Credential Phishing: So sieht es in der Realität aus

Share on facebook
Share on twitter
Share on linkedin

E-Mails von Hackern landen bei jedem immer mal wieder im Postfach. Diese Woche auch in unserem und dem eines Kunden. Wie sind die Mails aufgebaut? Was hätte passieren können? Wie haben wir reagiert? Doch zuerst, was ist Credential Phishing überhaupt?

Was ist Credential Phishing?

Credential Phishing ist eine Art des Social Engineering, welche das Opfer dazu verleiten soll dem Hacker seine Zugangsdaten zu übergeben, im guten Glauben das Richtige zu tun. Eine beliebte Methode ist es dabei Mails an tausende Mailadressen zu schreiben und dabei eine kleine Geschichte zu erzählen. Die Kreativität der Hacker kennt dabei keine Grenzen. Jetzt in Corona Zeiten wurde zum Beispiel die Unternehmenshilfen der Bundesregierung als Vorlage für solche Angriffe genutzt.

Was genau ist passiert?

Wir als OSYSCON GmbH haben eine solche Phishing-Mail an unsere Kontaktadresse erhalten. Ein Bild in der Mail fordert dazu auf, den Anhang anzuklicken und unsere Mail-Zugangsdaten einzugeben, um auf Mails zugreifen zu können, die aufgrund von sensiblen Informationen zurückgehalten wurden. Das Ganze sah wie folgt aus.

Im Anhang war eine kleine htm-Datei. Würde man diese in einem Browser öffnen, so wie es gegebenenfalls von dem Mail-Programm vorgeschlagen wird, würde man den enthaltenen Code ausführen.

Dieser Code tut genau zwei Sachen. Zum einen wird ein GIF abgespielt, welches einen Ladevorgang suggeriert.

Zum anderen wird von einem Server der Angreifer ein JavaScript-Code nachgeladen und ausgeführt. Was genau der Code macht, kann man nicht ohne weiteres herausfinden.

Der Angreifer kann aber tun was er möchte. Er kann Sie zur Eingabe der Zugangsdaten zu Ihrem Mail-Konto auffordern, wie bereits in der Mail angekündigt wurde. Er kann aber auch direkt einen Trojaner installieren oder warum nicht beides?

Das Mail-Konto ist für jeden Hacker der Jackpot. Mit Zugriff darauf, könnte er von jeder anderen Plattform das Passwort zurücksetzen. Das Eingeben der Zugangsdaten bzw. die Ausführung des Codes der Hacker könnte eine Gefahr für das gesamte Unternehmen sein.

Die Mail haben wir direkt aus dem Posteingang unserer Kontaktadresse gelöscht. Sollten Sie solche Mails erhalten, empfiehlt es sich das Gleiche zu tun.

Spearphishing mit abgefangener Kommunikation 

Auch, wenn vielen die Gefahr von gefälschten E-Mails im Namen von PayPal, der Deutschen Bank oder Amazon bewusst ist, gibt es aber auch bei E-Mails, die auf den ersten Blick unscheinbar aussehen einige Gefahren. Worum geht es? Was passiert dabei? Wie können Sie sich schützen? 

Kunde der OSYSCON GmbH 

Ein Mitarbeiter eines unserer Kunden erhielt eine E-Mail, die auf den ersten Blick von einem internen Absender zu kommen schien. Diese E-Mail nahm Bezug auf ein aktuell laufendes Projekt unseres Kunden und enthielt einen E-Mailverlauf mit bisher tatsächlich erfolgter Kommunikation zwischen unserem Kunden und einem Geschäftspartner. In der E-Mail war ein Anhang enthalten, bei dem es sich um eine passwortgeschützte Archivdatei im “.zip” Format handelte. Das zugehörige Passwort stand ebenfalls in derselben E-Mail.  

Die E-Mail sah wie folgt aus: 

Der Mitarbeiter hat diesen Angriffsversuch im ersten Moment nicht als solchen erkannt und versucht den Anhang einzusehen. In der Archivdatei befand sich eine Microsoft Word Datei, welche beim Öffnen der Datei zum Glück direkt vom eingesetzten Virenscanner erkannt und bereinigt wurde. Der Mitarbeiter nahm mit uns Kontakt auf, um die Probleme beim Öffnen der Datei prüfen zu lassen, welche sich bei Prüfung der E-Mail schnell auf den verhinderten Angriff auf das IT-System des Kunden zurückführen ließen. 

Die Angreifer hatten hier eine bereits zu stark verbreitete und somit dem Virenscanner bekannte Version einer Schadsoftware eingesetzt. Durch den Einsatz eines, dem Virenscanner, noch unbekannten Schadcode wäre der Angreifer sicher zu einem erfolgreichen Abschluss des Angriffs gekommen. 

Untersuchungen des BSI haben für den Zeitraum Juni 2019 bis Mai 2020 gezeigt, dass es im Monat eine durchschnittliche Zahl von etwa 10 Millionen neuen Schadprogramm-Varianten gibt, das entspricht einer Entwicklung von über 200 neuen Schadprogrammen pro Minute, die Hersteller von Antiviruslösungen analysieren und erfassen müssen, um einen automatisierten Schutz durch ihre Sicherheitslösung zu gewährleisten. Für eine erfolgreiche Abwehr müssen die Informationen zu diesen Schadprogrammen aber zuvor entdeckt, erfasst und an ihre lokale Anwendung übergeben sein. Ihre Antivirus-Lösung ist somit allenfalls ein Hilfsmittel bei der Gefahrenabwehr und keine 100% verlässliche Schutzlösung.  

Das wichtigste Mittel ist Ihre Aufmerksamkeit vor dem Öffnen von Anhängen! 

Worauf sie beim Öffnen von E-Mails achten sollten 

Passt der Absender? 

  • Passt die E-Mail-Adresse zu dem namentlich genannten Absender? 
  • Gerade bei internen E-Mails ist das auf einen Blick zu erkennen, wenn eine fremde Adresse hinter dem Namen auftaucht. 
  • Passt der Absender zu dem Vorgang und dem Inhalt? 

Erwarte ich die E-Mail? / Weicht der Vorgang von den üblichen Abläufen ab? 

  • Erwarten Sie zu dem Vorgang keine E-Mail seien Sie ruhig skeptisch und prüfen den Inhalt genauer, hinterfragen Sie, ob es notwendig ist den Anhang zu öffnen oder Anweisungen in der E-Mail zu folgen. 
  • Kommt eine E-Mail mit einem Dateityp im Anhang, den Sie sonst nicht bekommen, kann das auf einen Angriff hinweisen. 
  • Fordert ein Office-Dokument plötzlich Makrofunktionen an, lassen Sie die Notwendigkeit vor der Ausführung von ihrer zuständigen IT-Stelle prüfen. 

Ist die E-Mail seltsam formuliert? 

  • Oft ist es für Angreifer schwierig ohne einen ausreichend tiefen Einblick in Ihre Kommunikation passende Fachwörter oder korrekte Ansprechpartner zu ermitteln. 
  • Sprachliche Barrieren, gerade auch die Verwendung von Du und Sie bereiten Angreifern oft Schwierigkeiten, eine für uns korrekt klingende Formulierung der E-Mail zu erreichen. 

Wird eine “Archivdatei“ (bspw. “.zip“) zusammen mit einem Passwort verschickt? 

  • Dies ist ein bekanntes Vorgehen, um den Inhalt der Datei vor dem Zugriff eines Virenscanners zu schützen, bis sie ihn auf ihrem PC öffnen. 
  • Wenn Sie einen Tresor zusammen mit dem Schlüssel bei der Post als Paket aufgeben, kann jeder mit Zugriff auf das Paket auch den Inhalt einsehen. Um Sicherheit der Daten zu gewährleisten, müsste das Passwort auf einem alternativen Weg übermittelt werden. 

Bei Auffälligkeiten kontaktieren Sie am besten den Absender telefonisch und fragen nach, ob dieser die E-Mail verschickt hat.   

Fazit

Sollten beim Öffnen von Anhängen Fehler auftreten oder der Anhang anders als erwartet aussehen und Sie stellen im Nachhinein fest, dass die E-Mail dazu auch seltsam wirkt, nehmen Sie sofort Kontakt zu Ihrer IT-Stelle auf und teilen Sie dieser mit, dass Sie eine potentiell schädliche Datei ausgeführt haben. Bei einer ausreichend guten Geschichte des Angreifers, kann dies auch Profis passieren. Versuchen Sie diesen, unter Umständen bereits erfolgreichen Angriff, auf keinen Fall aus Scham oder Angst vor Konsequenzen zu verschweigen. Eine nicht erkannte und zur Ausführung gelangte Schadsoftware hat weitreichende Folgen für die Arbeitsfähigkeit Ihres Unternehmens und zieht zumeist hohe finanzielle Schäden nach sich. 

Durch Ihre Aufmerksamkeit beim Umgang mit E-Mails und zugehörigen Anhängen können Sie zur Vermeidung dieser Schäden den wichtigsten Beitrag leisten. 

Sie wollen mehr darüber wissen und lernen, wie Sie mit solchen Gefahren umgehen müssen? Kontaktieren Sie uns für eine Sensibilisierung.

Das könnte Sie auch interessieren

firewall

Eine Firewall ist knapp gesagt ein Cybersecurity-Tool bzw. ein Rechnerschutz und dient der Informationssicherheit.

IT-Sicherheit
sinvolle it sicherheit maßnahmen

Hier erfahren Sie 4 Maßnahmen, die Ihre IT Sicherheit erhöht und Ihr Unternehmen um ein vielfaches sicherer macht.

IT-Sicherheit
Frau klaut Daten, da sie durch eine Sicherheitslücke gekommen ist

Sicherheit ist in der heutigen Welt ein absolutes Muss. Das gilt vor Allem für Ihr IT Netzwerk.

IT-Sicherheit
Managed Backup

Ein fehlendes Backup macht sich immer erst zu spät bemerkbar. Daten sind das Gold unserer Zeit und müssen geschützt werden.

IT-Sicherheit
Email sorgt für falschen Klick und lässt den Malware befall zu!

Ein falscher Klick kann Ihnen mehrere Tausend Euro und einen hohen Reputationsschaden kosten.

IT-Sicherheit
3 Typische Arten eines Cyberangriffs

Diese 3 Vorgehensweisen sind typisch für einen Hacker. Was können Sie als Opfer dagegen tun?

IT-Sicherheit
Jetzt für den OSYSCON Newsletter anmelden
Bleiben Sie auf dem neusten Stand der digitalen Sicherheit
  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Mit dem Eintragen akzeptieren Sie unsere Datenschutzrichtlinien, diese finden Sie hier.
Onboarding

Im Onboarding werden wir Sie und Ihr Netzwerk zunächst genauer kennenlernen und bestimmen einen gemeinsamen Fahrplan. Wir fordern Dokumente an, die wir für die Begutachtung benötigen und klären Ihre Bedenken. Sonderwünsche Ihrerseits werden ebenfalls besprochen. Sie möchten bestimmte Geräte von der Prüfung ausschließen? Kein Problem. Sie möchten, dass wir auf etwas besonders viel Augenmerk legen? Auch kein Problem. All dies und vieles mehr muss vor dem Beginn einer jeden Prüfung geklärt werden.

Holen Sie sich ihr individuelles Angebot

Mit dem Absenden akzeptieren Sie unsere Datenschutzrichtlinien, diese finden Sie hier.