Phishing ist für uns kein unbekanntes Terrain. In einem unserer älteren Blogs haben wir die Wege von Hackern dargelegt. Sie überlisten Benutzer mit Phishing-E-Mails auf verschiedenen Wegen und bringen sie dazu böswillige Anhänge herunterzuladen oder böswillige Websites zu besuchen. Allein 2016 ist die Anzahl an Phishing-Angriffen um unglaubliche 400% angestiegen und es sieht so aus als würde es dieses Jahr so weitergehen. Deshalb möchten wir heute weiter darüber informieren, um Phishing ein Ende zu setzen und Sie über Phishing Websites als Angriffsmethode aufklären.
Böswillige E-Mails sind nur ein Teil des Phishing-Vorgangs. Der angehende Angreifer erstellt normalerweise eine gefälschte Website, um Benutzer dazu zu bringen Login-Informationen oder Bankdetails einzugeben, die dem Angreifer dann zur freien Verfügung stehen. Millionen von Benutzern sind über die Jahre Phishingversuchen zum Opfer gefallen. Die Effizienz dieser Angriffe kann man in dem spektakulären Fall von 2013 sehen. Drei Hacker wurden in Großbritannien festgenommen, weil sie mit mehr als 2600 gefälschten Websites von Banken versucht haben mehr als 60 Millionen Britische Pfund von nichts ahnenden Kunden zu entwenden.
Um nicht Opfer von solchen Angriffen zu werden, haben wir die häufigsten Szenarien für Sie zusammengefasst, die man auf Phishing Websites finden kann, sowie Tipps wie man diese erkennt, damit Sie Ihre Daten nicht versehentlich übergeben.
Wie kommen Phishing Websites zu Ihnen?
Szenario 1: Das Öffnen einer Phishing-E-Mail – Nicks E-Mail Debakel
Lassen Sie uns mit einem bekannten Szenario beginnen. Nick arbeitet hart für sein Geld. Er hat sein Leben lang eine Millionen US Dollar für seine Rente angespart. Ein paar Monate vor seinem verdienten Ruhestand erhält Nick eine E-Mail von seiner „Bank“, die ihn dazu auffordert seine Kontoinformationen zu aktualisieren. Er meldet sich auf der „Website seiner Bank“ an und ändert seine Details. Am nächsten Tag muss er feststellen, dass seine gesamten Ersparnisse weg sind. 2012 ist dies tatsächlich einer Frau aus Großbritannien passiert.
Szenario 2: Das Klicken auf verdächtige Werbebanner – Marias Anzeigendilemma
Werbung wird oft als Weg für Phishing-Angriffe gewählt. Maria hat zum Beispiel online nach einfachen Rezepten gesucht. Sie hat „einfache Rezepte für Kuchen“ bei Google eingegeben und ohne dem Link weiter Beachtung zu schenken auf die Google Anzeige geklickt, die „einfache Rezepte für Kuchen“ versprochen hat. Auf der verlinkten Website wurde sie aufgefordert ihre Kreditkartendetails im Austausch gegen Rezepte zu hinterlegen. Zum Glück wurde Maria misstrauisch und hat die Website sofort verlassen. So ist sie dem Phishing-Angriff per gefälschter Google Anzeige, die 2014 die Runde machten, gerade noch entkommen.
Szenario 3: Zugriff über eine gefälschte Login-Seite – Sophias Regierungsfiasko
Angreifer schrecken vor nichts zurück, um an Informationen zu gelangen. So zum Beispiel im Fall von Sophia, die ihren Pass erneuern will. Sophia sucht über die Suchmaschine nach der örtlichen Passstelle und wählt den ersten Link der angezeigt wird. Sie hat sich nichts dabei gedacht, denn die Loginseite sah wie erwartet aus. Nachdem sie ihre Details eingegeben hat, war sie überrascht, dass Sie keine E-Mail-Bestätigung der Passstelle erhalten hat. Am nächsten Tag hat sie bemerkt, dass auf ihre Accounts zugegriffen wurde. So ging es Einwohnern in Singapur im letzten Jahr, die auf eine gefälschte Loginseite der Regierung reingefallen sind.
Szenario 4: Austausch über soziale Medien – Roberts Twittersorgen
Robert hat ein Problem mit seiner Bank und erhofft sich eine schnelle Antwort über Twitter. Er wendet sich mit seinem Problem an den Twitteraccount seiner Bank. Innerhalb weniger Stunden meldet sich ein „Mitarbeiter der Bank“ bei ihm und gibt ihm einen Link zur „Supportseite der Bank“. Robert ist zum Glück nicht auf den Trick hereingefallen, denn er weiß, dass nicht-verifizierten Accounts nicht zu trauen ist. Robert ist damit einem der häufigsten Versuche von Phishing-Angriffen über soziale Medien begegnet und glücklicherweise entgangen.
Tipps um Phishing Websites zu erkennen
Ihnen ist sicher aufgefallen, dass alle oben genannten Szenarien auf tatsächlichen Phishingangriffen basieren. Nick, Maria, Sophia und Robert mögen zwar fiktive Charaktere sein, aber die Gefahren die beschrieben wurden sind wirkliche. Hier folgen nun hilfreiche Tipps, um Phishing über schädliche Websites zu vermeiden. Lassen Sie uns die Lösungen in zwei Kategorien einteilen.
Bevor Sie Klicken
Prüfen Sie den URL immer ausführlich vor dem Klicken. Wenn Sie einen Link per E-Mail oder über Social Media erhalten, oder auf sonstigem Wege, nehmen Sie sich die Zeit den Link vor Klicken zu prüfen. Sie müssen kein Experte sein, um verdächtige Links zu erkennen. Achten Sie auf die häufigsten Merkmale. Gefälschte Links versuchen in der Regel die bestehende Website zu imitieren, oft indem unnötige zusätzliche Wörter oder Domains hinzugefügt werden.
Bevor Sie auf Hyperlinks klicken, fahren Sie mit dem Mauszeiger drüber. Im Beispiel unten, das wir auch in unserem früheren Blog besprochen haben, können Sie zum Beispiel sehen, dass der Hyperlink von „Hier klicken“ zu “http://globalsign.uk.virus-control.com/b4df29/?login_id=1817...” führt. Ein paar Merkmale sollten Sie stutzig machen. 1.) globalsign.uk ist keine legitime GlobalSign Domain. 2.) Der Domain folgt der Zusatz “virus-control”, und 3.) Die vielen Zeichen am Ende der URL.
Identifizieren Sie die Quelle des Links. Kennen Sie die Person, die Ihnen den Link geschickt hat? Falls Ihnen auch nur der leiseste Zweifel kommt, klicken Sie nicht. Im vorigen Beispiel ist Robert der falsche Repräsentant aufgefallen, bevor er den Link geklickt hat. Angreifer erstellen gerne gefälschte Accounts, von ganz abwegigen (z.B. einer allgemeinen „Vertrauenswürdigen Bankenbehörde“) bis zu sehr glaubwürdigen (z.B. Peter Maier bei der Deutschen Telekom). Achten Sie also auf die Profile von Personen mit denen Sie kommunizieren und stellen Sie fest, ob es diese tatsächlich gibt.
Nachdem Sie geklickt haben
Prüfen Sie die URL BEVOR Sie jegliche Informationen eingeben. Sie haben aus Versehen auf einen Phishing-Link geklickt. Noch ist es nicht zu spät! Wie oben erwähnt, prüfen Sie die URL der Website und suchen Sie nach den typischen Merkmalen. Links von gefälschte Websites beinhalten oft viele unbedeutende Zeichen in der Adresszeile oder zusätzliche Textteile.
Sehen Sie sich das Beispiel unten vom Gmail Scam an, der Anfang dieses Jahres die Runde machte. Es hat zwar den Textteil „accounts.google.com“ und erscheint daher legitim, jedoch sollte der Extratext alle Alarmglocken klingeln lassen, dass es sich um eine Phishing- oder böswillige Seite handelt.
(Quelle: PCMag)
Suchen Sie nach einem Trust Seal/ Siegel. Die meisten wirklichen Seiten nutzen Trust Seals, Siegel von einem Drittanbieter, um zu zeigen wie sicher ihre Seite ist (z.B. indem ein Vertrauenslevel oder Verkaufsseiten angezeigt werden, oder ob die Seite mit SSL/TLS verschlüsselt ist). Seiten, die Logindetails oder Zahlungsinformationen sammeln, sollten ein Vertrauenssiegel oder ein Secure Site Seal anzeigen, um Benutzern zu versichern, dass die Website legitim ist. Suchen Sie nach diesen Vertrauensmerkmalen und prüfen Sie auch, ob der Anbieter ein bekannter Anbieter von Onlinesicherheit ist. Die Siegel sind meist interaktiv, es kann also hilfreich sein auf das Siegel zu klicken, um mehr Informationen über die Seite zu erfahren.
Prüfen Sie die Adresszeile auf Unternehmensinformationen. SSL/TLS Zertifikate spielen eine wichtige Rolle für Internetsicherheit. Sie verschlüsseln Sessions und schützen Informationen die zwischen Browsern und Webservern geschickt werden.
Extended Validation (EV) SSL, das höchste SSL Level, fügt noch ein weiteres wichtiges Element hinzu, indem die verifizierte Identität des Anbieters klar und deutlich in der Browserzeile angezeigt wird, normalerweise mit der eigens dafür genutzten grünen Adresszeile.
So können Sie sofort sehen ob die Seite tatsächlich von dem vorgegebenen Unternehmen verwaltet wird, oder ob es sich um eine Phishing- bzw. Nachahmer-Seite handelt. Die Mehrheit der Marktführer, die, die am häufigsten Opfer von Phishing werden, nutzen EV SSL. Es ist also leicht die Seite anhand des Unternehmensnamens in der URL zu prüfen und verifizieren. Mit steigender Anzahl und Professionalität von Phishing-Angriffen ist es uns ein immer wichtigeres Anliegen, dass noch mehr Unternehmen EV nutzen, um ihre Seiten vor Nachahmern zu schützen.
Prüfen Sie die Website-Adresse auf Homografen. Einige bekannte Browser können andere Sprachen, wie das kyrillische Alphabet, nicht erkennen. Ein Hacker kann eine Domain wie xn--pple-43d.com registrieren, die das Äquivalent zu apple.com ist und dann ein SSL Zertifikat dafür erwerben. Dies wird auch als Script Spoofing bezeichnet. Es gibt fast 11 Bildzeichen im kyrillischen Alphabet, die genau wie das lateinische Schriftzeichen aussehen. Andere Alphabete, die ähnliche Bildzeichen wie lateinische Schriftzeichen haben sind: Griechisch, Armenisch, Hebräisch und Chinesisch. Mit einigen Kombinationen können so Spoof Domains erstellt und gesichert werden, so dass es fast unmöglich ist die wirkliche von der gefälschten Domain zu unterscheiden.
Aber nur fast! Es gibt einen Weg diese Art von Angriff zu erkennen. Falls Sie glauben, dass der Link verdächtig ist, kopieren Sie ihn in ein anderes Fenster…
Ganz einfach. Die wirkliche Domain wird sofort gezeigt und Sie wissen, dass der Website nicht zu trauen ist.
Homografen können Sie auch erkennen, indem Sie sich zu den Zertifikatsdetails durchklicken, um zu sehen, welche Domain vom Zertifikat gesichert wird. Im Beispiel oberhalb wäre das Zertifikat für ‘https://www.xn--80ak6aa92e.com/’ ausgestellt und nicht für ‘apple.com'.
Phishingangriffe mögen zwar in den kommenden Jahren steigen, aber solange Sie gewappnet sind diese zu erkennen, werden immer weniger Opfer auf die billigen Methoden von Diebstahl hereinfallen. Am besten wehren Sie sich gegen Hacker mit Wissen zu deren Tricks. Wir hoffen Ihnen mit unserem Post dabei geholfen zu haben.
Falls Sie mehr über SSL/TLS Zertifikate erfahren wollen und um Onlinesicherheit zu unterstützen, besuchen Sie unsere Website oder kontaktieren Sie uns direkt.
