Phishing und Social Engineering

Beim Phishing (Leetspeak für Fishing) versucht der Betrüger oder die Betrügerin, nach Daten von anderen Menschen zu „angeln“. Dabei werden verschiedene Tricks verwendet, die eine Zielperson oder eine Gruppe von Zielpersonen dazu bringen, vertrauliche Daten (z.B. Benutzername und Passwort) „freiwillig“ bekanntzugeben – ohne sich dabei bewusst zu sein, wem sie diese Daten geben.

Die Hacker:in nutzt dabei nicht Schwachstellen in IT-Systemen, um an Informationen zu gelangen oder schädliche Programme zu installieren. Stattdessen nutzt sie „Schwachstellen“ in der menschlichen Psyche. Ein solches Vorgehen ist eine Form von Social Engineering. Social Engineering ist die psychologische Manipulation von Menschen, sodass diese Handlungen ausführen, die zur Preisgabe vertraulicher Daten führen.

Weshalb startet jemand eine Phishing-Attacke, weshalb will jemand bestimmte Daten von anderen sammeln? In den meisten Fällen geht es natürlich darum, Geld zu verdienen. Seltener geht es darum, der Zielperson oder -organisation zu schaden. Wie aber sollte jemand Geld damit verdienen, wenn er oder sie beispielsweise mein Passwort für mein Galaxus-Konto angelt? Was kann jemand anderes damit tun, als Produkte an meine Adresse bestellen?

Es gibt mehrere Arten, wie solche Daten von Betrüger:innen genutzt werden können. Je nach Ziel und Motivation bieten sich andere Arten von Social Engineering an.

Folgend werden einige „beliebte“ Strategien bzw. Tricks des Social Engineering erläutert. Man spricht auch von Social-Engineering-Vektoren. Ein Vektor ist ja sowas wie ein Pfeil mit einer bestimmten Richtung. Bildlich gesprochen kann eine Betrüger:in also unterschiedliche Vektoren wählen, um die Zielpersonen aus unterschiedlichen Richtungen bzw. auf unterschiedlichen Wegen anzugreifen. Welcher Weg auch gewählt wird: immer kommen psychologische Tricks zur Anwendung, die helfen, die Opfer zu täuschen.

Beim Phishing via E-Mail wird der „Köder“ via E-Mail versendet. Meistens wird die E-Mail an sehr viele Empfänger:innen verschickt, in der Hoffnung, dass ein kleiner Teil „anbeisst“. Es ist quasi ein Fischen mit grossem (aber durchlässigem) Netz. Ziel ist dann, vertrauliche Daten wie Passwörter oder Informationen zum Bankkonto von möglichst vielen Personen zu sammeln. Die gesammelten Daten können dann beispielsweise an Andere verkauft oder für spätere, gezieltere Attacken (siehe unten) genutzt werden.

Die E-Mail enthält oft einen Link: Dieser führt zum Beispiel auf eine Login-Seite, die vertraut aussieht, aber gefälscht ist: Ich erhalte die Mail, klicke auf den Link, gelange auf eine mir bekannt erscheinende Seite und gebe meine Login-Daten ein. Nur war das eben eine gefälschte Seite – jetzt sind mein Benutzername und Passwort in den Händen der Betrüger:innen.

Damit möglichst viele Leute den Anweisungen in der E-Mail folgen, werden verschiedene Methoden verwendet. Zum Beispiel enthält die Mail eine dringende Aufforderung, einen Hinweis auf eine mögliche Gefahr – oder ein Versprechen auf eine einmalige Gelegenheit. Oder es sieht so aus, als stamme die E-Mail von einem Freund, einer Freundin oder einem Familienmitglied. Der Trick besteht immer darin, eine Situation zu schaffen, in der die Empfänger:innen handeln, ohne lange zu überlegen.

Weshalb funktioniert das dennoch bloss bei einem kleinen Teil der Empfänger:innen? Der Hauptgrund hierfür liegt darin, dass E-Mail-Anbieter Spam-Filter haben und die meisten Phishing-Mails gar nicht erst gelesen werden. Ausserdem sind viele dieser Phishing-Mails nicht besonders sorgfältig und überzeugend gestaltet. Das hat damit zu tun, dass es relativ einfach ist, eine Phishing-Attacke zu starten, wie etwa dieses Video zeigt. Viele von uns erhalten täglich mehrere E-Mails; wenn sich darunter eines befindet, das irgendwie „fishy“ aussieht, haben wir wenig Mühe damit, es einfach zu ignorieren. Dennoch ist grundsätzlich Vorsicht und Skepsis angebracht: Manche Phishing-Mails sind so gut gemacht, dass wir leicht auf sie hereinfallen.

Eine Spear-phishing-Attacke richtet sich gezielt auf eine einzelne Person (wie auch beim Fischen mit Wurfspiess (spear) nach genau einem Fisch gezielt wird). Handelt es sich dabei um eine besonders „wichtige“ Person, etwa um die oder den CEO einer Firma, spricht man auch von Whaling (Walfang): man hat es auf ein besonders grosses Tier abgesehen. Weshalb?

Meistens deshalb, weil die Zielperson besondere Befugnisse, Zugänge zu wichtigen Informationen oder viel Einfluss hat. Einzelne Mitarbeitende in der Buchhaltungsabteilung einer Firma haben beispielsweise die Befugnis, grosse Geldsummen auf andere Konten zu überweisen. Mit den richtigen Zugangsdaten einer solchen Person kann die Angreifer:in die besonderen Befugnisse oder den Einfluss der Person für eigene Zwecke nutzen.

Wer eine Attacke auf bloss eine Person startet, erhofft sich natürlich eine grössere Erfolgsquote als mit der Massen-E-Mail-Methode. Um die Chancen zu erhöhen, dass die Zielperson „anbeisst“, wird die E-Mail genau auf sie zugeschnitten. Das geht umso besser, je mehr die Angreifer:in über die Zielperson weiss. Nach nützliche Informationen kann zum Beispiel auf Social-Media-Plattformen wie LinkedIn, Instagram oder Facebook recherchiert werden.

Gewinnt eine Hacker:in ausreichend Einblick in die Organisation einer Firma sowie Informationen über die Namen und E-Mail-Adressen der Angestellten, so könnte sie oder er versuchen, E-Mails an bestimmte Mitarbeitende zu versenden, deren Absender scheinbar die oder der CEO dieser Firma ist (oder eine Person in ähnlich hoher Position). Dann erhält zum Beispiel ein:e Mitarbeitende:r in der Buchhaltungsabteilung plötzlich eine Mail vom CEO, in der steht, dass SOFORT, noch innerhalb der nächsten Minuten, die schon lange versäumte Zahlung über 50'000 Franken an X mit Kontonummer Y gezahlt werden soll. Weil hier sowohl hohe Autorität als auch hohe Dringlichkeit vorgetäuscht wird, kann es passieren, dass Mitarbeitende den Anweisungen in der Mail folgen, obwohl es Regeln gäbe, die so unvorsichtiges Handeln verhindern sollten.

Vishing steht für Voice phishing und bezeichnet das Vorgehen, Phishing-Attacken via Telefon-Kommunikation durchzuführen. Die Vorteile (aus Sicht der Betrüger:innen) gegenüber dem Phishing via Mail liegen unter anderem im höheren Vertrauen gegenüber dieser Art von Kommunikation sowie in der Unmittelbarkeit eines direkten Gesprächs.

Das Vertrauen gegenüber der Telefon-Kommunikation ist vor allem bei älteren Menschen höher: Lange war es in der Telefon-Kommunikation so, dass jeder Anschluss einer bestimmten Person, einem Haushalt, einem Geschäft oder einer Firma zugeordnet war, die für diesen Anschluss auch bezahlen musste. Es lohnte sich kaum, grössere Betrugs-Aktionen via Telefon zu starten, denn es war schwierig, anonym zu bleiben und jedes Telefongespräch musste bezahlt werden. Das Telefongespräch galt deshalb lange als eine verbindliche und vertrauenswürdige Form der Kommunikation: Wir vertrauen gewöhnlich darauf, dass die anrufende Person auch die ist, für die sie sich ausgibt. Dieses Vertrauen wird heute ausgenutzt. Heute ist es dank Voice over IP (VoIP) möglich, kostenlos zahlreiche Menschen anzurufen. Und dank Caller ID spoofing ist es möglich, dabei anonym zu bleiben.

Der „Vorteil“ der Unmittelbarkeit des Telefongesprächs liegt auf der Hand: Bei einer E-Mail muss ich nicht sofort antworten und habe Zeit, über das Geschriebene nachzudenken oder mit jemandem darüber zu sprechen. Beim Telefongespräch wird erwartet, dass ich sofort antworte, sofort ja oder nein sage, sofort irgendwelche Daten von mir preisgebe. Vishing-Betrüger:innen nutzen diese Situation. Indem sie beispielsweise mit schlimmen Konsequenzen¹⁾ drohen oder mit hohem Gewinn locken, bringen sie ihre Opfer am anderen Ende umso leichter zur Preisgabe vertraulicher Daten.

Wie beim Phishing via E-Mail gibt es auch beim Vishing unterschiedliche Ansätze. Einerseits automatisierte Massen-Anrufe (Netzfischen) mit kleiner Erfolgsquote. Oft werden hier Text-to-speech-Systeme verwendet: Am anderen Ende spricht ein Computer und fordert dazu auf, eine bestimmte Nummer anzurufen. Wer diese Nummer wählt, ruft dann die Betrüger:innen an. Ein Beispiel hierfür ist der IRS impersonation scam. Andererseits gibt es gezielte Einzel-Anrufe (Wurfspiess-Fischen), denen teilweise ausgiebige Recherchen über das Opfer vorausgehen. Die Recherchen ermöglichen den Betrüger:innen, sich als Personen oder Vertreter:innen von Organisationen auszugeben, die dem Opfer bekannt und vertraut sind.

Smishing ist das Phishing via SMS. Wie beim E-Mail-Phishing enthalten die Nachrichten meistens eine Aufforderung, einem Link zu folgen oder auch eine bestimmte Nummer anzurufen. „Vorteile“ gegenüber dem E-Mail-Phishing bestehen unter anderem darin, dass den Nachrichten kaum Spam-Filter im Wege stehen. Auf dem Smartphone, auf dem die SMS gelesen wird, ist es ausserdem nicht so bequem möglich, die tatsächliche Adresse hinter einem Link anzuzeigen. Bekannte Beispiele für Smishing sind SMS, die angeblich von Lieferdiensten wie UPS oder DHL stammen. Beispielsweise wird mitgeteilt, dass ein Paket nicht geliefert werden könne und man – „unter diesem Link“ fehlende Angaben ergänzen soll.

Das klassische Baiting („Ködern“) mit physikalischen Datenträgern wie CD-ROMs oder USB-Sticks war verbreiteter, als diese noch öfter in Gebrauch waren, aber kommt auch 2022 noch vor. Studiere dazu einen der beiden Artikel zum gleichen Thema: Deutsch Englisch. Die Idee: Die Betrüger:innen, die sich beispielsweise Zugang zum IT-System einer bestimmten Firma verschaffen wollen, verteilen beispielsweise schöne neue USB-Sticks in der Nähe des Firmengeländes. Oder sie lassen an geeignetem Ort eine CD liegen, die zum Beispiel mit „Lohntabelle 2022“ beschriftet ist. Einige Mitarbeitende, erfreut über das neue Gerät oder überaus neugierig auf die vermuteten Informationen, verbinden den USB-Stick mit ihrem PC am Arbeitsplatz oder legen dort die CD-ROM ein. Wenn Sie Dateien, die die Hacker:innen darauf platziert haben, öffnen, installieren sie Programme auf einem PC, der in das interne Netzwerk der Firma eingebunden ist. So können sich die Hacker:innen Zugang zu firmeninternen Informationen verschaffen und die IT-Sicherheit von innen angreifen.

Eine weitere Möglichkeit des Phishing wäre beispielsweise das Verteilen von Plakaten, Flugblättern oder Aufklebern, die einen QR-Code enthalten und Neugierde wecken. Vielleicht gibt es tolle Preise zu gewinnen. Die Links hinter den QR-Codes führen dann beispielsweise auf die Seite des Wettbewerbs, für den man sich erst anmelden und einige persönliche Informationen bekannt geben muss.