E-Mail-Betrug: Augen auf bei Großveranstaltungen und Ereignissen

Dies ist ein Gastbeitrag von Georgeta Toth, Senior Regional Director CEEMEA bei Proofpoint.

Was haben Großveranstaltungen und Ereignisse wie Naturkatastrophen gemeinsam? Auf den ersten Blick nicht besonders viel – aber beides dient Cyberkriminellen als willkommener Anlass, um an Benutzernamen und Passwörter für Cloud-Dienste zu gelangen. Die Methode, die sie dabei anwenden, ist gerissen und effektiv.

Da sowohl Großveranstaltungen als auch große Ereignisse ihren Weg in die aktuelle Berichterstattung finden, ist das Interesse allgemein beachtlich. Jedoch konzentrierten sich Cyberkriminelle beispielsweise nach dem Hurrikan Michael im Oktober im Südosten der USA darauf, nicht etwa Kreditkarteninformationen auszuspähen, indem sie Spendenaufrufe fälschen oder gar direkt über eigene Spendenseiten im Internet zu Geld zu kommen. Ziel war diesmal vielmehr, an die Anmeldeinformationen für Cloud-Dienste zu gelangen.

Vergiftete PDFs

Dabei fälschten die Betrüger Anmeldeseiten zu Webmail- oder Cloud-Storage-Diensten. Anschließend wurden Phishing-Mails mit angehängten PDF-Dokumenten versandt, die einer Mail eines seriösen Absenders täuschend nachempfunden waren. Sie hatten wohlklingende Dateinamen wie etwa „Florida Hurrikan Michael Notfall und Wiederbeschaffung.PDF“. So konnte man vermeintlich „Informationen“ des Kentucky Transportation Cabinet (der Verkehrsbehörde des US-Bundesstaates Kentucky) oder dem Virginia Department of Transportation (dem Verkehrsministerium von Virginia) erhalten. In diesen PDFs waren Verlinkungen enthalten, die weitere Auskünfte zur aktuellen Lage in diesem Katastrophenfall enthielten. Die Adressen klangen dabei für den Laien relativ offiziell. Sie endeten mit „blob.core.windows.net“. Was hier seriös wirkt, ist allerdings Blob Storage, ein Cloud-Dienst, den jeder Nutzer von Microsoft für das erste Jahr kostenlos anmieten kann.

Einmal auf den Link im PDF geklickt, findet sich das Opfer auf einer vermeintlich offiziellen Anmeldeseite von OneDrive, Office 365, Dropbox oder DocuSign wieder. Als Log-in akzeptieren einige dieser Seiten Google Mail, AOL (America Online), Microsofts Cloud-Mail-Service Outlook.com, ein Office-365-Konto oder eine Yahoo-ID. Mit dieser Methode greifen die Kriminellen wertvolle Log-in-Daten ab, die sie dann im Anschluss für weitere Machenschaften nutzen können.

Georgeta Toth ist Senior Regional Director CEEMEA bei Proofpoint.

Georgeta Toth ist Senior Regional Director CEEMEA bei Proofpoint.

Bedrohung bleibt – Thema egal

Die Aktivitäten anlässlich des Hurrikans Michael sind nur ein Beispiel. Die Taktik ist für sich genommen nicht besonders neu und wird in anderen Themenfeldern bereits eingesetzt. Allerdings gibt es vermutlich eine größere Anzahl von Anwendern, die, um zu helfen, hier nicht vorsichtig genug sind, und von Kriminellen, trotz oder vielleicht sogar wegen ihrer Hilfsbereitschaft, ausgenutzt werden. Dies gilt in ähnlicher Form auch für andere Ereignisse von öffentlichem Interesse wie Wahlen, Olympische Spiele, Fußball-Events oder Erdbeben und Überschwemmungen.

Phishing-Mails, die keine Kreditkarten-, sondern Log-in-Informationen zum Ziel haben, sind generell im Kommen. Daher sollten Anwender Vorsichtsmaßnahmen treffen. Am Wichtigsten ist dabei Wachsamkeit und – im unternehmerischen Kontext – eine starke Sensibilisierung in Form kontinuierlicher Trainings von Mitarbeitern. Denn diese nutzen oft dieselben Passwörter für ihre dienstlichen wie auch privaten Belange wie etwa Mail oder soziale Medien. Außerdem nutzen viele Anwender auch den geschäftlichen Computer, um private E-Mails zu bearbeiten. Die Ausspähung eines privaten Passwortes öffnet daher auch ein Einfallstor in die Unternehmens-IT. Die Verwendung eines gekaperten privaten E-Mail-Kontos kann auch dazu verwendet werden, um Kollegen oder Mitarbeitern von diesem aus Anweisungen zu erteilen, beispielsweise die Anweisung von Zahlungen auf bislang unbekannte Konten.

Wer daher bei einem Katastrophenfall karitativ tätig werden möchte, sollte direkt auf die Webseite der Hilfsorganisation gehen, die von sich aus keine Mails mit Anhang versenden.

Weitere Informationen unter:
www.proofpoint.com

CC BY-SA 4.0 DE

 
 
Sie dürfen:
  • Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
  • Bearbeiten — das Material remixen, verändern und darauf aufbauen und zwar für beliebige Zwecke, sogar kommerziell.
  • Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
  • Bitte berücksichtigen Sie, dass die im Beitrag enthaltenen Bild- und Mediendateien zusätzliche Urheberrechte enthalten.
Unter den folgenden Bedingungen:
  • Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
  • Weitergabe unter gleichen Bedingungen — Wenn Sie das Material remixen, verändern oder anderweitig direkt darauf aufbauen, dürfen Sie Ihre Beiträge nur unter derselben Lizenz wie das Original verbreiten.