Phishingmails: Anweisung zur Überweisung vom Chef?

Phishingmails: Anweisung zur Überweisung vom Chef?

"Bitte überweisen Sie schnellstmöglich..." - So oder so ähnlich klingt der Inhalt einer Phishingmail, die Mitarbeiter erhalten, um einen Geldbetrag an ein ausländisches Bankkonto zu überweisen. Angeblich stammen die Mails vom Chef. Mit welcher Dreistigkeit die Phisher vorgehen, haben wir in diesem Artikel erläutert.

Es stellt heute kein Problem mehr da, herauszufinden, wer in einem Unternehmen welche Position einnimmt. Interessant für Kriminelle sind Prokuristen und Buchhalter. Die Informationen lassen sich meist sehr leicht von Unternehmens-Webseiten abgreifen. Die Masche läuft meist so ab, dass eine E-Mail an einen Angestellten - Buchhaltung, Prokura o.ä. - verschickt wird. Angeblich stammt die E-Mail vom Geschäftsführer oder Inhaber. In der E-Mail wird auf die Notwendigkeit einer Überweisung eines bestimmten Betrages gedrängt, die zügig durchgeführt werden solle. Unter Umständen wird auch auf einen Notfall hingewiesen. Die E-Mails sind oft in fast perfektem Deutsch verfasst, sogar eine gewisse Freundlichkeit ist zu entnehmen:

Freundliche Anfrage

Interessant ist, was wohl passiert, wenn man auf diese E-Mail mal antwortet:

Aha, man erhält sogar eine Bankverbindung. Es ist klar, dass sich diese im Ausland befindet. Nun haben wir den vermeintlichen "Chef" gefragt, welche der Geschäftskonten wir verwenden sollten. Prompt folgt die Antwort:

Bis auf das Vergessen einiger Satzzeichen, ist die E-Mail (fast) glaubwürdig. Es ist logisch, dass "irgendein" Konto verwendet werden soll, woher soll der Angreifer auch wissen, welche Konten man führt. Es geht aber noch weiter, denn wir gauckeln vor, es gäbe Probleme mit dem Zugriff auf die Geschäftskonten...:

Nun wurde es allerdings etwas langweilig, also haben wir beschlossen keine weitere E-Mail an den Verfasser zu schicken. Aber wir haben uns etwas getäuscht, so leicht gibt der "angebliche Chef" nicht auf:

Analyse

Die vom Phisher verwendete E-Mail-Adresse existiert tatsächlich, denn es konnte eine Kommunikation mit ihm aufgebaut werden und er musste die Konto-Daten preisgeben, damit das Geld bei ihm oder einem Strohmann ankommt. Auch die Analysen der Log-Dateien auf dem Mailserver haben eine Kommunikation - in diesem Fall - mit den Server von AOL bestätigt.

Interessant ist auch die Art und Weise, in welcher der Angreifer die E-Mails formuliert. Er verzichtet auf eine Anrede, also "Hallo Herr/Frau..." oder "Sehr geehrte...". Dadurch entsteht eine Befehlsform und suggeriert auch eine gewisse "Eile". Bei internen E-Mails wird oft so vorgegangen, meist aber weil die Kommunikation schnell und unkompliziert verläuft, also Normalfall. Dennoch entsteht beim potentiellen Opfer eine Form von Druck. Was aber nach unserer Erfahrung neu ist, dass nicht in der ersten E-Mail direkt ein Bank-Konto angegeben ist. Er erwartet eine Rückmeldung. Diese Optimierung filtert beim Angreifer uninteressante Ziele aus, ergo weniger Arbeit. Zudem kann er seinen Druck unter Umständen verstärken: Die Überweisung muss schnell gehen, es handle sich um einen Notfall o.ä. Der Kreativität des Angreifers sind hier keine Grenzen gesetzt.

Es ist also nicht verwunderlich, dass diese Art des "Kapitalabgriffs" tatsächlich in einigen Fällen erfolgreich war. Laut Medienberichten flossen pro Phishing-Mail sogar 7-stellige Beträge an die Betrüger.

Prävention

Das Perfide an dieser Art der Phishing-Angriffen ist die Benutzung tatsächlicher Daten durch den Angreifer. Er kennt die korrekte E-Mail-Adresse der Buchhaltung, auch die Namen der Geschäftsführung. Um an diese Informationen zu gelangen braucht es keinen Hacker-Angriff, ein einfacher Aufruf der Unternehmens-Webseite reicht aus.

Die meisten Phisher verwenden kostenlose E-Mail-Adressen von Massenanbietern. Mittlerweile zeigt z.B. auch Outlook die tatsächliche E-Mail-Adresse in der Nachricht an:

Hier sollten sich alle Mitarbeiter angewöhnen, diese Adresse zu überprüfen. Nur bei bekannten eingetragenen Kontakten, zeigt Outlook die tatsächliche Adresse nicht an, was unserer Meinung nach nicht gut gelöst ist.

Bei manchen Links, die in der E-Mail vorhanden sind, reicht ein überfahren mit der Maus über den Link, worauf ein kleines Fenster mit der tatsächlichen Internet-Adresse angezeigt wird. Daran erkennbar ist z.B., dass nicht auf "paypal.com", sondern auf "paypal.mafiahosting.ru" verwiesen wird (man verzeihe uns die TLD ".ru").

Einer der wichtigsten Punkte ist die Optimierung der internen Kommunikation innerhalb des Betriebes:

  • Bei fragwürdigen Anfragen per E-Mail, telefonische Klärung (wird tatsächlich mal "vergessen").
  • Geschäftsführende Personen sollten ihrem Personal ggf. auch private E-Mail-Adressen mitteilen. Es kann durchaus sein, dass sich ein Geschäftsführer mit seiner privaten E-Mail-Adresse aus dem Urlaub bei seiner Firma meldet.
  • Interne Prozesse für Kapitaltransfers erstellen (wer darf überweisen, wer ist zeichnungsbefugt und grundsätzlich gegenseitige Absicherungen vor Überweisungen).

Angriffe über Phishing funktionieren auch durch psychologische Manipulation, wie dem Erwecken von Neugier, Angst oder Panik (z.B. "Ihr Paypal-Konto wurde gesperrt"), Verwenden von befehlsartiger Schreibweise um Druck zu erzeugen. Alle diese Mittel sollen dem Opfer die Rationalität rauben, es soll nicht mehr auf die verräterischen Spuren in der Mail achten. Das dies durchaus funktioniert, zeigen Fälle, in denen die Betrugsmaschen immer wieder Schaden anrichten.

Tags: Sicherheit, spam, Phishing
Categories: Sicherheit