Anzeige

Corona-Krise: Phishing

Wie letzte Woche bekannt wurde, kam es in Nordrhein-Westfalen und Sachsen zu Phishing-Angriffen, die auf die Soforthilfeprogramme der beiden Länder im Zuge der Coronakrise abzielten.

Leider veranschaulichen diese jüngsten Vorfälle einmal mehr das generelle Vorgehen von Cyberkriminellen: Sie nutzen jede sich ihnen bietende Gelegenheit aus, um daraus Profit zu schlagen. Die globale Covid-19-Pandemie dieser Tage bietet ihnen geradezu perfekte Bedingungen, um Gelder zu stehlen oder auch persönliche Daten zu erbeuten. Viele Bürger sind dieser Tage verunsichert ob der aktuellen Entwicklungen und blicken mit Besorgnis auf das, was noch kommen mag. Für Cyberkriminelle der ideale Moment, um zur Tat zu schreiten. Die Verunsicherung in der Bevölkerung und teils widersprüchliche Informationen in den Medien führen häufig dazu, dass Internetnutzer verstärkt verschiedene Quellen heranziehen, um ihren Informationsbedarf zu stillen – oft agieren sie dabei mit weniger Bedacht, als es momentan geboten wäre.

Zunahme von Phishing-Kampagnen

In den vergangenen Tagen und Wochen haben wir eine dramatische Zunahme von Phishing-Kampagnen in Zusammenhang mit dem Coronavirus beobachten können: angefangen mit Ködern rund um den derzeit florierenden Versandhandel, über das Stehlen von Zugangsdaten für Streaming-Dienste, bis hin zu gefälschten Angeboten von Schutzmasken und vermeintlich von der WHO stammenden E-Mails. Insgesamt umfassten die Phishing-Aktivitäten rund 170 solcher Kampagnen mit mehr als 500.000 Nachrichten, 300.000 gefälschten URLs und 200.000 schädlichen Dateianhängen.

Für Internetnutzer ist es folglich derzeit besonders wichtig, legitime Nachrichten von Phishing-Versuchen zu unterscheiden. Da Phishing-Mails in Sachen Inhalt und Layout jedoch in vielen Fällen nahezu perfekt gefälscht sind, gibt es für den Anwender oft nur wenige Indizien, die auf einen Betrugsversuch hindeuten. Einen entscheidenden Hinweis kann daher die E-Mail-Adresse des Absenders liefern. Doch auch die Cyberkriminellen sind sich dieses Umstands bewusst und versuchen deshalb auch diese zu fälschen. Hierfür bedienen sie sich zweier unterschiedlicher Techniken: zum einen dem sogenannten Typosquatting. Zu diesem Zweck werden von den Gruppen hinter dem Betrugsversuch Domains registriert, die in ihrer Schreibweise denen einer legitimen Domain ähneln. In einem weiteren Schritt werden danach E-Mail-Adressen generiert, die nur bei genauerer Betrachtung als illegitim erkannt werden können.

Mail Spoofing

Die zweite und weitaus gefährlichere Methode, derer sich die Cyberkriminellen bedienen, ist das Domain Spoofing, das auch als Mail Spoofing bekannt ist. Hierbei machen sich Online-Betrüger Schwachstellen in E-Mail-Protokollen zunutze, um eine Nachricht unter einer vermeintlich legitimen Absenderadresse zu verschicken. Dies macht es für einen gewöhnlichen Internetnutzer nahezu unmöglich, eine Fälschung vom Original zu unterscheiden.

Insbesondere die zuletzt genannte Technik lässt sich von Seitenbetreibern legitimer Websites jedoch mit vergleichsweise einfachen Mitteln unterbinden. Denn mit Hilfe des E-Mail-Authentifizierungsprotokolls DMARC kann für Domains legitimer Organisationen das Domain Spoofing unterbunden werden. Dies erschwert es Cyberkriminellen, sich als die jeweilige Organisation auszugeben. Die Abkürzung DMARC steht für „Domain-based Message Authentication, Reporting and Conformance“ und überprüft die Identität des Absenders anhand der etablierten Standards DKIM (DomainKeys Identified Mail) und SPF (Sender Policy Framework). Das SPF-Protokoll basiert auf dem DNS-Eintrag (Domain Name System), also der IP-Adresse, unter der E-Mails autorisiert versendet werden. Dadurch erkennt die E-Mail-Anwendung des Adressaten die Legitimität einer E-Mail anhand der hinterlegten, gültigen und nur schwer fälschbaren IP-Adresse – und nicht anhand des Domain-Namens. Die zweite Komponente liegt mit dem DKIM-Protokoll verschlüsselt vor. Der passende Schlüssel findet sich öffentlich im DNS und dient der Signatur einer E-Mail. Der Empfänger erkennt dadurch, dass die Nachricht von einem legitimen Absender stammt und nicht verändert wurde. Mittels DMARC kann nun erstmals durchgesetzt werden, dass nur E-Mails ausgeliefert werden, die sowohl DKIM als auch SPF bestehen. Alle anderen werden schon vor der Zustellung an die Mailbox geblockt. 

Sichere Kommunikation schaffen

In einer Zeit, in der die Bürger auf vertrauenswürdige, sichere E-Mail-Kommunikation mit Regierungsstellen und Unternehmen angewiesen sind, ist es nicht nur im öffentlichen Sektor sondern auch in der Privatwirtschaft von erheblicher Bedeutung, die technischen Rahmenbedingungen für eine sichere Kommunikation zu schaffen. 

Gerade in Bezug auf die derzeitigen Nothilfemaßnahmen raten wir dazu, Informationen nur von offiziellen Stellen zu beziehen. Anfragen, die von einer anderen Quelle (E-Mail, Telefon, SMS) stammen, sollten tunlichst ignoriert werden. Dies gilt speziell für Anfragen, die den Empfänger dazu ermutigen sollen, persönlichen Daten preiszugeben, um Gelder schneller oder überhaupt zu erhalten. Aber auch generell gilt: Wenn eine E-Mail eine Aufforderung enthält zu handeln, und sei es nur auf einen Link zu klicken, sollte der Empfänger Vorsicht walten lassen. Bevor man Gefahr läuft, Opfer einer Phishing-Attacke zu werden, ist es grundsätzlich besser, sich eine Aufforderung gegebenenfalls mittels eines anderen Kommunikationskanals wie dem Telefon bestätigen zu lassen.

Michael Heuer, Vice President DACH
Michael Heuer
Vice President DACH, Proofpoint GmbH

Weitere Artikel

Bankkarten

Eine gehackte deutsche Zahlungskarte kostet 16 Euro im Dark Web

Eine neue Studie von NordVPN hat 31.000 deutsche Zahlungskarten analysiert, die im Dark Web verkauft werden. Laut dieser Untersuchung liegt der angebotene Durchschnittspreis einer deutschen Zahlungskarte bei 15 Euro und 79 Cent.
Spionage

DazzleSpy attackiert Besucher von pro-demokratischer Nachrichtenseite in Hongkong

Die Webseite des Radiosenders D100 in Hongkong wurde kompromittiert. Ein Safari-Exploit wird ausgeführt, der eine Spionagesoftware auf die Macs der Besucher des Nachrichtenportals installiert.
Mond Rot

MoonBounce: Gefährliches Rootkit schlummert in der Firmware

Sicherheitsforscher von Kaspersky haben ein kleines, aber gefährliches Rootkit gefunden, das vom Unified Extensible Firmware Interface (UEFI) eines Computers Malware nahezu ungestört verbreiten kann.
Software Supply Chain

Angriffe auf die Software-Lieferkette stellen ein großes Risiko dar – aber sie können verhindert werden

Immer häufiger werden Software-Lieferketten angegriffen. Dies stellt eine große Gefahr dar, weil dann auf einen Schlag viele Unternehmen weltweit betroffen sein können. Wie können Unternehmen sich gegen solche Angriffe schützen?
Cybercrime

Neue Malware DTPacker vereint Fähigkeiten zweier Formen von Schadsoftware

Die Sicherheitsexperten von Proofpoint haben kürzlich eine neue Malware identifiziert, die im Rahmen dutzender Kampagnen von verschiedenen cyberkriminellen Gruppen zum Einsatz gebracht wurde. Der neuentdeckten Malware gaben die Security-Forscher den Namen…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.