders skeptisch, wenn Sie beispielsweise von Ihrer Bank eine E-Mail erhalten. Anstelle auf Links in dieser zu klicken, nutzen Sie besser einen Browser und geben die Adresse selbst ein. Üblicherweise nutzen Finanzorganisationen ein sogenanntes „Monitoring“, um Phishing-Angriffe zu erkennen und zu vermeiden.

Bevor Sie sensible Informationen auf einer Webseite eingeben, stellen Sie sicher, dass die Verbindung verschlüsselt ist. Achten Sie dabei darauf, dass die Seite mittels HTTPS und nicht HTTP aufgerufen wurde. Dies erkennen Sie in den gängigen Browsern über ein Schloss-Symbol in der Adressleiste. Sollte Ihr Browser Sie auf eine „bösartige Seite“ hinweisen, verlassen Sie die Seite umgehend.

Seien Sie wachsam und fragen im Zweifelsfall einen Experten.

Dann noch ein Tipp zum Schluss: Sollten Sie sich unsicher sein, ob es sich um eine bösartige Seite oder einen bösartigen Link handelt, geben Sie die URL bei VirusTotal ein. So können Sie immerhin ein Gefühl dafür bekommen, ob die Seite „sauber“ oder vermeintlich bösartig ist.

Tipp

Wenn Ihnen der Artikel gefallen hat, klicken Sie bitte auf Gefällt mir und Teilen mit, um auch anderen Interessierten den Beitrag zugänglich zu machen. Darüber hinaus freue ich mich auch über Ihr Feedback unter Kommentare.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.