Kunden von Schweizer KMUs: Ziel von massgeschneiderten Phishing-Angriffen

31.03.2015 - Nach wie vor versuchen Betrüger an sensible Daten wie Passwörter, Kreditkartendaten usw. zu gelangen. Zu diesem Zweck werden meist Webseiten kreiert, welche derjenigen einer Firma täuschend ähnlich sehen (beispielsweise werden gerne Internetauftritte von Banken oder Kreditkarteninstituten missbraucht). MELANI interveniert täglich, um solche betrügerische Webseiten vom Netz zu nehmen und so die Internetnutzer zu schützen. Schon seit einiger Zeit missbrauchen die Betrüger allerdings nicht mehr ausschliesslich nur die Namen von grossen und bekannten Unternehmen, sondern verüben auch sehr gezielte Phishingangriffe mit dem Namen kleinerer Firmen. Diese Tendenz scheint sich zu akzentuieren: verschiedene Fälle, welche MELANI kürzlich zur Kenntnis gebracht wurden, zeugen von einer zunehmenden Professionalität dieser Angriffe. Betroffen sind KMUs in den verschiedensten Tätigkeitsbereichen, welche eine Website betreiben, die in irgendeiner Weise Kunden-E-Mail-Adressen verwenden respektive gespeichert haben, beispielsweise für den Versand eines Newsletters.

In einer ersten Phase des Angriffs versuchen die Kriminellen, über die Firmenwebsite an eine Datenbank mit Kunden-E-Mail-Adressen zu gelangen. Meist wird dabei eine Schwachstelle auf der Website ausgenutzt (beispielsweise Angriffe mit SQL-Injections). Danach werden im Namen dieser Firma gefälschte Mail-Nachrichten an die entwendeten Adressen gesendet. Absender und Inhalt werden perfekt imitiert, so dass es aussieht, als stammten diese Mails tatsächlich von der Firma. In den aktuellen Fällen geben die E-Mails vor, dass das Opfer eine Kostenrückerstattung beantragen kann. Zu diesem Zweck soll ein Link angeklickt werden (siehe untenstehendes Beispiel).

Hinter diesem angegebenen Link versteckt sich eine gefälschte Website, die identisch zur entsprechenden Firmenwebsite ist und ebenfalls eine URL verwendet, die einen zum Verwechseln ähnlichen Namen verwendet. Das Opfer wird darauf gebeten, Details seiner Kreditkarte anzugeben (Nummer, Ablaufdatum, Sicherheitscode), so wie es auch bei klassischen Phishingseiten üblich ist.

Da die gestohlenen E-Mail-Adressen im Zusammenhang mit der Firma stehen, erhöhen die Betrüger die Chancen, dass ein Opfer auf den Betrug hereinfällt.

Bezugnehmend auf diesen Angriffstyp empfehlen wir folgende Präventionsmassnahmen:

Für die Unternehmen :

  • Eine Anleitung zum Schutz von Content Management Systemen (CMS) finden Sie auf der MELANI Webseite.
  • Zum Schutz von Site und Webapplikationen empfiehlt MELANI, sowohl die Vorschläge von OWASP bezüglich der Verwendung von Applikation-Firewalls (Web Application Firewall) https://www.owasp.org/index.php/Category:OWASP_Best_Practices:_Use_of_Web_Application_Firewalls wie auch diejenigen von Microsoft (Microsoft: Basic Security Practices for Web Applications) umzusetzen http://msdn.microsoft.com/en-us/library/zdh19h94%28v=vs.140%29.aspx
  • Wird bemerkt, dass E-Mail Adressen von Kunden entwendet wurden, ist eine rasche Information angezeigt. Diese kann entweder direkt per E-Mail und/oder als Information auf der Firmenwebsite erfolgen und sollte Anweisungen über das weitere Vorgehen enthalten.
  • Zudem sollte überprüft werden, ob die Angreifer ebenfalls andere Daten entwendet haben und ob zusätzliche Massnahmen getroffen werden müssen (beispielsweise das Ändern der Passwörter, wenn die Angreifer ebenfalls darauf Zugriff hatten).
  • Überlegen Sie sich zudem, bei der Kantonspolizei Ihres Firmensitzes eine Strafanzeige einzureichen.

Für die Benutzer :

  • Löschen Sie E-Mails dieses Typs! Keine seriöse Firma wird sie per E-Mail auffordern, Kreditkartendaten anzugeben.
  • Besonders vertrauenswürdige Firmen werden gerne missbraucht, um Empfänger zu täuschen. Die Betrüger fälschen auch Absender-E-Mail Adressen und Webseiten von Firmen, mit denen Sie tatsächlich in Kontakt stehen.
  • Seien Sie vorsichtig, wenn Sie E-Mails erhalten, die eine Aktion von Ihnen verlangen und ansonsten mit Konsequenzen drohen (Geldverlust, Strafanzeige, Konto- oder Kartensperrung, Verpasste Chance, Unglück).
  • Überprüfen Sie immer die Internetadresse (URL), auf welche man Sie via Link weiterleitet. Dazu führen Sie die Maus über den Link, ohne zu klicken. In einem über dem Mauszeiger erscheinenden Fenster sehen Sie, ob der Link wirklich auf die gewünschte Seite führt. Achtung: Schauen Sie genau hin, denn die gefälschte URL unterscheidet sich oft nur minimal von der seriösen URL, die Sie kennen.
  • Befolgen Sie jeweils bei unerwarteten verdächtigen Mail-Nachrichten oder Nachrichten von unbekannten Absendern keinesfalls die Anweisung im Text. Öffnen Sie keine Attachments und folgen Sie keinen Links, sondern löschen Sie die Nachricht.
  • Wenn Sie bei einer E-Mail nicht sicher sind, ob sie echt oder gefälscht ist, löschen Sie die Mail. War es eine seriöse Nachricht, wird der Absender bei Ihnen nachfragen, wenn er innerhalb einer angemessenen Frist keine Antwort von Ihnen erhält.
  • Beachten Sie auch im Allgemeinen die MELANI-Verhaltensregeln.

Weiterführende Informationen

Letzte Änderung 31.03.2015

Zum Seitenanfang

https://www.melani.admin.ch/content/melani/de/home/dokumentation/newsletter/kunden-von-schweizer-kmus--ziel-von-massgeschneiderten-phishing-.html