Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: Phishing – aktueller Stand

Das Wort Phishing setzt sich aus den englischen Wörtern «Password», «Harvesting» und «Fishing» zusammen. Mittels Phishing versuchen Betrüger, an vertrauliche Daten von ahnungslosen Internet-Benutzern zu gelangen. Dabei kann es sich beispielsweise um Zugangsdaten von E-Mail Konten und Online-Auktionsanbietern (z. B. eBay) oder die Zugangsdaten für E-Banking handeln. Initialisiert werden die Phishing-Versuche mit der Zustellung von Spam-Mails, die nicht auf Anhieb als solche erkennbar sind. Die Betrüger setzen dabei auf die Gutgläubigkeit, das Unwissen und die Hilfsbereitschaft ihrer Opfer. Gemäss dem jährlichen Cybersecurity Report von Cisco stagnierten die global versendeten Spam-Mails über den Zeitraum von 2010 bis Ende 2015 mehr oder weniger. Seit 2016 ist allerdings global ein deutlicher Anstieg zu identifizieren. In den E-Mails wird das Opfer oftmals darauf hingewiesen, dass seine Kontoinformationen und Zugangsdaten (z. B. Benutzernamen und Passwort) nicht mehr sicher oder aktuell seien und es diese unter dem im E-Mail aufgeführten Link ändern solle. Der Link führt allerdings meist nicht auf die Originalseite des jeweiligen Dienstleistungsanbieters (z. B. der Bank), sondern auf eine vom Betrüger identisch aufgesetzte Webseite. Dabei steigt die Qualität der betrügerischen Phishing-Mails ständig. Gefälschte Nachrichten sind heutzutage nicht mehr unbedingt durch ihr schlechtes Deutsch zu erkennen. Die nahezu perfekt kopierten Erscheinungsmerkmale und Logos von Firmen erwecken bei vielen den Anschein, dass es sich um ein echtes Mail handelt. Durch die identisch aufgesetzte Webseite wird der unaufmerksame Benutzer einerseits dazu gebracht, seine Login- und/oder Sicherheitsdaten einzugeben. Anderseits wird teilweise auch durch den Besuch der Webseite im Hintergrund eine Schadsoftware geladen («drive-by»). Dieses Vorgehen wird seit Anfang 2017 vermehrt auch bei Phishing-Mails, die den Kommunikationskonzern Swisscom betreffen registriert. Auch wird in den letzten Monaten eine stärkere Personalisierung der Betrugs-Kampagnen registriert. Die Spam-Mails täuschen reale E-Mail-Adressen von Mitarbeitenden desselben Unternehmens vor. Neben E-Mails mit eher nichtssagendem Betreff wie «Scan 28923323236» beinhalten einige Betreffzeilen zusätzlich den Namen des Empfängers, der Empfängerin – etwa in der Form «WG: gescanntes Dokument 14517127599 [Empfänger/in]». Durch den angegeben Link wird versucht, den Benutzer, die Benutzerin wiederum zum Besuch einer Phishing-Seite, einer Drive-By-Seite oder zum direkten Download der Schadsoftware zu bringen. Neben dem beschriebenen «klassischen» Phishing werden seit Ende 2016 vermehrt auch zahlreiche Voice-Phishing-Angriffe vermerkt. Mittels Phishing-E-Mail eines Finanzinstituts werden die Opfer unter Vorwand geänderter Sicherheitseinstellungen aufgefordert, ihre Kontonummer und ihre Telefonnummer anzugeben. Anschliessend werden die Opfer von den Betrügern kontaktiert und dazu bewegt, das Passwort und das zweite Sicherheitselement bekanntzugeben. Dadurch können sich die Betrüger und Betrügerinnen in das Bankkonto des Opfers einloggen und Transaktionen vornehmen. Im August 2017 informierte die Melde- und Analysestelle Informationssicherung des Bundes (MELANI) über eine neue Phishing-Variante. Darin fordern die Betrüger das Opfer auf, den Aktivierungsbrief der Bank, mit den Aktivierungsdaten zum Mobile Banking, einzuscannen oder zu fotografieren und an die Betrügerinnen zu übermitteln. Durch die Bekanntgabe der Information, die im Aktivierungsbrief in Form eines Mosaikbildes hinterlegt sind, ist es den Betrügern unter Umständen möglich, sich in das E-Banking des Opfers einzuloggen, indem sie ein weiteres Smartphone für die Zwei-Faktor Authentifierzung (2FA) aktivieren. Ab diesem Zeitpunkt können sich die Angreiferinnen jederzeit in das E-Banking Portal einloggen und ohne das Wissen des Opfers betrügerische Zahlungen von dessen Konto in Auftrag geben. Diese Aufstellung ist sicherlich nicht abschliessend, sondern zeigt in groben Zügen den aktuellen Stand der heutigen Phishing-Bestreben. Dadurch wird zudem verdeutlicht, dass es letztendlich immer eine Wechselwirkung zwischen den Massnahmen gegen Betrugsversuche und neuen kreativen Ideen der Betrüger bleibt. Die Tendenz zeigt aber auch, dass nicht nur die Anwender und Anwenderinnen, Anwendungen und die Massnahmenmöglichkeiten immer ausgereifter, versierter und professioneller werden, sondern auch die Betrügerinnen.

---

Blogpost wurde erstellt von André Kernen im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.