Anonym im Netz Schütze Deine Identität
  • facebook

STH-EmailPhishPhishing ist eine Unterart des Social Engineering. Das Opfer soll, meist per E-Mail oder Kurznachricht, dazu gebracht werden, Zugangsdaten für eine Webseite wie Onlinebanking, Bezahldienste oder soziale Netzwerke preiszugeben. Dabei wird meist das Ausehen der Zielseite nachgeahmt und das Opfer mit einer alarmierenden Tatsache unter Druck gesetzt.

Ein typisches Beispiel ist eine angedrohte oder bereits vollzogene Sperrung des Paypal Accounts oder des Onlinebankings. Das Opfer soll zum sofortigen Handeln genötigt werden. Tut es dies nicht, droht eine endgültige Kontosperrung, eine sehr hohe Abbuchung/Gebühr oder z.B. eine Betrugsanzeige.

In der Phishing Nachricht befindet sich ein Link zur vermeintlichen Webseite. Allerdings landet man nach Klick des Links nicht auf paypal.com sondern auf einer ähnlichen Domain wie paypal-verifizierung.ru, auf der allerdings die Originalseite detailgetreu nachgebaut wurde. Loggt sich das Opfer hier ein, so landen die Zugangsdaten in den Händer der Kriminellen – diese können sich später unter der Identität des Opfers in den eigentlichen Dienst einloggen.

Wie wird damit Geld verdient?

Bei Zahlungsdiensten ist das selbsterklärend. Hier können die Cybergangster mit dem Konto des Kunden einkaufen gehen oder das Geld an Dritte überweisen. Natürlich überweisen sie sich das Geld nicht auf ein eigenes Konto, sondern waschen es über Moneymules oder Waren die sich leicht wieder zu Geld machen lassen. Sind zusätzliche Daten erforderlich, so wird versucht auch diese über Social Engineering zu erlangen. (z.B. geben Sie ihre Kontonummer, Ihre PIN und 10 TAN Nummern ein, um Ihr TAN Verfahren zu überprüfen).

Zugänge zur Packstation sind sehr beliebt, da man so unter fremden Namen Waren empfangen kann. (die z.B. über ein gephischtes Zahlungssystem bezahlt wurden). Benutzen die Kriminellen diese Accounts nicht selbst, können sie sie immernoch gewinnbringend verkaufen.

Weitere Ziele:

  • Webmail Anbieter – Man kann Accounts dieses Benutzer auf weiteren Seiten erhalten – über die „Passwort vergessen“ Funktion auf diesen Seiten, die das Passwort an den Mailaccount schickt.
  • Domain/Webhosting Anbieter – z.B. um wertvolle Domains zu stehlen oder umzulenken und so an Nutzer dieser Domain zu kommen.
  • Onlineshops – falls hier die Zahlungsdaten bereits hinterlegt sind, wie z.B. bei Amazon
  • Onlinespiele – z.B. um wertvolle Spielcharaktere oder virtuelle Gegenstände zu verkaufen

Wie verbergen die Angreifer Ihre Identität?

Sie brauchen auf jeden Fall ein anonymes Hosting um die gefälschte Seite zu hosten. Oft werden dazu gehackte Webseiten genutzt, auf denen sie Dateien hochladen können. Domains werden unter falschem Namen registriert – diese brauchen ja nicht allzulange halten. Eine Phishing Seite ist meist nur wenige Stunden – maximal ein paar Tage – online. Der Versand der Nachrichten erfolgt meist über Botnetze. Teilweise werden aber auch Webserver unter falschem Namen gemietet und können sowohl für das Hosting, als auch für den Mailversand verwendet werden.

Geld von Onlinekonten wird meist benutzt um Waren an eine anonyme Packstation liefern zu lassen. Oder es werden virtuelle Güter gekauft, die sich leicht weiterverkaufen lassen wie Prepaid-Karten jeder Art oder Bitcoins. (Überweisungsbetrug beim Bitcoinhandel)

Auch Überweisungen an Auslandskonten sind teilweise möglich. Eine lange Zeit gewählte Methode war die Überweisung an andere Personen im Inland (sogenannte Money Mules), die zuvor als „Finanzdienstleister“ angeworben wurden und das Geld gutgläubig per Western Union ins Ausland schleussten.

Wie kann man sich schützen?

PayPal-Phishing

  • Immer erst den Link in der Mail prüfen. Durch Mouseover sieht man meist, wohin dieser führt. Ist es nicht die offizielle Seite, so handelt es sich meist um eine Phishing Mail.
  • Nicht auf den Link klicken. Selbst wenn man den Schwindel ahnt und keine Daten eingibt, so kann dadurch festgestellt werden, dass die E-Mail Adresse gelesen wird und aktiv ist (indem sich in dem Link für jede E-Mail Adresse eine eindeutige ID befindet)
  • Im Zweifel immer direkt z.B. über einen Bookmark oder durch Eintippen auf die Seite des Onlinedienstes gehen.
  • Auch Mail von Bekannten nicht blind vertrauen, deren Postfach könnte ebenfalls kompromittiert sein.

 

Sonderfall – Phishing per Telefon

Dies passiert noch nicht in den Massen wie per E-Mail, einfach da ein persönliches Telefongespräch viel teurer und riskanter für den Angreifer ist. In der Zeit eines Gespräches könnte er ja tausende Mails verschicken. Aber auch solche Fälle sind bekannt, in denen sich die Kriminellen telefonisch melden und allerlei Zugangsdaten abfragen. Das Gespräch verläuft dabei sehr dynamisch und ist meist bei älteren Leuten erfolgreich. Die Kriminellen können sich dabei blitzschnell auf ihren Gesprächspartner einstellen und gewonnene Informationen sofort weiterverwenden.

„Ich rufe Sie an wegen Ihrem E-Mail Dienst.“ „Meinen Sie web.de?“ „Ja genau…“

Die Angreifer benutzen meist Voice-Over-IP Dienste, die sie anonym oder mit falschem Namen registriert haben.

Auch hier gilt: Keinesfalls Logindaten herausgeben. Im Zweifelsfall auflegen und selbst den Support des entsprechenden Dienstes kontaktieren.

Phishing – Passwortklau per Mail
5 (100%) 1 vote

Comments (2)

  1. […] gerne von Onlineshops, wo sie zur Bezahlung von den Kunden eingegeben werden müssen. Aber auch per Phishing kommen die Kriminellen an die Kartendaten. Und ganz traditionell können die Daten beim Bezahlen im […]

  2. Ann O. Nyma said on 23-01-2015

    Auch wichtig: Gerade Zahlungsanbieter (Bank, Paypal) benutzen (fast) nie eine andere Domain (im Bild oben: paypal-hilfeservice.com), sondern Unterseiten der eigenen Hauptdomain (www.paypal.com/de/hilfeservice). Bei anderslautendem Domainnamen also immer wenigstens anrufen und nachfragen.

    P.S.
    …der Teil ist hier vielleicht ein wenig OT (bitte an einen besseren Platz verschieben), aber für Paranoide und tatsächlich Verfolgte:
    Nicht dem Sicherheitszertifikat vertrauen, sondern beim Anlegen eines Accounts den Fingerprint, das Ausstellungs- und Ablaufdatum des SSL-Zertifikats aufschreiben und bei jedem Besuch vergleichen. Ändert sich der Fingerprint, hat entweder der (echte) Anbieter ein neues Cert (anrufen, fragen! – oder wenigstens von verschiedenen IPs (Ländern, z.B. per VPN) überprüfen) oder es ist ein mit einem gestohlenen (bzw. erpressten (NSA!)) Root-cert beglaubigtes gefälschtes Zertifikat eines „Mannes in der Mitte“ (MITM, man-in-the-middle-attack).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.