Seit einiger Zeit missbrauchen Cyber-Betrüger nicht mehr ausschliesslich nur die Namen von grossen und bekannten Unternehmen, sondern verüben auch sehr gezielte Phishingangriffe mit dem Namen kleinerer Firmen. Verschiedene Fälle, welche der schweizerischen Melde- und Analysestelle Informationssicherung (Melani) zur Kenntnis gebracht wurden, zeugen von einer zunehmenden Professionalität dieser Angriffe.
Betroffen sind laut Melani KMUs in den verschiedensten Tätigkeitsbereichen, welche eine Website betreiben, die in irgendeiner Weise Kunden-E-Mail-Adressen verwenden respektive gespeichert haben, beispielsweise für den Versand eines Newsletters. In einer ersten Phase des Angriffs versuchen die Kriminellen, über die Firmenwebsite an eine Datenbank mit Kunden-E-Mail-Adressen zu gelangen. Meist wird dabei eine Schwachstelle auf der Website ausgenutzt (beispielsweise Angriffe mit SQL-Injections). Danach werden im Namen dieser Firma gefälschte Mail-Nachrichten an die entwendeten Adressen gesendet. Absender und Inhalt werden perfekt imitiert, so dass es aussieht, als stammten diese Mails tatsächlich von der Firma. In den aktuellen Fällen geben die E-Mails vor, dass das Opfer eine Kostenrückerstattung beantragen kann. Zu diesem Zweck soll ein Link angeklickt werden. Hinter diesem angegebenen Link versteckt sich jedoch eine gefälschte Website, die identisch zur entsprechenden Firmenwebsite ist und ebenfalls eine URL verwendet, die einen zum Verwechseln ähnlichen Namen verwendet. Das Opfer wird darauf gebeten, Details seiner Kreditkarte anzugeben (Nummer, Ablaufdatum, Sicherheitscode), so wie es auch bei klassischen Phishingseiten üblich ist.
Da die gestohlenen E-Mail-Adressen im Zusammenhang mit der Firma stehen, erhöhen die Betrüger die Chancen, dass ein Opfer auf den Betrug hereinfällt. Bezugnehmend auf diesen Angriffstyp empfiehlt Melani folgende Präventionsmassnahmen:
Für Unternehmen :
- Eine Anleitung zum Schutz von Content Management Systemen (CMS) findet sich auf der Melani-Webseite: www.melani.admin.ch/dienstleistungen/00132/01556/index.html?lang=de
- Zum Schutz von Site und Webapplikationen empfiehlt Melani, sowohl die Vorschläge von OWASP bezüglich der Verwendung von Applikation-Firewalls (Web Application Firewall) https://www.owasp.org/index.php/Category:OWASP_Best_Practices:_Use_of_We... so wie auch diejenigen von Microsoft (Microsoft: Basic Security Practices for Web Applications) umzusetzen http://msdn.microsoft.com/en-us/library/zdh19h94%28v=vs.140%29.aspx
- Wird bemerkt, dass E-Mail Adressen von Kunden entwendet wurden, ist eine rasche Information angezeigt. Diese kann entweder direkt per E-Mail und/oder als Information auf der Firmenwebsite erfolgen und sollte Anweisungen über das weitere Vorgehen enthalten. Zudem sollte überprüft werden, ob die Angreifer ebenfalls andere Daten entwendet haben und ob zusätzliche Massnahmen getroffen werden müssen (beispielsweise das Ändern der Passwörter, wenn die Angreifer ebenfalls darauf Zugriff hatten). Zudem ist zu überlegen, ob man bei der Kantonspolizei des Firmensitzes eine Strafanzeige einreichen soll.
Für die Benutzer:
- Löschen der E-Mails dieses Typs! Keine seriöse Firma wird per E-Mail auffordern, Kreditkartendaten anzugeben.
- Besonders vertrauenswürdige Firmen werden gerne missbraucht, um Empfänger zu täuschen. Die Betrüger fälschen auch Absender-E-Mail Adressen und Webseiten von Firmen, mit denen man tatsächlich in Kontakt steht.
- Vorsichtig sein, wenn man E-Mails erhält, die eine Aktion verlangen und ansonsten mit Konsequenzen drohen (Geldverlust, Strafanzeige, Konto- oder Kartensperrung, Verpasste Chance, Unglück).
- Immer die Internetadresse (URL) überprüfen, auf welche man via Link weitergeleitet wird. Dazu führt man die Maus über den Link, ohne zu klicken. In einem über dem Mauszeiger erscheinenden Fenster sieht man, ob der Link wirklich auf die gewünschte Seite führt. Achtung: Genau hinschauen, denn die gefälschte URL unterscheidet sich oft nur minimal von der seriösen URL, die man kennt.
- Bei unerwarteten verdächtigen Mail-Nachrichten oder Nachrichten von unbekannten Absendern keinesfalls die Anweisung im Text befolgen. Keine Attachments öffnen und keinen Links folgen, sondern die Nachricht löschen.
- Wenn man bei einer E-Mail nicht sicher ist, ob sie echt oder gefälscht ist, gehört das Mail auf alle Fälle gelöscht. War es eine seriöse Nachricht, wird der Absender nachfragen, wenn er innerhalb einer angemessenen Frist keine Antwort erhält.
www.melani.admin.ch/themen/00166/00172/index.html?lang=de
