Phishing: Weit mehr als nur im Trüben fischen

Phishing setzt sich aus den beiden Wörtern „password" und „fishing" zusammen und beschreibt verschiedene Methoden, mit denen ein Angreifer klassischerweise an die Passwörter seiner Opfer kommen kann. Je nach Passwort und Aufbau des Accounts hat der Hacker dann beinahe uneingeschränkte Möglichkeiten im Namen des Geschädigten zu agieren, Bestellungen zu tätigen, Mails mitzulesen oder Passwörter zu ändern und damit den Account vollständig zu übernehmen. In der Praxis zeigt sich aber, dass auch Kreditkarteninformationen oder Bankdaten beliebte Ziele von Phishing-Angriffen sind.

Das Netz auswerfen

Die meisten Phishing-Angriffe folgen dem gleichen Muster: Zuerst muss das Netz ausgeworfen werden. Unser ohnehin schon weltumspannendes World-Wide-Web ist dafür im übertragenen Sinne der Fischgrund. In dieser Analogie gleicht das Netz beispielsweise einer versendeten E-Mail, mit dem Betreff „ACHTUNG: Ihr Bankkonto wurde gesperrt". Wir, die Fische, schwimmen dann sogleich auf das Netz zu und öffnen die E-Mail. Meist enthält diese die Aufforderung, sich über einen mitgesendeten Link an besagtem Konto anzumelden und die ungewollte Buchung zurück zu holen oder den Account durch eine Anmeldung wieder zu entsperren. Der Fantasie des Angreifers sind an dieser Stelle keine Grenzen gesetzt. Klicken wir nun auf den Link, den der Angreifer freundlicherweise mitgesendet hat, werden wir auf eine Login Seite geleitet die meist verblüffend ähnlich aussieht, wie wir das erwarten. Wenn wir dort aber unsere Logindaten eintragen, um uns einzuloggen, werden diese an den Angreifer gesendet, welcher diese abspeichert. Ab diesem Zeitpunkt sind wir in dem Netz gefangen. Besonders gute Phishing-Seiten senden die Logindaten dann ebenfalls an die korrekte Seite weiter und das Opfer wird bei dem eigentlichen Dienst eingeloggt. Dadurch fällt es meist nicht auf, dass die Logindaten auf dem Weg zu der eigentlichen Webseite abgegriffen wurden.

Mit dem Speer wird's genauer

Seit einigen Jahren haben die Angreifer bemerkt, dass das Fischen mit großen Netzen (allgemein formulierte E-Mails, die an gekaufte E-Mail-Adressen versendet werden) zwar ein ertragreiches Geschäft sind aber man die richtig großen Fische besser mit dem Speer fängt. Daraus hat sich das „Spear-Phising" entwickelt. Der Angreifer versucht dabei nicht mehr möglichst viele Opfer mit einer Mail zu fangen, sondern konzentriert sich auf genau ein Ziel. Das kann zum Beispiel ein Buchhalter sein, eine Firma oder eine Person aus dem öffentlichen Leben. Die Mail wird dann auf genau diese eine Person oder den kleinen Kreis abgestimmt, das heißt das Opfer wird persönlich mit dem Namen angesprochen und der Inhalt bezieht sich evtl. auf ein real existierendes Konto oder Account. In besonders „guten" Mails kann aber auch auf einen vorher tatsächlich stattgefundenen Mailverlauf referenziert werden. Der Rest des Angriffs bleibt auch hier gleich: Link in der Mail, Weiterleitung auf eine vermeintlich korrekte Webseite und abfangen der Login Daten.

Wie ein Fisch auf dem Trockenen

Die Risiken, die durch Phishing entstehen sind erstmal recht offensichtlich: Der Angreifer kommt in den Besitz der Logindaten seiner Opfer und hat damit die Kontrolle über deren Account.
Doch die Risiken sind häufig weit größer als das. Denn verwendet der Angegriffene für mehrere Dienste das gleiche Passwort, muss der Hacker nur die (ebenfalls erhaltene) Mail-Adresse mit dem Passwort bei den gängigsten Seiten probieren und erhält im Zweifelsfall Zugriff auf eine Vielzahl von Accounts. Wenn darunter auch das Mailkonto ist kann der Angreifer, ohne dass das Opfer etwas davon mitbekommt, auf einen Schlag alle Passwörter ändern und hat die volle Kontrolle über alle Accounts. Ohne das Mailkonto kann der Angegriffene nicht mal die „Passwort vergessen" Funktion nutzen. Das kann im schlimmsten Fall zu einem kompletten Identitätsdiebstahl führen.

Genau hinsehen!

Ein effektives Mittel gegen Phishing, welches sich in der Praxis immer weiter durchsetzt ist eine sogenannte „Zwei-Faktor-Authentifizierung". Dabei wird neben dem Passwort noch eine weitere Information beim Login in den Account gefordert, meist ein Token bestehend aus ca. sechs Zahlen, die sich in regelmäßigen Abständen (etabliert haben sich hier 10 – 60 sek.) ändern. Dieser Token wird auf einem anderen Gerät (dem Handy oder einer separaten Hardware) generiert und dient damit als zweiter Faktor, der den Besitz des Geräts beweist. (neben dem ersten Faktor – der Kenntnis des Passworts)

Um eine erhaltene Mail als Phishing-Mail zu identifizieren hilft eines am meisten: genaues Hinsehen und eine gesunde Skepsis. Nur weil eine E-Mail kommt, die behauptet der Account wäre gesperrt, sollte man nicht auf dubiose Links klicken oder sich unter Druck gesetzt fühlen. Meist genügt der eigenständige Aufruf der Webseite über den Browser (und nicht über den Link in der Mail) und der Login mit den bekannten Zugangsdaten, um fest zu stellen: alles gut – der Account ist nicht gesperrt. Wenn es zum Beispiel um ein Bankkonto geht kann auch der Kundenberater der Bank Klarheit schaffen. Außerdem sollte man immer kontrollieren, von welchem E-Mail Account die Nachricht gesendet wurde – gerade bei „Massen-Spam" verschleiern die Angreifer den Absender meist nicht umfassend, so dass die Absenderadresse die zum Beispiel Outlook anzeigt schon vermuten lässt, dass es sich nicht um eine seriöse Mail handelt, denn Sparkasse@web.de ist vermutlich nicht die korrekte Mail-Adresse der eigenen Bank.

Und wenn selbst diese Adresse gut gefälscht wurde sollte man (natürlich vor dem Klicken, zum Beispiel durch das Fahren mit der Maus über den Link) kontrollieren auf welche Webseite der Link verweist. Besteht die Domain aus seltsamen Zeichenketten ist die Mail meist gefälscht. 

Zusammenfassung

Bei dem Mailaufkommen in der heutigen Zeit, nutzen die Angreifer auch dieses Medium, um ihre Opfer mit meist unheilvollen Betreffzeilen dazu zu bringen, ihre Logindaten auf Seiten einzugeben, die nicht die sind, die sie vorgeben zu sein. Meist reichen schon der gesunde Menschenverstand und eine Portion Skepsis, um diese Mails als betrügerisch zu erkennen. Auch andere Anzeichen wie Absenderadresse oder die Adresse des Links sind deutliche Anzeichen für eine Phishing-Mail. Falls das nicht direkt offensichtlich ist sollte man (ohne den Link zu verwenden) sich bei besagtem Dienst einloggen und kontrollieren ob alles in Ordnung ist.