Vor einigen Wochen wurde ein Finanzbuchhalter des IT-Security-Anbieters WatchGuard von einer Spear-Phishing-Attacke heimgesucht. Als Spear Phishing werden solche Angriffe bezeichnet, die ganz gezielt auf eine Person oder eine Personengruppe zugeschnitten sind. Die Angreifer sammeln dafür Informationen über ihre Opfer - beispielsweise in sozialen Netzen - und bauen ihre Phishing-Mails dann so auf, dass die Attackierten mit möglichst hoher Wahrscheinlichkeit darauf hereinfallen. In diesem Fall kam der Betrugsversuch in Form einer vorgeblichen E-Mail vom Chef der Finanzbuchhaltung mit der Bitte um dringende Erledigung.
Wie derartige E-Mails aussehen, haben wir Ihnen in einer kleinen Bilderstrecke zusammengestellt:
Da der Finanzbuchhalter aber nun einmal in einer IT-Sicherheitsfirma arbeitet, ist er entsprechend geschult und erkannte die E-Mail sofort als Fake - nicht nur war die Absenderadresse merkwürdig (eine siebenstellige Zahlenkombination @gmail.com), es fehlte zudem die obligatorische Signatur. Also informierte er seinen Kollegen und Bedrohungsanalysten Marc Laliberte, der sich in den folgenden Tagen einen Spaß daraus machte, vorgeblich auf den Phishing-Versuch einzugehen, um den Angreifer schließlich dingfest machen zu können.
Foto: REUTERS/Danish Ismail
Von wo kommt der Angriff?
Laliberte antwortete zunächst eher beiläufig auf die Phishing-Mail, woraufhin er als Antwort bekam, er möge seinem "Chef" - also dem Angreifer - ab sofort doch per SMS an seine private Mobilfunknummer antworten. Der WatchGuard-Experte recherchierte, auf wen die Telefonnummer registriert wurde und fand heraus, dass es sich um eine Festnetznummer aus dem Großraum Jacksonville/USA handelte. Laliberte nahm sofort an, dass sich der Phisher nicht wirklich dort aufhielt, sondern stattdessen einen Weiterleitungsservice bestellt hatte, um seine wirkliche Telefonnummer und Aufenthaltsort zu verdecken - eine übliche Methode in Betrügerkreisen.
Foto: REUTERS/Danish Ismail
Laliberte gab sich erneut als sein Kollege aus und simste den Angreifer über eine Wegwerfnummer an. Dieser reagierte tags darauf um kam gleich zum Punkt - man müsse ganz dringend noch eine Palette neuer WatchGuard-Fireboxes bezahlen, die in der kommenden Woche geliefert werden würden. Laliberte antwortete, dass eine schnelle Überweisung problemlos machbar sei und bat um weitere Informationen.
Nun geht’s ans Eingemachte
Der Angreifer schrieb daraufhin, dass 20.000 Dollar an eine von ihm benannte Person in New York überwiesen werden müssten - die nötigen Bankdaten lieferte er gleich mit. Lalibertes Recherchen ergaben keinerlei öffentlich bekannte Betrügereien im Zusammenhang mit dem genannten Namen - weil es sich um ein nationales Konto der TD Bank handelte, dessen Aktivitäten sich leicht nachvollziehen ließen, nahm Laliberte aber an, dass das Konto von den Betrügern gekapert worden war.
Foto: REUTERS/Danish Ismail
Noch immer war die Frage offen, von wo aus genau der Phisher agierte. Hier machte sich der WatchGuard-Experte nun zunutze, dass der Angreifer eine Bestätigungsmeldung über die erfolgte Überweisung verlangte. Laliberte versteckte die IP-Adresse eines Honeypot-Servers mithilfe eines URL-Shorteners und sendete diesen an den Angreifer mit dem Hinweis, dass dies der Link zur gewünschten Bestätigungsmeldung sei.
Foto: REUTERS/Danish Ismail
Als der Angreifer nun auf den Link klickte, wurde er zum Honeypot umgeleitet, wo seine IP-Adresse und User-Agent-Daten geloggt wurden. Auf diese Weise fand Laliberte heraus, dass die IP des Betrügers im Adressbereich von Airtel Networks Limited lag - einem nigerianischen Mobilfunkanbieter. Laut User-Agent-Daten war er mit einem iPhone unterwegs, auf dem das Betriebssystem iOS 9.3.1 installiert war.
Die Vermutung, dass ein Weiterleitungsdienst zum Einsatz kam, war damit bestätigt. Und auch die Wahrscheinlichkeit, dass das Bankkonto gekapert war, war gestiegen - ohne festen Wohnsitz in den USA wäre die Anmeldung des Kontos nicht möglich gewesen. Eine Option war noch, dass es einen Strohmann in den USA gibt, der sein Konto für den Betrug zur Verfügung stellt und das Geld dann direkt nach Eingang ins Ausland weitertransferiert.
Anzeige bei der Bank
Laliberte setzte sich mit der TD Bank in Verbindung und bat darum, Ermittlungen wegen eines Betrugsversuchs über eines ihrer Konten aufzunehmen.
Die Moral von der Geschichte: Heutige Web-Betrüger sind bestens über die Eigenheiten ihrer möglichen Opfer informiert, übersehen aber ab und an wichtige Details (E-Mail-Signatur). Trotzdem: Wäre der Buchhalter nicht so gut trainiert und auf der Hut gewesen, wäre sein Unternehmen nun womöglich um 20.000 Dollar ärmer.
- Cloud Storage
Trotz deutlichem Rückgang wurden die meisten Consumer-fokussierten Phishing-Angriffe weiterhin bei Finanzdienstleistern registriert (2015: 31 Prozent, 2013: 41 Prozent). Allerdings haben Cloud-Storage- und File-Hosting-Services den größten Ansteig bei Phishing-Angriffen verzeichnet. Waren diese im Jahr 2013 nur in 8 Prozent aller Phishing-Fälle das Ziel, stieg dieser Anteil im Jahr 2015 auf 20 Prozent. - Hotspot USA
Die USA waren mit Abstand das häufigste Ziel von Phishing-Attacken im Jahr 2015: Satte 77 Prozent aller Unternehmen, die Opfer von Phishing-Angriffen wurden, haben ihren Hauptsitz in den Vereinigten Staaten. Den größten Zuwachs hat übrigens China hingelegt: Waren 2013 nur 1,1 Prozent aller Angriffe auf Ziele in China gerichtet, sind es 2015 schon 5,4 Prozent. - Dotcom-Phishing
Mehr als die Hälfte (52 Prozent) aller Phishing-Websites wurden im Jahr 2015 unter einer .com-Domain registriert. Zwei Jahre zuvor lag dieser Wert noch bei 46 Prozent. Auf den Rängen folgen die Top-Level-Domains .net (5 Prozent), .org (4 Prozent) und .br (4 Prozent). - Mehr Geld
Entwickler von Phishing-Kits machen ihr Geld auf zwei Wege: Entweder sie verkaufen die Kits (zu Preisen zwischen einem und 50 Dollar) oder sie verbreiten ihre Kits kostenlos. In letzterem Fall befindet sich eine Hintertür im Schadprogramm, über die die Cyberkriminelle persönliche Daten und Finanz-Informationen abschöpfen. Laut dem PhishLabs-Report gewinnt die Methode der kostenlosen Phishing-Kits an Beliebtheit, weil eine größere Verbreitung auch die Aussicht auf mehr Daten zur Folge hat. - Einweg-E-Mail-Accounts
Einweg-E-Mail-Accounts werden genutzt, um gestohlene Daten abzugreifen. Im Jahr 2015 wurden dafür in 57 Prozent aller Phishing-Fälle Gmail-Accounts benutzt. Auf den Plätzen folgen Yahoo (12 Prozent), Outlook (4 Prozent), Hotmail (4 Prozent) und AOL (2 Prozent). Eine gute Nachricht gibt es diesbezüglich allerdings auch: Bei den allerwenigsten Phishing-Attacken werden anonyme E-Mail-Accounts verwendet. Die Strafverfolgungsbehörden könnten also per Gerichtsbeschluss die Identität der Inhaber von Einweg-E-Mail-Accounts aufdecken. - Goldesel-as-a-Service
Viele Computerverbrecher verwalten ihr illegal verdientes Geld nicht selbst, sondern lagern das Recruiting von Geldwäschern und die Buchführung an entsprechende Dienstleister aus. Verglichen mit Einweg-E-Mail-Accounts oder einer Domain-Registrierung kostet das richtig viel Geld. Proportional mit dem Erfolg ihrer Phishing-Attacken steigt auch die Wahrscheinlichkeit, dass Cyberkriminelle solche Services in Anspruch nehmen.