Worauf jedes Jahr zur Weihnachtszeit wieder Verlass ist, ist der verstärkte Versand von Spam- und Phishing-Mails. Während diese vor Jahren oft noch reine Werbemails waren, nutzen Kriminelle heute ausgeklügelte, da lukrativere Methoden, um an Nutzerdaten und -zugänge zu kommen. Man kann getrost sagen, dass traditioneller Spam tot und schon seit Jahren keine ernste Gefahr mehr ist, auch wenn das stellenweise noch behauptet wird. Jeder E-Mail-Provider und Sicherheitsanbieter hat mittlerweile die 95 Prozent des Mailaufkommens weltweit, die Spam sind, im Griff. Anders verhält es sich bei gezielter gerichteten Angriffen, die deutlich professioneller durchgeführt werden. Denn ehrlich gesagt fällt niemand mehr auf "Sie haben gewonnen" oder schlecht übersetzte Kettenbrief-Mails herein. Wie gehen Kriminelle also heute vor?
So funktioniert cleveres E-Mail-Phishing
Spielen wir ein Szenario doch einmal aus Sicht des Angreifers durch. Zur Weihnachtszeit steigt der Shoppingumsatz sowohl Off- als auch Online und es gibt zahlreiche Produkte, die sich besonders gut verkaufen. Darunter zählen dieses Jahr vor allen Dingen Tablets, eBook-Reader und Spielekonsolen. Ein Angreifer macht sich also über diese Produkte schlau und bereitet beispieslweise für Amazon-Kunden eine fingierte Bestellbestätigungs-Mail vor. Diese ist von Amazons Mails nicht zu unterscheiden: Sie sieht exakt so aus und der Betreff stimmt genauso wie der Absender, denn dieser lässt sich mit einfachsten Mitteln fälschen. Recht genaue Informationen für diese täuschend echten Mails erhalten Angreifer beispielsweise mittels Social Media Netzwerken, Amazon Wunschzetteln und anderen öffentlichen Onlineprofilen, was als Social Engineering bezeichnet wird.
Der Angreifer versendet diese fingierte Mail mit nur einem Artikel, denn die Wahrscheinlichkeit ist hoch, dass der Empfänger eins der beliebten Produkte für die Familie bestellt hat. Das wiederholt er einige hundert bis tausend Mal. Mit heutigen Tools kann das relativ einfach und dennoch personalisiert als Massenversand durchgeführt werden, sogenanntes Longline-Phishing.
Die Mail enthält wie gewohnt zahlreiche Links, beispielsweise auf die persönliche Seite der Bestellvorgänge, zum Artikel selbst etc. Nur haben diese Links eine Besonderheit, denn sie leiten zunächst auf eine präparierte Webseite um. Hier findet dann der Drive-By-Download statt, quasi die Installation von Malware beim "Vorbeisurfen" im Hintergrund. Die Malware nutzt Zero-Day-Exploits aus, also tagesaktuelle und noch nicht geschlossene Sicherheitslücken weit verbreiteter Programme.
Ziel sind persönliche Daten und Bot-Netzwerke
Es folgt die Installation eines Trojaners, Droppers und das Gerät ist unter der Kontrolle des Angreifers. Was genau durchdacht und technisch clever umgesetzt ist, dauert bei der Ausführung nur so lange, wie sie zum Lesen genau dieses Satzes gebraucht haben, nämlich maximal fünf Sekunden. Die Umleitung erfolgt auf Amazon und außer dieser kurzen Verzögerung bemerkt selbst oft der Technik-affine Internetnutzer nichts.
Im Anschluss kann das infizierte Gerät als Bot für Hackerangriffe auf Unternehmen genutzt werden oder persönliche Daten werden zu Kontoabbuchungen genutzt. Das Vorgehen gilt übrigens nicht nur für Desktop-PCs sondern schon seit langem auch für Smartphones und Tablets. Dies liegt am rasanten Wachstum und dem teils mangelnden Sicherheitsbewusstsein der Anwender. Mobilgeräte sind technisch gesehen normale Computer, dessen sind sich viele Nutzer jedoch oft nicht bewusst. Der Einsatz eines Virenscanners auf dem Mobilgerät oder andere Sicherheitsmaßnahmen werden folglich oft gar nicht erst in Erwägung gezogen.
Das dargestellte Szenario ist übrigens keine Zukunftsmusik, sondern eine bereits eingesetzte Methode. In weit geringerer Stückzahl als Mail versendet, erregen die wenigen Phishing-Mails, der weltweit insgesamt 54 Milliarden unerwünscht erhaltenen E-Mails, täglich auch bei großen Sicherheitsunternehmen und -tools kaum Aufmerksamkeit, da diese oft nach heuristischen Mustern arbeiten, also gelistete und bereits bekannte Vorgehen abwehren. Bei den quasi gegen unendlich laufenden Permutationen von möglichen Angriffsvektoren sind solche Prüfungen nahezu wirkungslos, auch Sandboxing allein stößt hier irgendwann an seine Grenzen.
Vorsicht auch bei Social Media Accounts und Messengern
Achten Sie also bitte vor allen Dingen in der Weihnachtszeit aber auch sonst auf verdächtige Mails, beispielsweise von Zahl- oder Paketdiensten und nicht angeforderte Newsletter. Dieser Rat gilt übrigens sowohl für private als auch geschäftliche Zwecke. Denn besonders Entscheider in Unternehmen sind gerne Ziele von Phishing-Mails. In diesen Positionen sind für Angreifer nämlich besonders lukrative Informationen zu holen. Von Zugangspasswörtern und -zugriffen bis zur guten alten Betriebsspionage - auf globaler Ebene.
Schärfen Sie also Ihren Kunden ein, dass sie vorschtig sein sollen, wenn ihnen etwas bei ihren Mails oder Messengern komisch vorkommt. Und schützen Sie sie auch technisch ausreichend, damit nicht Malware, sondern richtige Geschenke unter dem Weihnachtsbaum liegen bleiben. (rw)