Corona-Phishing: Der erhöhten Bedrohung begegnen

m2solutions gibt Tipps zum Erkennen und zur Abwehr von Phishing-Attacken

[datensicherheit.de, 02.03.2021] Phishing hat während der „Corona“-Krise offensichtlich stärker als zuvor zugenommen, meldet die m2solutions EDV-Service GmbH. Kriminelle nutzten die Verunsicherung und die Home-Office-Situation gezielt aus, um an sensible Daten zu kommen, mit denen sie großen Schaden anrichten könnten. „Sehr geehrte Kundinnen und Kunden, Ihre Sicherheit und Gesundheit und auch die unserer Mitarbeiter liegen uns sehr am Herzen.“ – so beginne die E-Mail einer angeblichen Bank, die während der „Pandemie“ ihre kleineren Filialen schließen müsse und sich deshalb nun digital an ihre Kunden wenden könne: „Bitte nehmen Sie sich zwei Minuten Zeit, um Ihre Daten zu überprüfen und zu aktualisieren, um weiterhin eine reibungslose Kommunikation gewährleisten zu können.“ Diese täuschend echt aussehende E-Mail mit dem Link stamme aber eben nicht von jener Bank. Sie sei von Betrügern aufgesetzt worden, um direkt Konto- und Adressdaten von ahnungslosen Nutzern abzugreifen, „die eigentlich dachten, sie tun das genau Richtige“ – ihre Daten in Zeiten erschwerter Kommunikation zu aktualisieren. Dabei appelliere die E-Mail am Ende noch einmal besonders emotional an das Gewissen der Empfänger: „Prävention ist keine Hysterie, und Ignoranz ist auch kein Mut! Wir hoffen sehr auf Ihre Solidarität und Ihr Verständnis!“

Abbildung: m2solutions EDV-Service GmbH

Cyber-Kriminelle nutzen Unsicherheit aus: Phishing in Corona-Zeiten stark zugenommen

Phishing: Per E-Mail, Social Media oder sogar Telefon emotionale Köder ausgeworfen

Beim sogenannten Phishing würden per E-Mail, „Social Media“ oder sogar per Telefon emotionale Köder ausgeworfen – in der Hoffnung, dass jemand „anbeißt“. Dies sei gerade in Ausnahmesituationen wie einer weltweiten „Pandemie“ viel wahrscheinlicher. „Cyber-Kriminelle nutzen die Verunsicherung und das allgemeine Bedürfnis nach Schutz und Informationen gezielt aus“, warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI), welches seit Beginn des vergangenen Jahres, 2020, einen hohen Anstieg an Phishing-Mails mit „Corona“-Bezug verzeichnet habe.
„Unternehmen müssen den Faktor Mensch nun intensiver in Maßnahmen zur Stärkung der IT-Sicherheit miteinbeziehen, um wenig Angriffsfläche zu bieten.“ Das bedeutet: Mitarbeiter müssten gezielt geschult werden!

Phishing-Mails beschwören Angst-Szenarien

Bei Phishing-Attacken helfe eine gute Antiviren-Software nur bedingt weiter. Zwar könne sie beispielsweise auf gefährliche Links und Anhänge in E-Mails hinweisen – doch Phishing ziele tatsächlich gar nicht auf technische Sicherheitslücken ab, sondern auf den Menschen hinter dem Rechner. Damit werde es zur einfachsten Art des Cyber-Angriffs, aber auch zur gefährlichsten. „Bei allen Arten geben die Versender vor, jemand zu sein, der sie nicht sind – eine seriöse Bank, ein Internetanbieter oder ein anderer Dienstleister.“
Erfolg habe das Phishing in der Regel, wenn der Empfänger zufällig einen Bezug zum vermeintlichen Versender habe – „also zum Beispiel, weil er zufällig Kunde bei der Bank ist, von der die E-Mail vermeintlich stammt“. Eine andere Strategie der Cyber-Kriminellen sei auch, den Betreff so zu formulieren, „dass er geradezu nach einer Reaktion schreit“, wie zum Beispiel „Ihr Konto wurde gesperrt“ oder „Ihr System wurde erfolgreich gehackt“. Viele Empfänger öffneten bei so einem angsteinflößenden Szenario die E-Mail und könnten so schneller zum Opfer einer Phishing-Attacke werden, weil sie glaubten, direkt handeln zu müssen.

Spear-Phishing: Gefahren im Home-Office

„Wie schon das Beispiel zu Beginn mit der Bank zeigte, versprechen subtile Phishing-Attacken den Kriminellen in ,Corona‘-Zeiten nicht nur mehr Erfolg, weil sie emotional an das Gewissen der Menschen appellieren und ihre Unsicherheit ausnutzen.“ Ihnen helfe auch, dass auf einmal vieles nur noch digital laufe. Da ein Großteil der Mitarbeiter im sogenannten Home-Office sei, fehle die „Face-to-Face“-Kommunikation – das Meiste laufe per Telefon, Chat oder E-Mail. Gerade dort setze das sogenannte Spear-Phishing an.
Im Gegensatz zu den meisten Phishing-Aktionen, bei denen massenhaft E-Mails, SMS oder Direct Messages in der Hoffnung versendet würden, dass einige Personen anbeißen (sog. „Spray and Pray Phishing“), werde Spear-Phishing ganz gezielt ausgeführt: Bei dieser Attacke suchten die Kriminellen systematisch Informationen von einer Person inklusive ihrer Verbindungen zu anderen Angestellten im Unternehmen (sog. Social Engineering), um auf diese Weise eine besonders glaubwürdige Nachricht eines Kollegen oder Vorgesetzten vorzutäuschen. So gebe sich der Angreifer zum Beispiel als Geschäftsführer des Unternehmens aus und dränge darauf, entweder eine bedeutende Zahlung anzuweisen oder schnell Informationen herauszugeben, auf die er aufgrund der aktuellen Lage angeblich keinen Zugriff habe.

Clone-Phishing als perfide Unterart

Eine ebenso perfide Unterart des Phishings sei das sogenannte Clone-Phishing. Dabei erstellten die Angreifer eine Kopie von einer zuvor gesendeten, echten E-Mail aus dem Unternehmen, welche einen Link oder einen Anhang enthalte. Die Kriminellen ersetzten jedoch Link oder Anhang durch einen bösartigen Ersatz und versendeten sie erneut mit einem täuschend ähnlich aussehenden E-Mail-Kopf:
„Klicken die Empfänger dann darauf, weil sie glauben, die Original-E-Mail vor sich zu haben, kann Malware ins System geraten, die dann weitere Schäden anrichten; z.B. verschlüsselt sie wichtige Daten und macht diese somit unbrauchbar.“ Im schlimmsten Fall erlangten die Angreifer die Fremdkontrolle über das System, wodurch sie Zugriff auf alle Daten erhielten. Ein solcher Angriff sei in der Regel nur möglich, wenn zuvor schon das Postfach gehackt und sich die Phisher so illegal Zugang zu den E-Mails verschafft hätten, um sie als Vorlagen verwenden zu können.

Tipps zum Schutz vor Phishing-Attacken:

Der sicherste Schutz vor Phishing-Attacken sei, alle E-Mails, „in denen Sie zu etwas aufgefordert werden, einmal genauer unter die Lupe zu nehmen – und auf bestimmte Signale zu achten“. Zum Beispiel: „Ist das wirklich die richtige Absenderadresse, oder ist da bei genauerem Hinsehen ein Buchstabendreher zu finden? Wo führen die Links hin? Sind Anrede und Inhalt seltsam allgemein gehalten?“
Wenn nach PINs oder TANs gefragt wird, sei das ebenfalls ein häufiges Anzeichen für einen Phishing-Versuch. Es gebe viele kleine Details, für die auch die Mitarbeiter in Schulungen sensibilisiert werden könnten. Insbesondere Buchhaltungspersonal werde gezielt für das Spear-Fishing ausgewählt und sollte daher im Fall der Fälle wissen, wie es mit mutmaßlichen Phishing-Nachrichten umgehen sollte, um die Attacke abzuwehren – „zum Beispiel, die IT-Kollegen rechtzeitig zu benachrichtigen“. Denn nur so könne gewährleistet werden, dass es in einer sonst technisch einwandfreien IT-Security keine Einfallstore für Cyber-Kriminelle gibt.

Weitere Informationen zum Thema:

datensicherheit.de, 18.12.2020
Corona-Soforthilfe: Warnung vor Phishing-Mails / PSW GROUP empfiehlt stärke Mitarbeiter-Sensibilisierung gegenüber Phishing-Attacken

datensicherheit.de, 07.12.2020
Missbrauchte Lieferdienste: Phishing-Attacken nutzen Hochkonjunktur des Versandhandels / Kriminelle geben sich in Phishing-E-Mails gerne als DHL aus und locken Nutzer auf ihre gefälschten Webseiten

datensicherheit.de, 01.12.2020
Phishing per E-Mail: COVID-19-Impfstoffe als Köder / Cyber-Kriminelle könnten sich aktuelle Nachrichten zu Corona-Impfstoffen zunutze machen