Phishing-E-Mail: Wie einfach ist der Betrugsversuch?

Fachbeitrag

Phishing ist immer noch ein weit verbreiteter Weg, um in Netzwerke einzudringen. Denn es ist auch einer der einfachsten Wege. Wie trivial so ein Angriff aufgebaut ist und warum es dafür kein besonderes Know-How benötigt, zeigt der folgende Artikel.

Der Angreifer fischt meist nicht im Trüben

Klassische Spam-Mails sind jedem bekannt. Sie winken mit einem Geldsegen, einem super Angebot, oder einem unerwarteten Gewinn. Meist sind diese eindeutig zu erkennen und allein der Absender klingt dubios, wenn man dessen Namen denn überhaupt aussprechen kann. Beispielsweise habe ich Dienstag eine Mail von „0pxfkt9bx……@gercep-cair100.net“ bekommen, welcher mich freundlicherweise darauf hinwies, mein Paypal-Konto zu verifizieren.

Allerdings werden Phishing-Kampagnen zunehmend besser. Das Ziel wird im Vorfeld sorgfältig ausgesucht, der geeignete „Absender“ ermittelt und ein passendes Thema gewählt. So wirken die Mitteilungen, die am Ende das Opfer erreichen, auf den ersten Blick oft täuschend echt.

Was es konkret braucht

Zur guten Vorbereitung eines Angriffs, insbesondere bei Spear-Phishing, gehört die Auswahl des Opfers bzw. des Unternehmens. Weiterhin muss ein Mailserver vorhanden sein, welcher die schädlichen Mails versendet. Die Empfänger-Adressen sind vom Angreifer zu ermitteln. Ebenfalls muss eine Infrastruktur existieren, die z.B. die Zugangsdaten des Nutzers in Empfang nehmen kann. 

Der vermeintliche interne Absender

Das wichtigste Element bei einer Phishing-Attacke ist das Vertrauen des Opfers zu gewinnen. Hier ist ein vertrauenswürdiger Absender, am besten ein Kollege aus dem eigenen Unternehmen, meist das Mittel der Wahl. Ein CEO-Fraud z.B. funktioniert deshalb so oft, weil sich der Angreifer als Geschäftsführer gegenüber der Buchhaltung ausgibt.

Den angezeigten Absendernamen zu fälschen, ist sehr einfach. Dieser wird z.B. bei Outlook, Thunderbird und anderen Mailprogrammen direkt beim Hinzufügen des Postfachs angegeben. Sie können dort im Grunde eintragen, was Sie möchten. Schwieriger wird es die E-Mail-Adresse des Absenders zu fälschen. Ein richtig konfigurierter Mailserver lehnt Mails ab, die als Absender die eigene Firmendomain haben, aber von extern kommen.

Ein Beispiel: Die Firma „security4free“ hat die Domain „security4free.de“. Die Mitarbeiter haben entsprechend eine Adresse „<name>@security4free.de“. Der Mailserver wird eine Mail, die aus dem Internet und unter Angabe dieses Absenders kommt, ablehnen.

Was kann der Angreifer also machen, um dennoch den Anschein zu erwecken, er sei ein Kollege? In der Regel wir eine Domain registriert, die so ähnlich aussieht. Diese kann dann z.B. einen Buchstabendreher enthalten oder von einer anderen Top-Level-Domain stammen. In unserem Beispiel war die Top-Level-Domain „.de“, warum nicht aber „security4free.net“ oder „security4free.eu“ registrieren?

Kleiner Tipp: Kommt die E-Mail wirklich von der eigenen Firmendomain, zeigt Outlook nur den Absendernamen an, nicht die E-Mail-Adresse.

Vom Versenden bis zum Empfang

Nachdem der Name gewählt ist, muss nun eine entsprechende Mail erzeugt und versendet werden. Um möglichst nahe an dem Firmendesign zu bleiben, muss der Angreifer das E-Mail-Design zuvor auskundschaften. Viele Unternehmen haben einen „info@…“-Adresse. Es genügt hier eine kleine Anfrage zu stellen. Als Antwort erhält der Angreifer dann das Aussehen und die Signatur der Unternehmensmails und kann damit eine passende E-Mail generieren.

Anschließend kann der Angreifer entweder einen Mailserver bei einem Cloudprovider installieren, oder einen der vielen „Fakemailer“ im Internet nutzen, um seine Mails zu versenden. Hier steht und fällt der Versand mit der Vertrauenswürdigkeit des Mailservers. Wird diesem nicht vertraut, landen die E-Mails im Spamordner des Opfers. Und auch hier ein kleiner Hinweis: Einen (kurzlebigen) Mailserver aufzusetzen verlangt keine höheren Kenntnisse, sondern nur Google und Copy & Paste. Oder man mietet sich einfach ein Postfach an.

Aber woher kennen die Angreifer denn ihre Ziele?

Wir fassen bis hier kurz zusammen: Wir haben eine Absenderadresse, einen Absendernamen, einen Mailserver und eine Mailvorlage. Das Unternehmen wurde vorher ausgewählt, nun müssen aber die „Richtigen“ angeschrieben werden.

Hierfür eigenen sich z.B. Xing oder LinkedIn. In wenigen Augenblicken findet der Angreifer Mitarbeiter aus der Buchhaltung oder der Führungsetage. Sofern dort nicht bereits die Kontaktinformationen hinterlegt sind, sind Google, Bing und andere Suchmaschinen hier gerne behilflich. Diese indizieren für jede Domain die bekannten E-Mail-Adressen. Wir können also Google befragen, welche E-Mail-Adressen er zu der Domain „security4free.de“ kennt.

Ist keine Quelle auszumachen, ist es auch schlicht möglich, durch Ausprobieren die richtige E-Mail-Adresse zu ermitteln. Typische Konstellationen sind <vorname.nachname@> oder <[1. Buchstabe Vorname].nachname@> oder ähnliches. Der Angreifer hat hier nicht viel zu befürchten. Eine unzustellbare Mail wird vom Server abgelehnt – das ist nicht ungewöhnlich. Der IT-Abteilung fällt das in der Regel auch nicht auf.

Whois – Wer steckt dahinter?

Die beste Spur einem Angreifer auf die Schliche zu kommen ist die Registrierung der Domain. Grundsätzlich muss man dort auch persönliche Daten angeben. Mittels einer Whois-Abfrage konnte man so Daten des Registrierenden erhalten. Aber das ist spätestens seit der DSGVO nicht mehr so einfach möglich.

Vorher waren Name, Anschrift und Kontaktdaten desjenigen, der Inhaber der Domain war, für jeden abrufbar. Im Internet existieren zudem Dienstleister, die anonyme Registrierungen für Dritte vornehmen bzw. anstelle des eigentlichen Inhabers ihre Daten in das Kontaktfeld der Domain eintragen. Der Firmensitz dieser Dienstleister ist dann z.B. in Panama.

Warum fischt man bei den Ermittlungen so oft im Trüben?

Eigentlich sollten doch eine Menge Spuren zum Täter führen. Jedoch sind die IT-Komponenten oft nur temporär im Internet, sodass eine Verfolgung nur während eines kurzen Zeitraums möglich ist. Die verwendeten Domains für den Versand der schädlichen E-Mails und möglicher, weiterer Server sind geschützt. Sämtliche Komponenten sind meisten im nicht-europäischen Ausland. Der Zugriff der Ermittlungsbehörden auf Daten und Informationen von Systemen, die in der Alibaba-Cloud liegen oder in den USA registriert sind, hält sich in Grenzen. Im Speziellen, wenn nur wenig Zeit bleibt, um die Ermittlungen durchzuführen.

Ob der Angreifer nun einen Link zu einem Webserver versendet hat, um Zugangsdaten abzugreifen oder eine Überweisung durch das Phishing auslösen konnte: Das Ergebnis ist meist dasselbe. Der Schaden ist angerichtet, der Täter nicht zu ermitteln.

Die gute Nachricht ist, der wirksamste Schutz gegen Phishing ist ebenso trivial wie der Angriff: Regelmäßige Schulungen der Mitarbeiter. Hier bieten sich die klassischen Formate, zunehmende Gamifikation, oder auch Buchung von Phishing Kampagnen gegen das eigene Unternehmen an. Diese können die Aufmerksamkeit langfristig schärfen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Forensik

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.