Phishers Phritze Phisht Phrishe Phishe …

Phishing

Phishing

Phrishe Phishe Phisht Phishers Phritze.
Beim Phishing geht es tatsächlich ums „fischen“. Man hält eine Angel mit einem verlockenden Köder ins grosse Internet und wartet, dass die Fische zubeissen.
Phishing gehört zum grossen Thema Social Engineering.

Ziel ist es die Gutgläubigkeit der Opfer auszunutzen und Passworte zu sammeln. Phishing wurde berühmt im Zusammenhang mit E-Mails.

Du erhältst eine E-Mail einer Firma, die du kennst (Amazon, Deutsche Bank, Volkswagen, Novatrend, ….). Die E-Mail sieht auf den ersten Blick echt aus und enthält einen Link auf eine gefälschte Website. Du wirst aufgefordert diesen Link zu klicken. Auf der Zielseite ist dann der meist gut nachgemachte Anmeldebereich der entsprechenden Firma zu sehen. Das Opfer gibt Benutzernamen und Passwort ein und zack … schon hat der Phisher einen Phisch an der Angel um das mal zu flapsig zu formulieren.

Wie erkenne ich eine Phishing E-Mail?

Die Erkennung solcher E-Mails ist oftmals nicht leicht, daher zunächst eine Geschichte, die vorletzte Woche bei uns passierte. Irgendjemand verschickte E-Mails im Namen von Novatrend. Roger Perren wies uns darauf hin. Danke dafür …

Glücklicherweise konnte die falsche Seite schnell gesperrt werden, so dass kein weiterer Missbrauch möglich war.

https://twitter.com/novatrend_ch/status/1164936890686066689

In diesem Fall war es eigentlich recht einfach, die E-Mail als Fälschung zu erkennen. Sie war wirklich nicht gut gemacht.

Leider fiel tatsächlich einer darauf rein, klickte auf einen Link in der E-Mail …

Phishing E-Mail im Namen von Novatrend

… und gab dann seinen Benutzernamen und sein Passwort auf der gefälschten Seite ein.

gefälschte Novatrend Anmeldeseite

Mit dem erbeuteten Benutzernamen und dem Passwort kann der Phisher beispielsweise deine E-Mail Accounts durchsuchen, deine Datenbanken und Dateien deiner Website löschen, neue Subdomains erstellen und einfach alles machen, was man mit so einem Hosting Account machen kann. Die möglichen Folgen werden einem so langsam klar, wenn man mal etwas länger drüber nachdenkt. Ein Hosting Account ist genauso wichtig wie ein Bankkonto und sollte entsprechend sensibel behandelt werden.

Aber wie erkennt man so eine Phishing E-Mail?

Es ist schwierig. Irgendetwas ist in Phishing E-Mails meistens anders als in normalen E-Mails. Der Phisher kann ja normalerweise nicht die echte Domain für die Links benutzen (novatrend.ch).

Die Links, auf die geklickt werden soll, sollten einen Bezug zur Firma haben. In unserem Fall wurde auf http://pfeifergmbh.com/seite/nova verwiesen. Das ist natürlich nicht Novatrend und man sieht es an der URL.

Je nach E-Mail Client kann man meistens mit der Maus über den Link fahren und dann die URL des Links sehen.

Linkvorschau in Apple Mail

Wenn du deine E-Mail über den Browser betrachtest, so funktioniert die Linkvorschau manchmal nicht. In so einem Fall hilft es, den Text auf dem Link zu markieren und die rechte Maustaste zu klicken. Im Kontextmenü gibt es dann immer einen Inspektor, in dem man den Quellcode der E-Mail sehen kann.

Beispiel einer E-Mail in einem Browser Interface

Quellcode der E-Mail

Eine E-Mail wird entweder im Text- oder im HTML Format verschickt und ist ähnlich einer Webseite aufgebaut. Je nach E-Mail Client es es möglich, weitere Webtechnologien zu verwenden, beispielsweise JavaScript. Die meisten E-Mail Programme bieten zudem die Möglichkeit den Quellcode einer E-Mail anzuzeigen. Inwieweit das hilfreich ist, hängt natürlich von den Fähigkeiten der Interpretation dieses Quellcodes ab, grundsätzlich ist es aber interessant, wenn man ernsthafte Zweifel hat.

E-Mail Clients auf Touch Devices

Auf dem Smartphone und dem Tablet ist es naturgemäss noch etwas komplizierter eine Linkvorschau zu erhalten, da es ja keine Maus gibt, mit der vorsichtig über den Link „fahren“ kann. Bei Apple iOS gibt es beispielsweise eine Vorschau mit URL wenn man mit dem Finger auf den Link klickt. Dort sieht man dann auch die URL.

Apple iOS – Mail App

Es gibt bei den meisten E-Mail Apps solche Möglichkeiten.

Absender der E-Mail stimmt nicht überein

Ausser dem schlechten Text war es in unserem Fall beispielsweise die Absender E-Mail Adresse anders. Normalerweise ist das bei uns immer die info@novatrend.ch. Auf jeden Fall aber immer eine E-Mail Adresse auf der Domain novatrend.ch.
Der Phisher benutzte die Adresse info@kundendomain.ch.

SSL/TLS Zertifikat

Wenn es eine echte Seite von Novatrend gewesen wäre, so sollte die auch ein Zertifikat haben, also ein grünes Schloss, das links neben der URL im Browser angezeigt wird.

Die Lösung des Problems ist Zwei-Faktor-Authentisierung

2FA steht für Zwei-Faktor-Authentisierung und die verhindert erfolgreich Phishing Versuche. Nach der Eingabe des Benutzermanens und des Passworts wird eine zusätzliche Nummer abgefragt, die man auf seinem Smartphone erzeugt. Selbst wenn der Phisher Benutzernamen und Passwort abgreifen kann, so kann er sich doch nicht einloggen, denn dafür fehlt im die korrekte Nummer vom Telefon. Wie das funkioniert, habe ich im Artikel Mehr Sicherheit für deinen Daten mit der Autry App beschrieben.

Fazit

So schlimm solche Phishing Versuche sind, so effektiv lassen sie sich auch durch eine zusätzliche Abfrage verhindern. Richte dir das bitte SOFORT ein 🙂

Links


tl;dr: Augen auf bei verdächtigen E-Mails!

Autor: hagengraf

consultant, author, trainer, solution finder, web architect, developer, open source lover, visionary, orator, the good old webmaster. Able to simplify!

Kommentar verfassen