Die Evolution von Phishing-Angriffen
Heutzutage sind Phishing-Angriffe wegen der technischen Reife und der professionellen Umsetzung sehr schwer zu erkennen. Das war nicht immer so. Dieser Artikel zeigt verschiedene Phishing-Szenarien auf und veranschaulicht die unterschiedlichen Arten des Phishings.
Wie hat sich Phishing generell entwickelt?
Die Kreativität von Cyber-Betrügern, um hochentwickelte Phishing-Angriffe (sogenanntes „Spear-Phishing“) auf sensible Daten durchzuführen ist mannigfaltig. Insbesondere die große Verbreitung des Internets erleichtern solche Attacken für bösartige Angreifer, um beispielsweise in betrügerischer Absicht an sensible, private oder kommerziell verwertbare Daten zu gelangen. Dabei beziehen sich Cyber-Betrüger vermehrt auch auf aktuelle Ereignisse (z.B.: regulatorische Änderungen, IT-Umstellungen), wodurch eine Beziehung zum Opfer aufgebaut wird.
Früher waren solche Angriffe verhältnismäßig einfach konzipiert und demnach auch leichter zu erkennen. Begründet ist dies darin, dass die damals verwendeten Techniken entweder unausgereift waren, die Inhalte sprachlich unzureichend formuliert bzw. die Layouts nachlässig dargestellt wurden, oder auf unwahrscheinliche Szenarien zurückgegriffen wurde. Phishing hat sich allerdings von rein Algorithmen-basierten Angriffen zu hochentwickelten Attacken, die auf einen Methodenmix und ausgereifte Technik zurückgreifen, beträchtlich weiterentwickelt. Daher sind einerseits Phishing-Inhalte heutzutage weder laienhaft designet noch stümperhaft formuliert. Andererseits sind Phishing-Attacken trotz des Einsatzes ausgereifter Technik (z.B.: Phishing-Filter) insbesondere für Einzelpersonen immer schwerer erkennbar.
Welche relevanten Phishing-Szenarien sind bekannt?
Jede Art von Szenario, das in Verbindung mit Online-Systemen, Cloud-Systemen, Online-Plattformen oder Online-Banking steht, ist insbesondere in Verbindung mit aktuellen Ereignissen (z.B.: regulatorische Änderungen) relevant.
Konkrete Beispiele für Phishing-Szenarien sind:
- Aufforderungen zur Aktualisieren veralteter Daten (z.B.: Passwort)
- Datenschutz (z.B.: Verletzung von Datenschutzrichtlinien oder umgekehrt zum verbesserten Schutz sensibler Daten)
- Gewinnspiele (Gewinn-Versprechen z.B.: Pop-Up-Fenster)
- Nutzung von Cloud-Systemen (für die zwangsläufig Zugangsdaten erforderlich sind)
- Sicherheitsüberprüfungen (z.B.: durch die „IT-Abteilung des Arbeitgebers“)
- Online-Händler aus dem eCommerce-Bereich
- Webbanking bzw. Online-Banking
All diese Phishing-Szenarien können von einer Vielzahl von Phishing-Arten betroffen sein. Manche sind einfacher konzipiert, andere jedoch komplizierter. Einige sind qualitativ offensichtlich unzureichend, während andere durch ein hohes Qualitätsniveau beeindrucken.
Welche Arten von Phishing gibt es?
In den letzten Jahrzehnten hat der technologische Fortschritt und die damit assoziierte Digitalisierung nicht nur die Internetnutzung verändert, sondern auch die Cyber-Attacken unentwegt verbessert. Auch Phishing macht einen Wandel durch. Die folgenden Phishing-Arten sind unterscheidbar:
- Algorithmen-basiertes Phishing. Erraten sensibler Daten (z.B.: Kreditkartendaten wie PAN, CVV und Gültigkeitsdatum) ist allerdings heutzutage zurückgedrängt, weil die Schutzmaßnahmen verbessert wurden. Diese Phishing-Art war vorwiegend in den Anfängen des Phishings erfolgreich.
- CEO Fraud. Eine gezielte Phishing-Attacke (sogenanntes „Spear-Phishing“ s.u.), bei der die Täter bzw. die Täterinnen speziell im Namen von Firmenchefs bzw. Firmenchefinnen (CEO) vorwiegend Zielpersonen mit hohem Risikoprofil (z.B.: CFO, Leiter oder Leiterinnen von großen Abteilungen) kontaktieren und etwa die Erledigung von Aufgaben unter Zeitdruck – oder als Gefallen für den CEO – verlangen (z.B.: Begleichung von Rechnungen wegen Fristablauf, Überweisungen mit teils ungewöhnlichen Begründungen durchführen, sensible Daten – beispielsweise Listen mit Auszügen aller Mitarbeiterinnen und Mitarbeiter – per Email anfordern). Der generalisierte Überbegriff für CEO-Fraud ist sogenanntes „Whaling“.
- Clone-Phishing. Bei diesem Angriff wird eine zu einem früheren Zeitpunkt legitime E-Mail kopiert (sogenanntes „Cloning“). Der Inhalt und der Anhang („Attachment“) dieser legitimen Email wird durch bösartige Inhalte bzw. Schadsoftware ersetzt. Anschließend versendet die Angreiferin bzw. der Angreifer diese Nachricht und täuscht vor, dass diese von einer legitimen Email-Adresse (z.B.: aus dem gleichen Unternehmen wie die des Opfers) stammt.
- Domain bzw. Website Spoofing. Domain-Spoofing ist eine oft vorkommende Phishing-Variante. Diese tritt auf, wenn Angreiferinnen oder Angreifer vortäuschen, die legitime Domain eines Unternehmens zu verwenden, um sich selbst als dieses Unternehmen oder einer seiner Mitarbeiter darzustellen.
- Deceptive-Phishing. Diese Bezeichnung umfasst das weithin bekannte „Phishing“ mittels gefälschter E-Mails in Verbindung mit gefälschten Webseiten. Dabei geben sich Angreiferinnen bzw. Angreifer als offizielles Unternehmen aus und versuchen dadurch die Opfer zum Klick auf einen Link zu verleiten. Im Folgenden werden sie dazu gebracht sensible Daten auf einer gefälschten Webseite, die der Original-Webseite täuschend ähnlich sieht, einzugeben.
- E-Mail-Phishing. Dies ist ein Bestandteil des „Deceptive Phishing“ bei dem versucht wird, mittels gefälschter E-Mails sensible Daten abzugreifen. Dabei handelt es sich etwa um die Aufforderung, TANs per E-Mail zu Verifikationszwecken – etwa für ein Online-Banking-Konto – zu übermitteln.
- https-Phishing. Eine Phishing-Methode, bei der gefälschte Webseiten Vertrauenswürdigkeit mittels SSL/TLS-Zertifikaten (z.B.: erkennbar am Schloss in der Browser-Leiste) vortäuschen. Dabei kann etwa der Name eines Unternehmens im Zertifikat enthalten sein, der dem Originalnamen täuschend ähnlich ist (z.B.: Abweichungen bei Details wie der Gesellschaftsform, oder kyrillische Zeichen die unseren Zeichen sehr ähnlich sind) oder das Zertifikat wurde von einer nicht-vertrauenswürdigen Stelle ausgestellt.
- Image-Phishing. Auch hier werden E-Mails als Transportmedium eingesetzt. Allerdings nützen Angreiferinnen und Angreifer die E-Mails zur Übertragung von Bildern („Images“), welche Schadsoftware enthalten. Besonders gefährlich ist dies, da immer häufiger zielgerichtet Bilder, die für eine Zielperson von Interesse (z.B.: Hobbies oder Interessen aus öffentlichen Social-Media-Profilen abgeleitet) sind, verwendet werden.
- In-Session Phishing. Pop-Up-Nachrichten, die über Internetbrowser übertragen werden sind nicht mehr aus dem derzeitigen Internet wegzudenken. Mit diesen Pop-Up-Nachrichten erhalten Angreiferinnen und Angreifer die Möglichkeit, Login-Informationen zu stehlen, indem ein sogenannte Redirects – also quasi eine Weiterleitung – auf eine gefälschte Webseite durchgeführt wird. Das Opfer gibt dann dort die Zugangsdaten ein.
- Mass Target Brand Impersonation. Massennachrichten an große Gruppen (z.B.: Kunden bzw. Kundinnen großer Banken) mit gleichen oder ähnlichen Interessen (z.B.: Datenschutz, Online-Banking), bei denen Angreiferinnen oder Angreifer vortäuschen, dass etwa beispielsweise eine E-Mail-Adresse verifiziert werden muss oder ein Passwort ist zu ändern.
- Pharming. Mittels manipulierter DNS-Anfragen werden Benutzerinnen oder Benutzer auf gefälschte Webseiten umgeleitet, die den Originalseiten zum Verwechseln ähnlich sehen.
- Search-Engine-Phishing. Diese Phishing-Art ist noch nicht sehr alt aber umso gefährlicher, da die Vertrauenssituation zu einer Suchmaschine ausgenützt wird. Sucht jemand mit einer bekannten Suchmaschine, geht man davon aus, dass die angezeigten Resultate glaubwürdig sind. Gefälschte Werbeeinblendungen (oder Job-Angebote, Sale-Angebote etc.) von vertrauenswürdigen Unternehmen oder Organisationen werden dabei von den Angreiferinnen bzw. den Angreifern in den Ergebnislisten der Plattformen von Suchmaschinen platziert (z.B.: kaufen von Werbeeinblendungen). Diese Werbeeinblendungen werden nach einer Suche als Resultat dargestellt, leiten aber nicht auf die suggerierte Seite weiter, sondern auf eine gefälschte Webseite und greifen damit sensible Daten ab.
- Smishing. Eine einfache Form des Phishings bei dem einfache Textnachrichten als elektronisches Kommunikationsmittel zum Einsatz kommen. Vorwiegend handelt es sich beim Smishing um SMS.
- Spear-Phishing. Die zielgerichtete und quasi maßgeschneiderte Variante von Phishing ist „Spear-Phishing“. Statt ziellos und wahllos Phishing-Nachrichten zu versenden, werden schon im Vorfeld Daten über die Zielperson gesammelt und dann beim Spear-Phishing-Angriff verwendet, um gezielte Adressatinnen und Adressaten zu erreichen. Häufig geht es um Finanzbetrug oder um Geschäftsgeheimnisse.
- Subdomain-Phishing. Kleine Smartphone-Bildschirme können die Domainnamen von aufgerufenen Webseiten nur verkürzt darstellen. Diesen Umstand nützen Angreiferinnen und Angreifer beim „Subdomain-Phishing“ aus. Dabei werden Domänennamen registriert und darunterliegende Subdomains erstellt, die auf den ersten Blick auf einem Smartphone-Bildschirm wie das Original aussehen. Gleichzeitig wird das Design der Ziel-Webseite kopiert, um damit das Original vorzutäuschen.
- Vishing. Diese Phishing-Methode steht synonym für „Voice-Phishing“. Also handelt es sich um Phishing-Angriffe mittels Telefoniemethoden (z.B.: klassisches Telefon, VOIP-Telefonie). Zum Einsatz kommen automatisierte Telefonanrufe um die Zielpersonen zur Herausgabe von Zugangsdaten, Passwörtern oder ähnlich sensiblen Daten zu bewegen. Auch können E-Mails versendet werden, die eine Aufforderung enthalten, der Empfänger oder die Empfängerin sollen die in der E-Mail angegebene Telefonnummer anrufen.
- Whaling. Öffentlich exponierte Persönlichkeiten oder Personen mit hohem Risikoprofil (z.B.: Geschäftsführung, Politikerinnen bzw. Politiker, bekannte Personen des öffentlichen Lebens) sind beim „Whaling“ Zielpersonen für hochgradig spezialisierte bzw. zielgerichtete Phishing-Attacken. Als Whaling wird diese Phishing-Form deswegen bezeichnet, weil solche Personen oft als „Dicke Fische“ bezeichnet werden, die nach erfolgreichen Phishing-Angriffen besonders einträglich für die Betrügerinnen oder die Betrüger sind. Darüber hinaus sind Informationen öffentlich oft sehr einfach zugänglich. Betrifft ein Whaling-Angriff einen CEO, dann wird dies auch als „CEO-Fraud“ bezeichnet (s.o.).
Zusammengefasst sind die zuvor aufgelisteten Phishing-Arten unterschiedlich ausgestaltet. Gemeinsam haben diese Angriffe allerdings, dass von Opfern die Herausgabe sensibler Daten verlangt wird. Dabei unterscheidet sich das jeweilige Übertragungsmedium der Phishing-Nachrichten und es wird auch zwischen den verschiedenen Opfern unterschieden.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria