In meinem letzten Blog-Post habe ich euch Tipps gegen Spoofing-Mails gegeben. Heute möchte ich über ein weiteres Thema im Bereich Mail sprechen, das sogenannte Phishing. Durch Phishing versucht ein Angreifer an persönliche (Login-)Daten eines Benutzers zu gelangen und diese zu missbrauchen. Dies kann via Mail, auf einer Webseite oder auch in SMS / Whatsapp usw. durchgeführt werden. In diesem Artikel werde ich mich auf die Phishing Mails konzentrieren.


Zum Entsperren «hier» klicken!

Möglicherweise haben Sie auch schon Mails erhalten zum Beispiel betreffend Ihrem World of Warcraft Account, welcher gesperrt wurde, da ein verdächtiger Login-Versuch vom System entdeckt worden ist. Um Ihren Account zu entsperren, müssen Sie nur auf den Button / Link im Mail klicken und Ihre Login-Daten angeben.

«Fair enough» werden die Meisten jetzt denken, auf den Button klicken und sich einloggen. Und schon hat ein dritter die Login-Daten und der Paladin Level 55 mit all seinen seltenen Items Namens «Internet the Explorer» gehört jetzt der meistbietenden Person auf eBay.


Zuerst denken, dann klicken!

Hätte man die Mail ein wenig genauer angeschaut, hätte man plötzlich bemerkt: «Hey mein WoW Account hat gar nicht meine Gmail-Adresse hinterlegt! ». Und dann hätten Sie sich den Link der vermeintlichen Account-Entsperr-Seite noch genauer angeschaut und gesehen, das diese überhaupt nichts mit WoW oder Blizzard etc. zu tun hat.

Genau mit solchen Tricks versuchen Betrüger an Ihre Account Details zu gelangen und diese dann zu benutzen. Identitätsdiebstahl wird dies auch genannt, da nun ein Unbekannter sich als Sie im Internet ausgeben kann. Sei dies in einem Online Game wie World of Warcraft oder Online-Dienst wie Netflix etc. Meist geht es hierbei darum an weitere Informationen zu gelangen wie z.B. die Kreditkarte oder um einen Account zu plündern.

Ich persönlich erhalte regelmässig die Mail, dass mein Apple Account gesperrt worden ist. Jedoch habe ich keinen Account bei Apple und somit ist es für mich einfach zu merken, dass es sich hier um eine Phishing Mail handelt bzw. es gibt noch ein/zwei andere Indizien.

Phishing Reminder

In diesem Mail war es sehr offensichtlich, dass der Absender «nucghqfh0gugr7» nicht ein besorgter Apple-Mitarbeiter ist, welcher mir den nicht-vorhandenen Account gesperrt hat.


Was kann man als Benutzer dagegen machen?

Leider ist es nicht immer so einfach, einem Phishing Mail auf die Schliche zu kommen.
Folgende zwei Massnahmen helfen in den allermeisten Fällen bereits, um ein Phising-Mail zu erkennen:

1. Kontrolle des Absenders
Von wem wurde die Mail gesendet?
An was für eine Adresse würde eine Antwort auf das Mail gehen?
Hierbei kann man sehen, ob es eine legitime Mailadresse ist oder eine offensichtliche Fälschung wie im Beispiel oben.

 

2. Kontrolle des Links in der Mail
Die meisten Mailprogramme wie Outlook, Thunderbird oder auch die Mail App von Windows 10 zeigen den effektiven Link z.B. hinter einem Button an. Anbei ein Beispiel:

Phishing YouTube
Wie man sehen kann, führt der Link auf eine Seite, welche gar nichts mehr mit YouTube zu tun hat…

Es ist elementar wichtig, die eigenen Benutzer im Umgang mit Phishing-Mails zu schulen! Awareness schaffen, damit diese sich auch bewusst sind, was alles passieren kann, wenn man auf solche Links klickt. Es gibt auch «Phishing Tests», welche auch aufzeigen können, wie viele Leute dann wirklich die Mail lesen und auf den Link klicken etc.

Weiter sollen Benutzer auch nie die eigene Geschäftsmailadresse für externe Accounts (YouTube, Facebook, Dropbox etc.) verwenden und man sollte diese auch nicht öffentlich zur Verfügung stellen.


Doch wie kann ein Unternehmen seine Benutzer schützen? – technische Massnahmen

Auf der technischen Seite gibt es natürlich auch Möglichkeiten, um sich vor Phishing zu schützen.

Eine Option ist die Überprüfung von SPF / DMARC von eingehenden Mails. Hierbei wird kontrolliert, ob der Sender-Server überhaupt berechtig ist, im Namen der Absender-Domäne eine Mail zu versenden. Es gibt hierfür eine 3-teilige Artikel-Reihe von Blenny: www.tec-bite.ch/warum-mag-google-meine-mails-nicht/

Verschiedene Hersteller bieten zudem noch weitere Funktionalitäten, welche sich um die URLs in einer Mail kümmern. Es gibt die Möglichkeit, dass das Mailgateway die URLs überprüft und z.B. eine Mail blockiert, wenn diese eine böse URL beinhaltet. Andere Hersteller können auch eine URL so umschreiben, dass wenn ein Benutzer diesen öffnen möchte, der Zugriff via einem Web Proxy geht, welcher dann zuerst die URL überprüft und somit den Benutzer schützt.

Zu guter Letzt gibt es natürlich auch noch dedizierte Lösungen zur Phising Protection, so beispielweise von Cisco. Diese Lösungen sind allerdings noch relativ neu und kommen erst langsam auf. Darum gibt es noch nicht allzu grosse Erfahrungswerte damit. Ich finde den Ansatz jedoch vielversprechend: Es handelt sich um eine Kombination von Sender-Authentisierung und der Analyse von existierenden E-Mail-Beziehungen durch AI. Das System erkennt somit Phishing-Attacken und kann diese blockieren.

Wie gut das wirklich greift, wird sich zeigen. Die Effektivität des Systems steht und fällt mit der Anzahl User und der Qualität der AI-Technologie.


Schlussendlich

Soll und darf man auch mal skeptisch bei einer Mail sein und diese hinterfragen. Lieber einmal nicht auf einen Link klicken und das Mail ignorieren, als dass man seine Kreditkarte oder Login-Daten auf irgendeiner zwielichtigen Seite angibt 😉


Links