goSecurity BLOG

«Bite konto daten eingeben» So kennen wir Phishing E-Mails schon seit einiger Zeit. Die Faktoren schlechte Rechtschreibung, verdächtige Absender und unpersönliche Anreden sind mittlerweile bekannt und überzeugen fast niemanden mehr. Jedoch ist auch bekannt, dass die Gauner des Internets uns meist einen Schritt voraus sind. Nicht nur beim Erschaffen von Viren, welche nicht erkannt werden, sondern auch von immer professionelleren Phishing-E-Mails. Plötzlich enthält ein E-Mail eine persönliche Anrede, fehlerfreies Deutsch und die persönliche Wohnadresse. Doch woher kommen all diese Informationen über Sie.

Das Zauberwort lautet «Data Breaches». Beinahe monatlich wird über eine Grossfirma berichtet, deren Daten gestohlen wurden. Diese Daten können bequem im Online Shop des Darknets gekauft und daraus ein sehr persönliches Phishing E-Mail erstellt werden. Gerne würde ich Ihnen nun sagen, wie Sie eine solche Nachricht zweifelsfrei erkennen. Doch eine allgemeine Regel gibt es nicht. Jedoch will ich Ihnen einige Anhaltspunkte mitgeben, mit denen ich 18 Jahre virenfrei gemailt habe.

Der Teufel Liegt im Detail

Der Absender

Wenn vom Chef eine E-Mail kommt, dann muss schnell reagiert werden. Es muss gleich schnell gehen, als ob er neben Ihnen stehen würde. Genau das macht sich ein Angreifer zunutze. Diese Autorität des Vorgesetzten kombiniert mit einem E-Mail, aus welchem Zeitdruck hervorgeht ist die perfekte Falle. Durch saubere Vorbereitung weiss der Hacker genau, wie die Hierarchie bei Ihnen in der Firma aussieht. Wie er das bewerkstelligt, können Sie in unserem Blog zum Thema Social Engineering nachlesen.

Nehmen wir an, Sie erhalten eine Nachricht Ihres Chefs. In unserem Beispiel wäre das Herr Max Mustermann von der Firma Login-Check. Die offizielle Webseite ist unter https://www.login-check.com erreichbar.

Erkennen Sie den Unterschied beider E-Mails? Nur schon ein Buchstabe ausgewechselt, bei unserem Beispiel sind es drei, und schon ist der Absender ein vollkommen Anderer. Deshalb ist genaues Hinschauen gefordert. Und auf den Smartphones ist es noch schwieriger den Unterschied zu erkennen. Dort wird auf den ersten Blick nur angezeigt, was der Angreifer Sie sehen lassen will.

Sie müssen zuerst noch auf «View details» klicken, um die genaue Adresse anzeigen zu lassen. Die Aufnahmen stammen von einem Smartphone mit Android Betriebssystem, jedoch ist es bei Apple dasselbe, einfach an einer anderen Stelle versteckt.

Der Inhalt

Der Inhalt ist ein wichtiges Indiz und auch hier spreche ich nicht von den offensichtlichen Dingen. Wenn der interne Ablauf für eine Zahlung klar geregelt ist und plötzlich Ihr Chef via E-Mail verlangt, eine enorme Summe zu überweisen, ist das verdächtig. Mit Details beziehe ich mich hier auf Formulierungen, Schreibstiel, Grussworte. Wenn zum Beispiel der Lieferant immer mit «Gruss Max» das E-Mail beendet und nun steht «Freundliche Grüsse Max». Das sind Details, welche von jemanden der noch nie E-Mails von dieser Person erhalten hat, nicht erkannt werden. Aber wenn man die andere Person kennt, sendet das Unterbewusstsein ein komisches Gefühl aus. Dieses erkennt die Veränderung nämlich schneller als unser Bewusstes sein. Und auf dieses komische Gefühl sollte gehört werden. Es bewahrt einem möglicherweise vor grossem Schaden.

Die Formatierung

In der Schule habe ich immer mit der Schrift «Cosmic Sans MS» geschrieben, weil ich es einfach die Beste finde. Meine Lehrer haben jeden Aufsatz erkannt, der von mir stammte. Das sind auch wieder Details, die eine Person oder ein Geschäft ausmachen. Es gibt wenig Gründe weshalb die Schriftart sich verändert. Wenn es aber geschieht, kommt automatisch wieder das Bauchgefühl hoch, auf welches gehört werden sollte.

Prüfen Sie

Technisch

Aber was, wenn man sich wirklich nicht sicher sein kann. Was, wenn alle oben erwähnten Tests positiv, im Sinne der Gültigkeit, ausfallen und in dem empfangenen E-Mail ein Link oder eine Datei vorhanden ist? Dazu gibt es einige Tricks, welche Sie auf technischer und sozialer Ebene anwenden können.

Anhänge sind immer ein sehr schwieriges Thema. Am sichersten wäre, wenn gar keine Dateien, welche Sie über ein E-Mail erhalten haben, geöffnet werden. Denn mittlerweile wurde schon in allen Arten von Dateien Viren und Trojaner entdeckt. Aber das ist im Geschäftlichen wie im Privaten keine akzeptable Lösung. Die Einschränkung ist zu gross. Somit muss von Dateityp zu Dateityp unterschieden werden, wie mit dieser umgegangen werden kann. Als relativ sicher gilt immer noch ein PDF. Aber auch hier gilt wieder: Der PDF-Reader muss aktuell sein. Auch in einfachen Bildern ist es sehr schwer Malware zu verstecken. Ganz klare Tabus sind Office Dateien mit Makros, welche mit den Endungen .xlsm,.xltm, .docm usw. erkannt werden können. Auch bei solchen ohne Makros ist aber immer noch Vorsicht geboten. Genaueres können Sie in unserem Blog zum Thema «Makro-Viren, totgeglaubte leben länger» nachlesen.

Am besten ist es, eine sichere Web-Datenablage einzurichten. Diese kann bei Projekten mit internen oder externen Partnern gebraucht werden. Damit kann auf den Austausch von Daten via E-Mail verzichtet werden.

Bei den Interviews, welche wir mit den Mitarbeitenden während eines Audits abhalten, zeigt sich oft die Tendenz, dass Links in E-Mails sehr kritisch betrachtet werden. In vielen Fällen werden solche E-Mails sofort gelöscht. Ich will Ihnen aber einen einfachen und schnellen Weg aufzeigen, wie Sie einen solchen kontrollieren können. Das Zauberwort hier heisst «Mouse-Over». Einfach mit der Maus über den Link fahren und wenige Sekunden warten, schon erscheint ein Popup-Fenster, in welchem die wirkliche Ziel-Adresse angezeigt wird.

Offizieller Link:

Nicht ganz offizieller Link:

In den meisten Anwendungen ist diese Funktion enthalten. Falls das nicht der Fall ist, gibt es immer noch die Möglichkeit, einen Rechtsklick auf den Link auszuführen und dann die Link-Adresse zu kopieren. Versuchen Sie es doch gerade selbst aus, bei den Links unter dem Abschnitt «Der Absender».

Auch hier ist uns die dunkle Seite des Netzes aber wieder einen Schritt voraus. In äusserst seltenen Fällen verwenden Hacker anderer Alphabete mit denselben Buchstaben. Somit sieht der Link im Popup-Fenster richtig aus, jedoch werden andere Zielserver angesprochen. Deshalb ist es am sichersten, wenn der Link manuell eingeben wird. Falls Sie mehr Details dazu wünschen, sind diese nachzulesen in unserem Blog zum Thema «Keine Kontrolle über Links».

Sozial

Eine persönliche Rückfrage ist immer noch die beste Methode, um die Echtheit einer E-Mail zu prüfen. Aber auch hier gibt es «do’s and dont’s». Niemals darf für die Überprüfung auf die E-Mail geantwortet werden. Denn wenn der Angreifer alles richtig gemacht hat, bekommt er diese Antwort und teilt Ihnen mit, dass alles in Ordnung ist. Am besten wird zum Telefon gegriffen. Falls es doch ein E-Mail sein muss, sollte ein neues erstellt werden und die E-Mail-Adresse des Empfängers manuell eingetragen werden.

Merken Sie sich,

• dass Sie lieber einmal zuviel nachfragen. Wer schon einmal eine Verschlüsslungs-Malware auf dem Computer hatte, weiss wie zeitintensiv es ist, diese wieder zu entfernen.
• dass Sie E-Mail-Adressen oder Links von Hand eingeben. Denn beim Kopieren kommen Sachen mit, welche nicht gewünscht sind.
• dass Ihr Unterbewusstsein schon viel mitkriegt. Hören Sie auf Ihr Bauchgefühl, wenn es sich beim Lesen einer E-Mail meldet.
• dass es auf die Details ankommt. Lesen Sie immer die komplette E-Mail-Adresse.

Quellen

[1] BSI, Beispiele Phishing [Stand: 2018.11.02]

https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/BeispielePhishingAngriffe/beispielephishingangriffe_node.html

[2] Beobachter, Phishing immer raffinierter [Stand: 2018.11.02]

https://www.beobachter.ch/digital/sicherheit/phishing-immer-raffiniertere-betrugsversuche

[3] Melani, Phishing-Attacken auf Online Datenaustausch/Kollaborationsplattformen [Stand: 2018.11.02]

https://www.melani.admin.ch/melani/de/home/dokumentation/newsletter/phishing_online_datenaustausch_kollaborationsplattformen.html