Statt die ständigen Phishing-Mails zu ignorieren, hat ein Security-Experte den Spieß umgedreht und sich auf das schmutzige Spiel eingelassen. Mit Erfolg: Am Ende konnte er den Phisher wegen Betrugs anzeigen - ohne Geld verloren zu haben.
Vor einigen Wochen wurde ein Finanzbuchhalter des IT-Security-Anbieters WatchGuard von einer Spear-Phishing-Attacke heimgesucht. Als Spear Phishing werden solche Angriffe bezeichnet, die ganz gezielt auf eine Person oder eine Personengruppe zugeschnitten sind. Die Angreifer sammeln dafür Informationen über ihre Opfer - beispielsweise in sozialen Netzen - und bauen ihre Phishing-Mails dann so auf, dass die Attackierten mit möglichst hoher Wahrscheinlichkeit darauf hereinfallen. In diesem Fall kam der Betrugsversuch in Form einer vorgeblichen E-Mail vom Chef der Finanzbuchhaltung mit der Bitte um dringende Erledigung.
Wie derartige E-Mails aussehen, haben wir Ihnen in einer kleinen Bilderstrecke zusammengestellt:
Vorsicht vor diesen Whaling-Mails!
Zu beschäftigt zum Telefonieren Dieser Betrugsversuch fand in New York statt - der Angreifer hatte sich eine Domain gesichert, die sich der des angegriffenen Unternehmen sehr ähnelte. Die beiden "O" im Firmennamen wurden einfach durch zwei Nullen ersetzt - schnell zu übersehen.
Es muss schnell gehen Im kanadischen Toronto arbeitete man mit einem ähnlichen Trick - hier wurde das "m" im Unternehmensnamen durch ein "rn" ersetzt. Durch den zusätzlich erzeugten Zeitdruck sollte verhindert werden, dass Frank zum Nachdenken kam.
Augen auf Das hier sieht ein wenig semiprofessionell aus - die 1 in der Absender-Adresse fällt sofort auf. Ein vielbeschäftigter CEO schaut aber vielleicht nicht ganz so genau hin, wenn er zwischen zwei 10-Millionen-Überweisungen einmal eben etwas Sechsstelliges freigeben soll. Entdeckt wurde diese Mail hier auf einem Server in New York.
Ob es da ein Muster gibt? Das Doppel-S im Unternehmensnamen kann man überseehen. Dass Amelia hier ansonsten annähernd denselben Text verwendet wie Richard zwei E-Mails vorher, hoffentlich nicht.
Sieht ganz so aus... Hier meldet sich Amelia bestimmt noch einmal - sie hatte noch eine Doppel-S-Domain im Hosting-Paket frei. Der Text ist aber neu - nur, kleine Frage: "soonest"? Really?
Sofort! Es scheint beliebt zu sein, eine nur in einem Buchstaben veränderte Domain für kriminelle Machenschaften zu organisieren. In diesem Fall - der Server, von dem die Mail verschickt wurde, stand im südafrikanischen Johannesburg - geht es um ein C zuviel.
Einfallslos Nagut, hierauf fällt wohl hoffentlich niemand herein. Hotmail? Das gibt es noch?
Wo ist Walter? "Breaking Bad" ist zuende, die Geschichte von Walter White lebt weiter. Ganz besonders, wenn die E-Mail-Adressen so kreativ sind - in diesem Fall sieht sie der echten (die wir nicht offenlegen) aber wirklich zum Verwechseln ähnlich.
Gmail? Als wäre Hotmail nicht genug, versucht es hier einer mit Googles Mail-Dienst. Viel Erfolg!
Gmail! Scheint aber zu funktionieren, sonst würden es nicht so viele E-Mail-Betrüger mit solchen Adressen versuchen.<br /><br /> Fazit: Passen Sie auf, von wem die E-Mails kommen - und seien sie noch so beiläufig, vertrauenserweckend und plausibel formuliert. Einmal mehr persönlich rückversichern kann Ihnen viel Geld sparen...
Da der Finanzbuchhalter aber nun einmal in einer IT-Sicherheitsfirma arbeitet, ist er entsprechend geschult und erkannte die E-Mail sofort als Fake - nicht nur war die Absenderadresse merkwürdig (eine siebenstellige Zahlenkombination @gmail.com), es fehlte zudem die obligatorische Signatur. Also informierte er seinen Kollegen und Bedrohungsanalysten Marc Laliberte, der sich in den folgenden Tagen einen Spaß daraus machte, vorgeblich auf den Phishing-Versuch einzugehen, um den Angreifer schließlich dingfest machen zu können.
Die Kontaktaufnahme per Mail erfolgt eher beiläufig - achten Sie daher unbedingt auf fehlende Signaturen oder merkwürdige Absenderadressen (hier unkenntlich gemacht). Foto: REUTERS/Danish Ismail
Von wo kommt der Angriff?
Laliberte antwortete zunächst eher beiläufig auf die Phishing-Mail, woraufhin er als Antwort bekam, er möge seinem "Chef" - also dem Angreifer - ab sofort doch per SMS an seine private Mobilfunknummer antworten. Der WatchGuard-Experte recherchierte, auf wen die Telefonnummer registriert wurde und fand heraus, dass es sich um eine Festnetznummer aus dem Großraum Jacksonville/USA handelte. Laliberte nahm sofort an, dass sich der Phisher nicht wirklich dort aufhielt, sondern stattdessen einen Weiterleitungsservice bestellt hatte, um seine wirkliche Telefonnummer und Aufenthaltsort zu verdecken - eine übliche Methode in Betrügerkreisen.
Via SMS versucht der Betrüger sein "Opfer" dazu zu bringen, eine größere Summe zu überweisen. Foto: REUTERS/Danish Ismail
Laliberte gab sich erneut als sein Kollege aus und simste den Angreifer über eine Wegwerfnummer an. Dieser reagierte tags darauf um kam gleich zum Punkt - man müsse ganz dringend noch eine Palette neuer WatchGuard-Fireboxes bezahlen, die in der kommenden Woche geliefert werden würden. Laliberte antwortete, dass eine schnelle Überweisung problemlos machbar sei und bat um weitere Informationen.
Nun geht’s ans Eingemachte
Der Angreifer schrieb daraufhin, dass 20.000 Dollar an eine von ihm benannte Person in New York überwiesen werden müssten - die nötigen Bankdaten lieferte er gleich mit. Lalibertes Recherchen ergaben keinerlei öffentlich bekannte Betrügereien im Zusammenhang mit dem genannten Namen - weil es sich um ein nationales Konto der TD Bank handelte, dessen Aktivitäten sich leicht nachvollziehen ließen, nahm Laliberte aber an, dass das Konto von den Betrügern gekapert worden war.
Das Geld soll auf ein Konto der TD Bank in New York überwiesen werden - alle benötigten Informationen liefert der Betrüger gleich mit. Foto: REUTERS/Danish Ismail
Noch immer war die Frage offen, von wo aus genau der Phisher agierte. Hier machte sich der WatchGuard-Experte nun zunutze, dass der Angreifer eine Bestätigungsmeldung über die erfolgte Überweisung verlangte. Laliberte versteckte die IP-Adresse eines Honeypot-Servers mithilfe eines URL-Shorteners und sendete diesen an den Angreifer mit dem Hinweis, dass dies der Link zur gewünschten Bestätigungsmeldung sei.
Der Betrüger geht dem WatchGuard-Experten auf den Leim und tappt via Short-URL in einen Honeypot. Foto: REUTERS/Danish Ismail
Als der Angreifer nun auf den Link klickte, wurde er zum Honeypot umgeleitet, wo seine IP-Adresse und User-Agent-Daten geloggt wurden. Auf diese Weise fand Laliberte heraus, dass die IP des Betrügers im Adressbereich von Airtel Networks Limited lag - einem nigerianischen Mobilfunkanbieter. Laut User-Agent-Daten war er mit einem iPhone unterwegs, auf dem das Betriebssystem iOS 9.3.1 installiert war.
Die Vermutung, dass ein Weiterleitungsdienst zum Einsatz kam, war damit bestätigt. Und auch die Wahrscheinlichkeit, dass das Bankkonto gekapert war, war gestiegen - ohne festen Wohnsitz in den USA wäre die Anmeldung des Kontos nicht möglich gewesen. Eine Option war noch, dass es einen Strohmann in den USA gibt, der sein Konto für den Betrug zur Verfügung stellt und das Geld dann direkt nach Eingang ins Ausland weitertransferiert.
Anzeige bei der Bank
Laliberte setzte sich mit der TD Bank in Verbindung und bat darum, Ermittlungen wegen eines Betrugsversuchs über eines ihrer Konten aufzunehmen.
Die Moral von der Geschichte: Heutige Web-Betrüger sind bestens über die Eigenheiten ihrer möglichen Opfer informiert, übersehen aber ab und an wichtige Details (E-Mail-Signatur). Trotzdem: Wäre der Buchhalter nicht so gut trainiert und auf der Hut gewesen, wäre sein Unternehmen nun womöglich um 20.000 Dollar ärmer.
Phishing-Trends 2016
Cloud Storage Trotz deutlichem Rückgang wurden die meisten Consumer-fokussierten Phishing-Angriffe weiterhin bei Finanzdienstleistern registriert (2015: 31 Prozent, 2013: 41 Prozent). Allerdings haben Cloud-Storage- und File-Hosting-Services den größten Ansteig bei Phishing-Angriffen verzeichnet. Waren diese im Jahr 2013 nur in 8 Prozent aller Phishing-Fälle das Ziel, stieg dieser Anteil im Jahr 2015 auf 20 Prozent.
Hotspot USA Die USA waren mit Abstand das häufigste Ziel von Phishing-Attacken im Jahr 2015: Satte 77 Prozent aller Unternehmen, die Opfer von Phishing-Angriffen wurden, haben ihren Hauptsitz in den Vereinigten Staaten. Den größten Zuwachs hat übrigens China hingelegt: Waren 2013 nur 1,1 Prozent aller Angriffe auf Ziele in China gerichtet, sind es 2015 schon 5,4 Prozent.
Dotcom-Phishing Mehr als die Hälfte (52 Prozent) aller Phishing-Websites wurden im Jahr 2015 unter einer .com-Domain registriert. Zwei Jahre zuvor lag dieser Wert noch bei 46 Prozent. Auf den Rängen folgen die Top-Level-Domains .net (5 Prozent), .org (4 Prozent) und .br (4 Prozent).
Mehr Geld Entwickler von Phishing-Kits machen ihr Geld auf zwei Wege: Entweder sie verkaufen die Kits (zu Preisen zwischen einem und 50 Dollar) oder sie verbreiten ihre Kits kostenlos. In letzterem Fall befindet sich eine Hintertür im Schadprogramm, über die die Cyberkriminelle persönliche Daten und Finanz-Informationen abschöpfen. Laut dem PhishLabs-Report gewinnt die Methode der kostenlosen Phishing-Kits an Beliebtheit, weil eine größere Verbreitung auch die Aussicht auf mehr Daten zur Folge hat.
Einweg-E-Mail-Accounts Einweg-E-Mail-Accounts werden genutzt, um gestohlene Daten abzugreifen. Im Jahr 2015 wurden dafür in 57 Prozent aller Phishing-Fälle Gmail-Accounts benutzt. Auf den Plätzen folgen Yahoo (12 Prozent), Outlook (4 Prozent), Hotmail (4 Prozent) und AOL (2 Prozent). Eine gute Nachricht gibt es diesbezüglich allerdings auch: Bei den allerwenigsten Phishing-Attacken werden anonyme E-Mail-Accounts verwendet. Die Strafverfolgungsbehörden könnten also per Gerichtsbeschluss die Identität der Inhaber von Einweg-E-Mail-Accounts aufdecken.
Goldesel-as-a-Service Viele Computerverbrecher verwalten ihr illegal verdientes Geld nicht selbst, sondern lagern das Recruiting von Geldwäschern und die Buchführung an entsprechende Dienstleister aus. Verglichen mit Einweg-E-Mail-Accounts oder einer Domain-Registrierung kostet das richtig viel Geld. Proportional mit dem Erfolg ihrer Phishing-Attacken steigt auch die Wahrscheinlichkeit, dass Cyberkriminelle solche Services in Anspruch nehmen.