Anzeige

Corona-Krise: Phishing

Wie letzte Woche bekannt wurde, kam es in Nordrhein-Westfalen und Sachsen zu Phishing-Angriffen, die auf die Soforthilfeprogramme der beiden Länder im Zuge der Coronakrise abzielten.

Leider veranschaulichen diese jüngsten Vorfälle einmal mehr das generelle Vorgehen von Cyberkriminellen: Sie nutzen jede sich ihnen bietende Gelegenheit aus, um daraus Profit zu schlagen. Die globale Covid-19-Pandemie dieser Tage bietet ihnen geradezu perfekte Bedingungen, um Gelder zu stehlen oder auch persönliche Daten zu erbeuten. Viele Bürger sind dieser Tage verunsichert ob der aktuellen Entwicklungen und blicken mit Besorgnis auf das, was noch kommen mag. Für Cyberkriminelle der ideale Moment, um zur Tat zu schreiten. Die Verunsicherung in der Bevölkerung und teils widersprüchliche Informationen in den Medien führen häufig dazu, dass Internetnutzer verstärkt verschiedene Quellen heranziehen, um ihren Informationsbedarf zu stillen – oft agieren sie dabei mit weniger Bedacht, als es momentan geboten wäre.

Zunahme von Phishing-Kampagnen

In den vergangenen Tagen und Wochen haben wir eine dramatische Zunahme von Phishing-Kampagnen in Zusammenhang mit dem Coronavirus beobachten können: angefangen mit Ködern rund um den derzeit florierenden Versandhandel, über das Stehlen von Zugangsdaten für Streaming-Dienste, bis hin zu gefälschten Angeboten von Schutzmasken und vermeintlich von der WHO stammenden E-Mails. Insgesamt umfassten die Phishing-Aktivitäten rund 170 solcher Kampagnen mit mehr als 500.000 Nachrichten, 300.000 gefälschten URLs und 200.000 schädlichen Dateianhängen.

Für Internetnutzer ist es folglich derzeit besonders wichtig, legitime Nachrichten von Phishing-Versuchen zu unterscheiden. Da Phishing-Mails in Sachen Inhalt und Layout jedoch in vielen Fällen nahezu perfekt gefälscht sind, gibt es für den Anwender oft nur wenige Indizien, die auf einen Betrugsversuch hindeuten. Einen entscheidenden Hinweis kann daher die E-Mail-Adresse des Absenders liefern. Doch auch die Cyberkriminellen sind sich dieses Umstands bewusst und versuchen deshalb auch diese zu fälschen. Hierfür bedienen sie sich zweier unterschiedlicher Techniken: zum einen dem sogenannten Typosquatting. Zu diesem Zweck werden von den Gruppen hinter dem Betrugsversuch Domains registriert, die in ihrer Schreibweise denen einer legitimen Domain ähneln. In einem weiteren Schritt werden danach E-Mail-Adressen generiert, die nur bei genauerer Betrachtung als illegitim erkannt werden können.

Mail Spoofing

Die zweite und weitaus gefährlichere Methode, derer sich die Cyberkriminellen bedienen, ist das Domain Spoofing, das auch als Mail Spoofing bekannt ist. Hierbei machen sich Online-Betrüger Schwachstellen in E-Mail-Protokollen zunutze, um eine Nachricht unter einer vermeintlich legitimen Absenderadresse zu verschicken. Dies macht es für einen gewöhnlichen Internetnutzer nahezu unmöglich, eine Fälschung vom Original zu unterscheiden.

Insbesondere die zuletzt genannte Technik lässt sich von Seitenbetreibern legitimer Websites jedoch mit vergleichsweise einfachen Mitteln unterbinden. Denn mit Hilfe des E-Mail-Authentifizierungsprotokolls DMARC kann für Domains legitimer Organisationen das Domain Spoofing unterbunden werden. Dies erschwert es Cyberkriminellen, sich als die jeweilige Organisation auszugeben. Die Abkürzung DMARC steht für „Domain-based Message Authentication, Reporting and Conformance“ und überprüft die Identität des Absenders anhand der etablierten Standards DKIM (DomainKeys Identified Mail) und SPF (Sender Policy Framework). Das SPF-Protokoll basiert auf dem DNS-Eintrag (Domain Name System), also der IP-Adresse, unter der E-Mails autorisiert versendet werden. Dadurch erkennt die E-Mail-Anwendung des Adressaten die Legitimität einer E-Mail anhand der hinterlegten, gültigen und nur schwer fälschbaren IP-Adresse – und nicht anhand des Domain-Namens. Die zweite Komponente liegt mit dem DKIM-Protokoll verschlüsselt vor. Der passende Schlüssel findet sich öffentlich im DNS und dient der Signatur einer E-Mail. Der Empfänger erkennt dadurch, dass die Nachricht von einem legitimen Absender stammt und nicht verändert wurde. Mittels DMARC kann nun erstmals durchgesetzt werden, dass nur E-Mails ausgeliefert werden, die sowohl DKIM als auch SPF bestehen. Alle anderen werden schon vor der Zustellung an die Mailbox geblockt. 

Sichere Kommunikation schaffen

In einer Zeit, in der die Bürger auf vertrauenswürdige, sichere E-Mail-Kommunikation mit Regierungsstellen und Unternehmen angewiesen sind, ist es nicht nur im öffentlichen Sektor sondern auch in der Privatwirtschaft von erheblicher Bedeutung, die technischen Rahmenbedingungen für eine sichere Kommunikation zu schaffen. 

Gerade in Bezug auf die derzeitigen Nothilfemaßnahmen raten wir dazu, Informationen nur von offiziellen Stellen zu beziehen. Anfragen, die von einer anderen Quelle (E-Mail, Telefon, SMS) stammen, sollten tunlichst ignoriert werden. Dies gilt speziell für Anfragen, die den Empfänger dazu ermutigen sollen, persönlichen Daten preiszugeben, um Gelder schneller oder überhaupt zu erhalten. Aber auch generell gilt: Wenn eine E-Mail eine Aufforderung enthält zu handeln, und sei es nur auf einen Link zu klicken, sollte der Empfänger Vorsicht walten lassen. Bevor man Gefahr läuft, Opfer einer Phishing-Attacke zu werden, ist es grundsätzlich besser, sich eine Aufforderung gegebenenfalls mittels eines anderen Kommunikationskanals wie dem Telefon bestätigen zu lassen.

Michael Heuer, Vice President DACH
Michael Heuer
Vice President DACH, Proofpoint GmbH

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

DDoS

DDoS-Attacken per Smartphone

ESET hat in diesem Jahr erstmals einen DDoS-Angriff per Mobile-Botnet aufgedeckt. Die Täter attackierten mit infizierten gekaperten Zombie-Smartphones die Webseite.
Malware

Mehr als 27.800 neue Varianten von Emotet im ersten Halbjahr 2020

Im ersten Halbjahr haben Cyberkriminelle das Tempo weiter erhöht und ihren Schadcode in immer kürzeren Abständen mit Packern vor Antiviren-Lösungen versteckt.
Ransomware

Ransomware ist eine digitale Pandemie

Ransomware hat sich, ähnlich wie das Coronavirus, von einer Epidemie zu einer Pandemie gewandelt. Der wichtige Unterschied besteht darin, dass es sich bei Ransomware um eine digitale Pandemie handelt. Die verschiedenen Stämme beider Viren entwickeln sich…
Cyberattack

Cyberattacken größeres Geschäftsrisiko als Pandemien

Auf der it-sa 365 wurde die Studie der IDG-Marktforscher vorgestellt und gibt Auskunft über die wichtigsten Prioritäten und Verteilung der Security Budgets 2021. Anforderungen an die IT-Sicherheit von Unternehmen steigen beständig wegen externer Bedrohungen,…
Cybercrime

BSI-Lagebericht: Corona verschärft Cyber-Gefährdungslage

Die Corona-Pandemie hat großen Einfluss auf die Cyber-Sicherheitslage in Deutschland. Corona hat für einen Digitalisierungsschub in Deutschland gesorgt, den es nachhaltig zu gestalten, aber auch abzusichern gilt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!