Dienstag, 15. Januar 2013

Angeln im digitalen Teich: Vorsicht vor Passwort-Ködern

Thema:

Internet, Internetkriminalität: Was ist Phishing und was kann man gegen Phishing tun?

Bankraub zahlt sich nicht mehr aus, überall hängen Kameras herum, Bank-Filialen verzichten auf Bar-Auszahlung und an so manchem Bankschalter können nur noch Überweisungsträger geklaut werden. Da ist es um einiges lukrativer und anonymer im Internet Beute zu machen. Zurzeit werden wieder vermehrt E-Mails verschickt, mit deren Hilfe Betrüger die Kundenkonten und Zugangsdaten von E-Mail-Diensten, Internetbezahldiensten, Banken, Shops, Auktionsportalen oder sozialen Netzwerken ausspähen wollen und können, wenn man darauf hereinfällt. Mit „Phishing“ werden allein in Deutschland jährlich zweistellige Millionenbeträge erbeutet.

Die Anspielung im Einleitungstext soll natürlich nicht darüber hinwegtäuschen, dass immer noch Banküberfälle begangen werden, die nicht nur wirtschaftliche, sondern bei Opfern vor allem psychische Schäden verursachen. Englische Wissenschaftler wollen allerdings tatsächlich herausgefunden haben, dass Bankräuber wohl nur im Niedriglohnsektor anzusiedeln sind. Daher ist es auch nicht verwunderlich, dass die Online-Kriminalität stetig zunimmt. Für fortgeschrittene Internetnutzer eigentlich ein alter Hut, so ist „Phishing“ dennoch immer wieder aktuell, denn Betrüger lernen schnell aus Fehlern, optimieren und verfeinern ihre Methoden, um immer wieder eine neue Surfer-Generation über den Tisch ziehen zu können. Einige aktuelle Betrugsstrategien sind sogar derart ausgeklügelt und komplex, so dass die meisten allgemeingültigen Gegenmaßnahmen wirkungslos erscheinen. Beachtet man aber einige wichtige Grundregeln, sind „Phishing-Mails“ keine Gefahr mehr.

Die Zeiten, in dänen „Fisching-Mailz“ auf den ersden Blik alz seuche entlarft wärden konten unt über die mann härzlich schmunseln konte, sint wol forbei, denn Rechtschreibung und Kramatick scheinen sich auch bei Spammern durchgesezt zu haben.

Wie funktioniert Phishing?
Beim klassischen Phishing werden massenhaft E-Mails verschickt, die aufgrund ihrer Aufmachung und Gestaltung rein äußerlich offiziellen Benachrichtigungen seriöser und populärer Unternehmen gleichen und den Nutzer dazu aufrufen, sensible Kundendaten zu bestätigen oder zu ändern. Besonders dreist ist oft die Begründung für die Bitte personenbezogenen Daten zu aktualisieren, denn diese bezieht sich häufig auf angebliche Sicherheitsvorkehrungen gegen Spammer oder Hacker. Durch einen manipulierten Link im Mailtext gelangt der Kunde dann auf eine Internetseite, die rein äußerlich von der realen Internetpräsenz des jeweiligen Anbieters mehr oder weniger nicht zu unterscheiden ist. Dort angekommen erwartet das Opfer ein Login- oder Bestätigungs-Formular, in welches die erforderlichen Daten eingegeben werden können. Hat man erst einmal seinen Benutzernamen, das dazugehörige Passwort, eine PIN- oder sogar mehrere TAN-Nummern seiner Bank eingetragen und bestätigt, ist der Identitätsdiebstahl geglückt. Da Banken ihre Kunden aber niemals per E-Mail dazu auffordern persönliche Daten über eine Internetseite zu verifizieren, kann man derartige Nachrichten getrost und unmittelbar löschen. Neben der Abfrage von Kundendaten wird Phishing ebenfalls dazu genutzt, Schadsoftware in Form von Trojanern und Würmern auf dem Computer des Endanwenders zu installieren. Dafür reicht dann entweder lediglich ein Klick auf einen Link in einer Phishing-Mail oder das öffnen und ausführen eines Anhangs.

Nach Angaben von Sicherheitsexperten ist immer noch jeder fünfte Bundesbürger ohne funktionstüchtigen Virenschutz im World Wide Web unterwegs. Unabhängig vom Betriebssystem und entgegen der vorherrschenden Meinung vieler Mac OS oder Linux Nutzer, kann theoretisch jeder Rechner mit Schädlingen infiziert werden. Allerdings stimmt auch, dass Unix- und Unix-ähnliche Systeme nur sehr selten Ziel von Viren und Würmern sind. Windows-Nutzer sollten allerdings neben der integrierten Firewall grundsätzlich eine Anti-Virus-Software nutzen und stets aktualisieren.

Alarmsignal: Absenderadresse
Landet eine E-Mail mit einer kryptischen Absenderadresse (z.B.: xyz@mail.irgendwas) im Postfach, die dazu auffordert bei einem Online-Dienstleister die eigenen Benutzerdaten zu ändern oder zu überprüfen, kann man davon ausgehen, dass es sich dabei um einen klassischen Passwort-Köder handelt. Manchmal reicht das aber nicht aus eine Phishing-Mail zu erkennen, weil die Absenderadresse oft nur minimal von der eines realen Anbieters abweicht und beispielsweise nur ein Buchstabe hinzugefügt wurde. Im folgenden Beispiel enthält die Absenderadresse beispielsweise lediglich ein drittes „o“ und lautet nicht ...@facebook.com sondern ...@faceboook.com. Es gibt auch ein Szenario bei dem man an der Absenderadresse überhaupt nicht erkennen kann, ob es sich um eine Phishing-Mail handelt. Wurde nämlich beispielsweise das Benutzerkonto eines Freundes oder einer Freundin bei Facebook oder Twitter gehackt, ist es mithilfe der erbeuteten Absenderadresse ein leichtes, Spammails an alle in der Freundschaftsliste aufgeführten Nutzer zu verschicken.

Alarmsignal: Betreffzeile
Auch die Betreffzeile liefert in den meisten Fällen weitere eindeutige Hinweise, so kommt es oft vor, dass diese in englischer Sprache verfasst ist, obwohl mittlerweile international operierende Unternehmen wie Facebook, Ebay & CO ihre E-Mails bzw. Newsletter in der jeweiligen Landessprache formulieren. Rechtschreib- oder Grammatikfehler sind dagegen selten geworden, sind aber dennoch ein weiterer Indikator für eine Phishing-Mail. Ist die Betreffzeile nicht einmal ausgefüllt, kann man sich sicher sein, Spam erhalten zu haben.

Alarmsignal: Anrede
Die meisten Unternehmen verschicken E-Mails mit einer persönlichen Anrede, die aus dem Vor- und Nachnamen besteht. Weil Spammer allerdings in der Lage sind diese Anrede aus einer entsprechenden E-Mail Adresse zu extrahieren, ist auch dieser Hinweis nur einer von vielen im Kampf gegen „Phisher“.

Alarmsignal: Link
Abgesehen davon, dass man niemals eine Internetseite über einen Link in einer E-Mail aufrufen sollte, ist der obligatorische Link zu einer Betrugsseite meist sofort zu erkennen. Da aber manipulierte Links im Mailtext nicht mit der entsprechenden vollständigen URL (http://www.manipulierte-url.tld) dargestellt, sondern entweder mithilfe einer grafischen Schaltfläche oder einem Textlink verschleiert werden, sollte man sich E-Mails stets im reinen Text-Format ansehen oder zur Prüfung des Verweises mit dem Cursor darüber fahren und sich die URL in der Statusleiste des Browsers anschauen. In der Regel befindet sich die Statusleiste am unteren Rand des Browserfensters. Der verwendete Domainname des Links liefert stets einen ersten Hinweis auf eine mögliche Betrugsseite, denn weil Domainnamen niemals doppelt vergeben werden, weicht dieser meist von der Originaldomain des imitierten Anbieters ab. Allerdings muss man, wie bei der Absenderadresse schon beschrieben, genau hinschauen, um die Namensabweichung zu erkennen. Dies betrifft eine besonders perfide Methode zur Verschleierung einer Internetadresse, denn es ist durch „URL-Spoofing“ möglich, eine Korrekte URL durch das anhängen einer IP-Adresse zu manipulieren. So führt die URL „www.meine-bank.de@111.000.1111.000“ nicht zur Internetseite der entsprechenden Bank, sondern über eine Umleitung zu einer Betrugsseite. Außerdem werden Internetseiten von seriösen Anbietern, auf denen man zur Eingabe von sensiblen Daten aufgefordert wird, in der Regel mithilfe der SSL-Verschlüsselung gesichert, wobei die entsprechende Internetadresse (URL) mit „https://“ und nicht mit „http://“ beginnt. Aktuelle Browser signalisieren dies auch mit einem Schlüssel-Symbol oder einer kleinen Grafik in Form eines Bügelschlosses in der Adressleiste. Allerdings kann es nach dem Aufruf der Betrugsseite bereits zu Spät sein, da dort eventuell bereits ein „Wurm“ lauert, der sich postwendend in das Betriebssystem bohrt.


Welche Folgen kann Phishing haben?
Im schlimmsten Fall können durch den Missbrauch persönlicher Daten erhebliche finanzielle Schäden entstehen, die in vielen Fällen ebenso eine Rufschädigung nach sich ziehen. Werden z.B. mithilfe einer erbeuteten Identität gestohlene Waren bei Auktionshäusern oder Internetshops in Umlauf gebracht, können Anwaltskosten für die Aufklärung und mögliche Rechtsstreitigkeiten entstehen, die sich schnell aufsummieren. Haben sich Diebe die Zugangsdaten zu einem Online-Banking Konto verschafft, ist das Kind zwar noch nicht gleich in den Brunnen gefallen, da man ja eine ganz bestimmte TAN-Nummer für eine Überweisung benötigt. Hat man allerdings einige TAN-Nummen auf der Betrugsseite eingegeben, sollte man sich nicht über ein leeres Konto wundern. Gekaperte Accounts (Benutzerkonten) in sozialen Netzwerken werden außerdem zum massenhaften verschicken von Spammails und weiteren Phishing-Mails genutzt, wobei die Kontaktlisten des Opfers zum Einsatz kommen, um Rundmails an sämtliche Freunde zu verschicken. Der Trick dabei ist die Übernahme der Absenderadresse, so dass eine auf diese Weise verschickte Phishing-Mail schwerer als solche zu erkennen ist. Der neueste Trend übrigens ist das stehlen von Zugangsdaten für „Clouds“ (Cloud-Computing) oder Online-Datenspeicher (Online-Datensicherung), denn dort legen leider viele Nutzer aus Bequemlichkeit unverschlüsselte personen- oder sogar unternehmensbezogene Daten ab, über die gleich mehrere Benutzerkonten bei verschiedenen Internet-Diensten gehackt werden können. Die Liste der möglichen Folgen lässt sich nun fast unendlich weiter führen, so dass dies den Rahmen des Artikels sprengen würde. Eines ist aber hoffentlich deutlich geworden. Identitätsdiebstahl war noch nie einfacher und lukrativer als Heute.

Die folgenden Links beziehen sich auf Artikel, die einige Phishing-Strategien aufzeigen. Wenn auch nicht brandneu, so belegen sie dennoch die immer noch aktuellen, vielseitigen Machenschaften der Täter.


Maßnahmen gegen digitalen Raub und Zerstörung
Die folgenden Hinweise beziehen sich nicht nur auf Phishing-Attacken, sondern bilden auch die Basis für allgemeingültige Schutzmaßnahmen in Bezug auf die Kommunikation per E-Mail, denn wie bereits beschrieben, können sich in elektronischer Post ebenso Trojaner, Viren und Würmer in mannigfaltiger Form verbergen.
  • Das Betriebssystem sollte, durch die von dem jeweiligen Hersteller zur Verfügung gestellten Updates, immer auf den neusten Stand gebracht werden.
  • Eine funktionstüchtige und stets aktualisierte Firewall ist besonders bei Windows Betriebssystemen Pflicht. Bei Mac OS X, Windows XP SP2, Windows Vista, Win7 und Win8 ist diese aber bereits im Betriebssystem integriert. Auf Linux-Systemen wird die Firewall nur benötigt, sobald entsprechende Serversoftware installiert wird, die Dienste im lokalen Netzwerk anbietet und die über das Internet nicht erreichbar sein sollen. Wird der Internetzugang über einen Router bereitgestellt, ist ein zusätzlicher Schutz gewährleistet, da in heutigen Geräten in der Regel bereits eine Firewall integriert ist.
  • Bei Windows Betriebssystemen ist ein funktionstüchtiger und stets aktualisierter Virenscanner unabdingbar. Bei Mac OS X und Linux ist dies zurzeit nicht unbedingt nötig. Allerdings können ohne Schutzmaßnahmen dann z.B. keine Makroviren erkannt werden, die sich beispielsweise in Word-Dokumenten verstecken können und die man als Apple oder Linux Nutzer an andere weiterleitet ohne es zu wissen. Bei Windows Betriebssystemen sollten unbedingt die Benutzer- und Dateirechte beachtet und eingeschränkte Benutzerkonten ohne Administrationsrechte eingerichtet werden. Bei Mac OS X und Linux Betriebssystemen stehen bereits bei der Erstinstallation automatisch entsprechende Schutzmaßnahmen zur Verfügung.
  • E-Mails sollte man sich nur im reinen Textformat (Nur-Text-Format, Rein Text = plain-text) anzeigen lassen und niemals im HTML-Format. Dies kann bei allen gängigen Mail-Programmen oder beim Abruf über den Browser bei Webmail-Diensten voreingestellt werden. Auf diese Weise kann man erstens verhindern, dass schadhafter Code einer HTML formatierten Nachricht in Form von Java, Java-Script oder aus dem Internet nachgeladener Grafiken, Flash-Anwendungen etc. ausgeführt wird und zweitens kann man eine E-Mail so genauer analysieren, um beispielsweise irreführende Links zu dubiosen Internetseiten sichtbar zu machen.
  • Ist bei einem E-Mail-Client eine Vorschau für die Nachrichten im Postfach möglich und in Funktion, sollte diese deaktiviert werden, denn auch über die Vorschau können sich Schädlinge aus HTML-E-Mails auf dem PC verbreiten.
  • Dateianhänge sollten nur nach Absprache mit dem Versender gespeichert, geöffnet oder gestartet werden. Ein kurzer Telefonanruf beim Geschäftspartner oder Kunden kann also nicht Schaden. Gemeint sind wirklich alle Dateien, also neben den bekanntesten wie *.pdf, *.doc oder *.docx ebenso Media-Dateien wie *.avi, *.mov, *.mpg, *.asf etc. Ausführbare Dateien wie beispielsweise *.exe, *.bat, *.reg oder *.ini Dateien gehören unter Windows zu den potenziell gefährlichsten Einbruchs- und Zerstörungswerkzeugen. Betroffen sind genauso Dateikompressionsformate *.zip oder *.rar Dateien, die zum verpacken von mehreren Dateien verwendet werden.
  • In einem Unternehmen und sei es noch so klein, sollten unbedingt professionelle Sicherheitsrichtlinien erstellt werden, die vor allem den Einsatz privater nicht autorisierter internetfähiger Geräte innerhalb der Netzwerkinfrastruktur verbietet oder zumindest einschränkt. Auch die regelmäßige Schulung der eigenen Mitarbeiter im Bereich Medienkompetenz ist in der heutigen Zeit ein unbedingtes Muss und als Weiterbildungsmaßnahme von großem Vorteil für alle Beteiligten.
  • Der sicherste Weg wichtige geschäftliche Nachrichten auszutauschen, ist die Verschlüsselung von E-Mails mittels Signatur oder Passwort. Dies ist zwar abhängig von der Art der Verschlüsselung mit mehr oder weniger zusätzlichem Aufwand verbunden, kompensiert aber die Nachteile elektronischer Post. Ohne Panik verbreiten zu wollen, ist eine Standard E-Mail nämlich nichts anderes als eine Postkarte, die von jedem Briefträger gelesen werden kann.



Für weiterführende Hinweise kann man die Internetpräsenz vom „Bundesamt für Sicherheit in der Informationstechnik“ sehr empfehlen. Dort sind neben Informationen für Privatanwender ebenso unternehmensbezogene Themen bezüglich Internetsicherheit zu finden. Der folgende Link führt direkt zum Themenbereich E-Mail.


Fazit: Der bewusste Umgang mit E-Mails fördert die Sicherheit. Also aufgepasst und ruhig mehrmals hinschauen was da so alles im Posteingang landet. Es gibt zwar auch spezielle Software für das Aufspüren von Phishing-Mails aber in den meisten Anti-Virus-Programmen und E-Mail-Clients sind bereits Spam- und Phishing-Mail Filter integriert. Es rutscht dann zwar immer noch die ein oder andere Spam- oder Phishing-Mail daran vorbei, aber dies sollte nun hoffentlich kein Problem mehr sein.

Keine Kommentare :

Kommentar veröffentlichen

Um die Kommentare dem jeweiligen Artikel zuordnen zu können und um Mißbrauch zu verhindern, speichert diese Webseite - sofern nicht anonym abgegeben - neben dem Kommentar die IP-Adresse und dem Zeitstempel auch Name und E-Mail des Kommentierenden. Wir weisen darauf hin, dass die eingegebenen Formulardaten an Google übermittelt werden. Mehr Infos dazu finden Sie in der Datenschutzerklärung von simonMEDIEN und in der Datenschutzerklärung von Google.
Da Kommentare aus datenschutzrechtlichen Gründen auch Anonym abgegeben werden können, erscheinen diese erst nach der Freigabe durch die Redaktion. Wir bitten Sie daher um Verständnis.
Mit der Nutzung der Kommentarfunktion stimmen Sie außerdem den Regeln für die Abgabe von Kommentaren zu, die im Impressum unter "6. Netiquette für Kommentare" nachzulesen sind.

simonMEDIEN
Carsten Simon, Mediengestaltung
Tiessenstraße 16
34134 Kassel

Telefon: +49 (0)561 43460
E-Mail: info@simonmedien.com / .de / .eu
Internet: www.simonmedien.com/ .de / .eu

© 2013- simonmedien. All rights reserved
Blog Style by simonMEDIEN, Powered by Blogger
Diese Webseite verwendet Cookies. Mit der weiteren Nutzung erklären Sie sich damit einverstanden. Über Ihren Browser können Sie das Setzen von Cookies jederzeit deaktivieren. Das kann jedoch die Funktionen der Webseite einschränken. Weitere Informationen finden Sie in der Datenschutzerklärung von simonMEDIEN.
Hier gelangen Sie zur Datenschutzerklärung von Google Inc. („Google“).
OK