Spear Phishing: Nicht jeder ist, was er scheint
Spektakuläre Hacker-Aktionen mit ausgefeilten technischen Tricks machen immer wieder Schlagzeilen. Aber auch ohne raffiniert programmierte Viren oder tückische Java-Scripts kann man ahnungslose Internet-Nutzer abzocken. Nur wer auf Strong Authentication setzt, ist gegen Spear Phishing gefeit.
„Ihr conto account ist abgelaufn bitte retippes Sie Ihre Data!“ Nicht jeder Phishing-Versuch trägt eine wirklich professionelle Handschrift. Fehlerhaftes Deutsch oder dilettantisch nachgemachte Internet-Seiten sind bei Internet-Betrügern heute aber eher die Ausnahme. Die Mail mit dem Bank-Logo sieht wirklich authentisch aus, außerdem nennt der Absender auch noch die richtige Adresse des Angesprochenen, und seine Kontonummer ist ihm auch bekannt. Da muss es sich ja um eine offizielle Nachricht des Geldinstituts handeln - oder?
Leider nicht! Dass der Absender über vermeintlich Persönliches Bescheid weiß, ist heutzutage noch kein Beweis für seine Vertrauenswürdigkeit. Denn im Zeitalter von Xing, facebook und Co. ist sind viele private Daten öffentlich geworden. Aber auch wer sich nicht in sozialen Netzwerken engagiert, hinterlässt Spuren im Internet – und das Netz vergisst so schnell nichts. Wer einmal in einem Konzert als Solist mitgewirkt, einen Kreativ-Preis gewonnen oder bei einer Sportveranstaltung die Nase vorn gehabt hat, der findet oft Jahre später noch seine Vita in PDF-Form wieder.
Aber nicht nur das World Wide Web ist ein schier unerschöpflicher Steinbruch für persönliche Daten. Adressen und Telefonnummern jedes Bundesbürgers werden legal und illegal gehandelt, sogar 17.000 Datensätze mit Kontonummern sind kürzlich aufgetaucht.
Viele Betrüger machen sich die einfach verfügbaren Daten zunutze, um in eine fremde Identität zu schlüpfen. Sie geben sich als Angestellte der Hausbank aus oder als Systemadministrator des Arbeitgebers. Und nicht selten bringen sie auch weniger Gutgläubige dazu, Zugangsdaten und Passwörter herauszugeben.
Eine Studie mit Kadetten aus der renommierten Akademie West Point belegt dies nur allzu deutlich: 80 Prozent der zu Testzwecken Angemailten gaben bei personalisiertem Phishing ihre persönlichen Daten preis. Auf ungezieltes Phishing fielen dagegen nur drei Prozent herein.
Spear-Phishing hat nicht nur gute „Erfolgschancen“ - es geht auch relativ einfach. Technische Kenntnisse sind kaum erforderlich. Eine mittelmäßige Begabung bei der Internet-Recherche und viel kriminelle Energie reichen aus. Da Spear Pishing nicht auf technischen Tricks basiert, erweisen sich gängige Sicherheitsmechanismen wie Virenscanner oder Firewalls als wirkungslos. Denn die Schwachstelle ist der Mensch.
Abbildung 1 zeigt nur einen möglichen Angriff mit Drive by Pharming. Der Phantasie von Ganoven sind in diesem Bereich leider keine Grenzen gesetzt.
(Abbildung 1 ein Beispiel für Spear Pishing: Hacker Mallory beschafft sich aus öffentlichen sozialen Netzwerken Informationen über Marias Chef und den System-Administrator von Marias Firma. Maria erhält von Mallory kurz hintereinander zwei Nachrichten, die von ihr bekannten Absendern stammen und sich scheinbar gegenseitig bestätigen. Das bringt Sie dazu, einen gefälschten Link anzuklicken. Beim Login-Versuch übermittelt Sie dann, ohne es zu merken, ihr Passwort an Mallory. Sind allerdings Einmal-Passwörter im Einsatz, bleiben die ausspionierten Daten für Mallory nutzlos.)
Wer sich vor Spear Phishing schützen will, der sollte Folgendes beachten:
Vertrauliches vertraulich behandeln
Vorsicht bei sozialen Netzwerken im Internet. Persönliche Daten oder Kontakte sollten nur für bekannte und vertrauenswürdige Personen einsehbar sein. Wer hier allzu freizügig Informationen frei schaltet, macht sich nicht nur selbst angreifbar für Spear Phishing. Er liefert die Grundlage für falsche Identitäten und gefährdet damit auch andere. Auch beim Small Talk in der Kneipe sollte man nicht allzu großzügig aus dem Nähkästchen plaudern, sonst liefert man unversehens einem Spear-Phisher das ideale Werkzeug.
Misstrauisch bleiben
Die Kenntnis vermeintlich nicht öffentlicher Daten ist noch kein Beweis für die Vertrauenswürdigkeit einer Mail. Hier ist gesundes Misstrauen die wichtigste Kontrollinstanz. Eine Nachricht, die zur Preisgabe eines Passwortes auffordert, ist fast immer ein Phishing-Versuch – auch wenn sie noch so vertrauenswürdig daherkommt.
Über einen zweiten Kanal nachfragen
Die Authentizität einer Nachricht lässt sich in den meisten Fällen durch einen Telefonanruf schnell und einfach überprüfen. Dazu sollte man aber die wichtigste Nummer auf seinem Handy gespeichert haben. Wer für die Nachfrage die im Mail angegebenen Daten verwendet, tappt unweigerlich in die nächste Phishing-Falle.
Browser aktualisieren
Da Spear-Phishing-Attacken ohne verräterischen Programmcode auskommen, sind Virenscanner in der Regel wirkungslos. Wenn man aber doch einmal auf eine derartige Nachricht hereinfällt und auf eine gefälschte Internet-Seite geführt wird, erweist sich der Browser oft als letzte Notbremse. So warnt zum Beispiel Firefox in seiner aktuellen 3er Version vor Phishing-Seiten - bevor sie geöffnet werden.
Mit Strong Authentication gegen Sozial-Hacking
Auch wenn sich bei Spear Phishing meist eine Leichtfertigkeit als Einfallstor für Ganoven nachweisen lässt: Es ist wenig sinnvoll, die Schuld ausschließlich dem Anwender in die Schuhe zu schieben. Denn eines solle man nicht vergessen: Kunden oder Mitarbeiter haben Wichtigeres zu tun, als sich ständig um potenzielle Hacker-Attacken zu kümmern. Ein Sicherheitskonzept muss den Menschen berücksichtigen – und nicht umgekehrt!
Auch beim Spear Phishing erweist sich die herkömmliche Authentisierungsmethode über ein statisches Passwort als die eigentliche Schwachstelle. Ist es einmal ausspioniert, stehen dem Ganoven sämtliche elektronischen Tore offen.
Wirklich zuverlässigen Schutz vor Spear Phishing bietet nur Strong Authentication. Darunter versteht man Zugangssysteme, die mehrere Schritte zur Identitätsprüfung verwenden. Das Vasco Digipass System setzt hier auf die Zwei-Faktor-Authentisierung. Dabei berechnet ein Hard- oder Software-Token für jeden Login ein eigenes Einmal-Passwort aus einem voreingestellten und geheim gehaltenen Wert und der aktuellen Zeit. Am sichersten wird die Zwei-Wege-Authentisierung, wenn man die Berechnung des Passworts einem externen Gerät überlässt. Das Digipass-System bietet hierfür eine große Auswahl. Dabei können integrierte Smart-Card-Leser die Sicherheit weiter erhöhen. Aber auch Gerate mit Sprachausgabe sind verfügbar, damit auch Menschen mit Sehbehinderungen von moderner Authentisierungstechnik profitieren.
Auch wenn es einem Verbrecher gelingen sollte, eines dieser Einmal-Passwörter auszuspionieren, bleiben die gewonnenen Daten für ihn nutzlos, denn alle 36 Sekunden verfällt die Gültigkeit. Und für jeden Login ist wieder ein neues dynamisch generiertes Passwort erforderlich. Ist Strong Authentication im Einsatz, phishen auch gewiefte Sozial-Hacker letztlich im Trüben.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER