Fiese Masche: 2FA-„Feature“ gibt Phishing legitimen Anstrich

Credit to Author: Jörg Schindler| Date: Tue, 27 Aug 2019 11:11:49 +0000

In den Anfangszeiten der Phishing-Welle konzentrierten sich die Cyberkriminellen mit ihren Attacken auf die vermeintlich lukrativste Quelle: Bankkonten. So erhalten Nutzer bis heute dubiose, und oftmals fehlerhafte Warnmeldungen von Finanzinstituten, mit denen sie noch nie zu tun hatten. Damals wie heute gilt es also, aufmerksam zu sein. Denn auch wenn es schon  schlimm genug ist, überhaupt Opfer eines Phishing-Angriffs zu werden, ist es noch viel ärgerlicher, wenn der folgenschwere Log-in aus Unachtsamkeit bei der „Deutschenn Bank“ oder der „Volcksbank“ erfolgte.

Heute besonders wertvoll: Passwörter für Instagram, Facebook und Co.
Heutzutage sind nach wie vor Phishing-E-Mails im Umlauf, die versuchen, Bank-Zugangsdaten zu erbeuten. Hinzu kommen aber immer mehr Nachrichten, die auf ganz andere Account-Zugänge zielen. E-Mail-Konten etwa sind der Hauptgewinn für Betrüger. Sie dienen häufig als Referenzadresse zur Wiederherstellung vergessener Passwörter. Gelangt ein Cyberkrimineller an einen E-Mail-Account, kann er damit diverse andere Konten wie Paypal, Facebook oder Instagram ins Visier nehmen und sich über „Passwort zurücksetzen“ oder „Passwort vergessen“ dauerhaften Zugang zu vielen anderen Accounts verschaffen. Besonders gemein: das Opfer merkt davon oft gar nichts bis etwas passiert.

Aber auch Passwörter für soziale Medien sind für Betrüger ein beliebtes Ziel. Denn die Inhalte dieser Konten offenbaren den Kriminellen weit mehr Informationen als sie mit einer simplen Online Recherche je erfahren könnten. Dabei sind die Folgen mehrfach gemein: sie sind sehr persönlicher Natur und sie treffen zudem Dritte. So vermag der Betrüger beispielsweise auch den Account von Freunden oder Familienmitgliedern zu manipulieren. Tatsächlich verzeichnen die Sophos Labs mittlerweile mehr Phishing-Mails, die Passwörter für E-Mail- und Social-Media-Accounts klauen wollen als jene, die „nur“ hinter Bankzugängen her sind.

Die Betrüger werden immer besser – und perfider
Es fällt schwer es zuzugeben, aber die Betrüger arbeiten mittlerweile sehr gut und überlegt, wie ein aktuelles Beispiel zu einer Instagram-Phishing-Attacke zeigt: Abgesehen von vereinzelten Interpunktionsfehlern ist diese Nachricht kaum als Fake zu erkennen. Sie ist klar und unauffällig genug, um unterhalb des menschlichen Alarmradars zu bleiben. Die Verwendung einer Zahlenreihe am Ende der Nachricht, die auf den ersten Blick wie ein 2FA-Code (Zwei-Faktor-Authentifizierung) erscheint, ist ein cleverer Schachzug. Sie impliziert, dass der Nutzer kein Passwort verwenden muss, sondern stattdessen einfach nur per Code bestätigen muss, dass ihn die E-Mail erreicht hat. Der 2FA-Code täuscht Sicherheit vor und animiert so zum „schnellen Klick“.

Wird der Link tatsächlich aktiviert, kommt im Browser beim Blick auf den Domainnamen ein weiterer Hinweis auf eine nicht legitime Nachricht hinzu: Es ist eine Seite mit der Domainendung „cf“ für Centralfrique, eine der vielen aufstrebenden Volkswirtschaften, die Domains für wenig Geld vergeben, in der Hoffnung, möglichst viele User zu ködern. Wahrscheinlich waren in diesem Fall die glaubwürdigeren Domainendungen bereits vergeben. Dennoch ist diese Phishing-Seite selbst ein nahezu perfekter und glaubwürdiger Nachbau der echten Instgram-Sign-In-Seite und verfügt sogar über ein valides HTTPS-Zertifikat. Wer sich die Screens dazu anschauen möchte, kommt per Klick hier zu den Kollegen von Naked Security.

Web-Zertifikate sichern die Verbindung zu einer Webseite und verhindern, dass Antworten angeschaut oder manipuliert werden können. Sie bürgen jedoch nicht für den tatsächlichen Inhalt der Webseiten oder der dort verfügbare Dateien. Mit anderen Worten: einer Webseite ohne „Vorhängeschloss“ ist definitiv nicht zu trauen, ebenso wenig wie einer mit Tipp- und Grammatikfehlern. Doch auch bei Webseiten mit dem Schloss-Symbol und scheinbar fehlerfreier Umsetzung gilt grundsätzlich immer, Vorsicht walten zu lassen.

Prävention ist wichtig
Wie macht sich eine Phishing-Seite, die glaubhaft wirkt und ein HTTPS-Vorhängeschloss mitbringt, verdächtig? Obwohl die Betrüger in diesem Beispiel einen ungewöhnlich glaubwürdigen Fake kreiert haben, gibt es verräterische Anzeichen von Phishing-Attacken, auf die Nutzer achten sollten:

  • Sign-in-Links in E-Mails. Die einfache Lösung: ab in den Papierkorb. Es gibt keinen Grund, sich via E-Mail in einen Social-Media-Account einzuloggen. Lieber den direkten Weg via App oder Lesezeichen im Browser nehmen.
  • Überraschender Domainname. Wo hat der Browser mich hingeführt? Ist die Adresszeile zu kurz für die komplette URL? Ein einfacher Trick: die Adresszeile kopieren und in ein anderes Dokument einfügen. Sieht verdächtig aus? Dann ist sie es wohl auch. Besser ignorieren oder zumindest eine zweite Meinung einholen.
  • Anfrage ohne Grund. Besteht Grund zur Annahme, ein Fremder hätte sich in den eigenen Account eingeloggt, sollten Nutzer zur Prüfung der Login-Aktivitäten die offiziellen Check-Möglichkeiten des Dienstanbieters wählen. Es gibt keinen Grund, Web-Links zu trauen, die aus dem Nirwana kommen. Grundsätzlich gilt: Mit etwas gesundem Menschenverstand und ungeteilter Aufmerksamkeit können betrügerische Prozesse schnell erkannt werden.

http://feeds.feedburner.com/sophos/dgdY