Betroffene Daten und Übertragungskanäle
Nicht alle Daten sind für Phishing-Attacken interessant. Auch werden meist nur ausgewählte Übertragungskanäle für solche Angriffe eingesetzt. In diesem Artikel wird beschrieben, welche sensiblen Daten überwiegend betroffen sind und welche Übertragungsmedien für Phishing-Angriffe ausgenützt werden.
Wie können wir die betroffenen Daten herauskristallisieren, wenn jemand ein Phishing-Opfer ist?
Generell gilt, dass bösartige Angreifer versuchen, an verwertbare Informationen zu gelangen. Verwertbare Informationen können vielseitig sein. Entweder sind die betroffenen Daten direkt verwendbar (z.B.: Zugangsdaten zu einem Online-Banking-Konto) oder für einen groß angelegten Angriff indirekt verwertbar, um an weitere Details zu gelangen und mit Hilfe dieser gewonnen Daten zu einem späteren Zeitpunkt einen größeren Schaden anzurichten (z.B.: weitreichender Identitätsdiebstahl).
- Benutzerkonto-Daten (z.B.: Verfügernummer des Online-Banking-Kontos)
- Benutzerpasswort (z.B.: Passwort eines eCommerce-Händlers)
- Geburtsdatum (z.B.: für Authentifizierungszwecke als Kontrollfrage verwendet)
- Kontodaten (z.B.: IBAN, Namen)
- Kreditkartendaten bzw. Daten einer Debit-Karte (z.B.: Kartennummer, Ablaufdatum, aufgedruckte Verifikationscodes wie der Card Verification Value – CVV)
- Mitarbeiternummer
- PIN (Persönliche Identifikationsnummer einer Debitkarte oder einer Kreditkarte)
- Sozialversicherungsnummer
- TAN einer Online-Überweisung
Die unrechtmäßig erworbenen Daten ermöglichen den unbefugten Zugang zu den zugehörigen Konten. Es ist jedoch nicht ganz so einfach an die oben aufgelisteten Daten zu gelangen, insbesondere wenn mehrere zusammenhängende Daten einer Person benötigt werden, um einen Betrug durchzuführen; Zum Beispiel wenn die Kontodaten und eine zugehörige Transaktionsnummer benötigt werden, um eine Überweisung durchzuführen.
Oft beginnen Angreifer bei Null, da keine Informationen über eine Zielperson für einen Phishing-Angriff verfügbar sind. Ausgehend von ein paar Basisdaten werden jedoch schrittweise weitere Informationen über das Opfer auf verschiedenen Übertragungswegen gesammelt und ausgenützt.
Was sind die wesentlichen Kanäle auf denen mit Phishing zu rechnen ist?
Früher war Phishing einfach gestaltet. Ein Angreifer programmierte einen Algorithmus und versuchte damit beispielsweise gültige Kreditkartendaten zu erraten – was damals auch gelang. Vor dem Hintergrund hochentwickelter und gezielter Phishing-Angriffe übertragen Angreifer Phishing-Nachrichten heutzutage auf verschiedenen Kommunikationskanälen:
- (Gefälschte) Betriebssystembenachrichtigungen
- Instant Messaging
- SMS
- Push Messages
- Telefon
- Websites
Auch wenn sieben verschiedene Kommunikationskanäle für die Übertragung von Phishing-Versuchen eingesetzt werden, sind – auch heute noch – Phishing-Versuche mittels Telefon sowie der Kombination aus Emails in Verbindung mit Webseiten am Häufigsten anzutreffen.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria