Lesedauer ca. 5 min.
Als Anwalt sind Sie ein potentielles, lohnenswertes und relativ leichtes Opfer für Phishing Attacken. Warum das so ist und was Sie dagegen unternehmen können, lesen Sie in diesem Blogbeitrag.
Definition von Phishing
Phishing ist ein Onlineangriff bei dem sich ein bösartiger Akteur als seriöses Unternehmen ausgibt, um Sie zu täuschen und sensible Daten (Kreditkartendaten, Benutzernamen, Passwörter,…) zu erlangen. Phishing umfasst auch psychologische Manipulationen und stellt damit auf Ihr menschliches Versagen ab. Man könnte es damit auch als „Social Engineering-Angriff“ bezeichnen.
In der Regel beginnt es mit betrügerischen E-Mails, welche Sie davon überzeugen sollen sensible Informationen in eine eigens dafür vorbereitete, gefälschte Website einzugeben, welche der sehr Originalen sehr ähnlich sieht (also z.B. die Loginseite Ihrer Bank).
Sie werden dort möglicherweise aufgefordert Ihr Passwort zurückzusetzen oder Ihre Kreditkartendaten zu „bestätigen“. Das geht mit allen möglichen Seite so (Facebook, Amazon, andere Shopseiten, Kryptobörsen, was auch immer). Je harmloser die Seite, desto weniger werden Sie vorsichtig sein. Da aber viele Menschen Logindaten mehrfach verwenden, gelangen damit viel Zugangsdaten in die Hände der Angreifer. Deshalb niemals Passwörter auf mehreren Seiten verwenden!
Welche Arten von Phishing gibt es?
Die verschiedenen Arten von Phishing werden nach Ziel- und Angriffsvektor klassifiziert. Gängige Beispiele sind:
Was ist Clone Phishing?
Beim Clone Phishing verwendet der Angreifer eine zuvor gesendete originale E-Mail und kopiert deren Inhalt in eine täuschend echte aussehende E-Mail. Diese wird nun zusätzlich mit einem Link zu einer bösartigen Website versehen. Hier wird so getan, als ob es sich um einen aktualisierten Link handelt.
Was ist Speer-Phishing?
Diese Art von Cyberangriff zielt auf eine einzelne, meist prominente Person oder Instanz ab. Dazu wird versucht das Vertrauen des Empfängers durch das Nennen von Namen (Verwandte, Freunde) oder auch von anderen Informationen zu gewinnen. Aber auch ein(e) Unternehmen/Kanzlei könnte damit kompromittiert werden.
Was ist Pharming?
Beim sog. Pharming infiziert der Angreifer einen DNS-Eintrag, der die Besucher einer legitimen Website auf eine betrügerische umleitet.
Hintergrund: Der „DNS“ (Domain Name Server ) übersetzt die IP (also die Nummer) einer Webseite in den Namen und leitet sie weiter ( also z.B. 104.26.5.215 auf www.rechtsanwalt.com). Wenn nun die Umleitung der Domain auf eine andere IP Nummer veranlasst wird, merken Sie das nicht. Dies ist die gefährlichste Art von Angriffen, da DNS-Einträge nicht unter Ihrer Kontrolle, denn hier wird der Betreiber des DNS Servers kompromitiert.
Was ist Whaling?
Whaling eine spezielle Form des Speer-Phishing, die sich an besonders wohlhabende und/oder wichtige Personen wie CEOs und Regierungsvertreter richtet.
Was ist E-Mail-Spoofing?
Bei E-Mail-Spoofing erhalten Sie eine Phishing-E-Mail, welche täuschend echt aussieht. Diese verlinkt auf eine bösartige Webseite, die als Login-Seite getarnt ist. Wenn Sie nun dort Ihre Anmeldedaten eingeben, landen dies direkt beim Angreifer. Solche Webseiten können auch Trojaner, Keylogger (also Programme, welche Ihre Tastatureingaben an den Angreifer übertragen) und andere bösartige Skripte enthalten, die Ihre persönliche Daten stehlen.
Webseiten-Weiterleitungen
Webseiten-Weiterleitungen führen dazu, dass Benutzer an andere URLs gesendet werden, als sie eigentlich besuchen möchten. Mit Hilfe der Umleitungen können böswillige Akteure Malware auf den Computern der Benutzer installieren. Der Effekt ist der Gleiche wie beim Pharming(s.o.).
Was ist Typosquatting?
Beim Typosquatting wird ihre Eingabe auf eine nachgeahmte Webseite umgeleitet, welche z.B. fremdsprachige Rechtschreibweisen, typische Rechtschreibfehler oder auch schwer erkennbare Abweichungen in der Domain verwenden (z.B. rechtanwalt.com). Der Phisher zieht hier einen Vorteil aus Ihrer Unachtsamkeit.
Was ist ein “Watering-Hole”
Ein Watering-Hole analysiert Ihr Nutzerverhalten auf Webseiten, die Sie häufig besuchen. Die Phisher finden auf solchen Webseiten Schwachstellen und verstecken darauf bösartige Skripte, welche bei Ihrem nächsten Besuch der Webseite in Ihrem Browser ausgeführt werden.
Nachahmung & Giveaways
Hier schlüpfen die Phisher in die Rolle von bekannten Persönlichkeiten, geben sich als diese aus und nutzen somit deren Vertrauensvorsprung um Sie zu täuschen.
Dies geschieht meist in Social Media. Die Phisher werden dann z.B. mit wertvollen Werbegeschenke oder wenden andere irreführende Praktiken an.
Die Opfer solcher Tricks können sogar individuell über Social Engineering Prozesse angesprochen werden. Das Ziel ist es leichtgläubige Nutzer zu finden. Dazu hacken die Akteure z.B. verifizierte Konten und ändern dann die Benutzernamen. Die Hacker schlüpfen dann in die Schuhe einer echten Person, während der verifizierte Status erhalten bleibt. Die Wahrscheinlichkeit, dass Opfer scheinbar mit zuverlässigen Personen interagieren und dadurch geheime Informationen zur Verfügung stellen, steigt damit immens.
Plattformen wie Slack, Discord und Telegram sind häufige Ziele für solche Attacken. Dort werden dann Chats manipuliert, reale Personen nachgeahmt
Phishing-Anzeigen/Ads
Mit bezahlter Werbung locken Phisher ebenfalls und die Falle. Diese (gefälschten) Anzeigen nutzen Webseiten, welche die Angreifer speziell vorbereitet und bezahlt haben, um in den Suchergebnissen nach oben zu gelangen. Diese Webseiten können damit sogar als Top-Suchergebnis bei der Suche nach legitimen Unternehmen oder Dienstleistungen wie z.B. Kraken, Binance,… erscheinen. Solche Webseiten werden dann als Mittel zum Phishing nach den Zugangsdaten zu solchen Seiten verwendet.
Schädliche Applikationen (Apps)
Phisher verwenden auch schädliche Apps als Träger für die Einschleusung von Malware. Diese überwachen dein Verhalten (z.B. die Tastatureingaben, die Kamera oder das Mikro und stehlen damit sensible Informationen. Diese Apps können sich z.B. als Preistracker, Wallets und andere kryptobezogene Tools ausgeben (deren Benutzer sich für das Trading und den Besitz von Kryptowährungen interessieren).
Text- und Sprachphishing
Auch mit SMS-Phishing, eine auf Textnachrichten basierende Form des Phishing, und Vishing, das Sprach- und Telefonäquivalent, können Angreifer persönliche Informationen erlangen.
Phishing vs Pharming
Das Pharming beruht auf einem anderen Mechanismus, weil das Pharming nur verlangt, dass das Opfer versucht auf eine legitime Website zuzugreifen, bei der der DNS-Eintrag durch den Angreifer auf eine manipulierte IP umgeleitet wurde – dazu müssen Sie nichts falsch machen, Sie merken nichts. Das Phishing dagegen erfordert, dass das Opfer einen Fehler macht.
Wie kann man Phishing verhindern?
Vorsichtig sein
Vorsicht ist die beste Verteidigung zum Schutz vor Phishing. Lesen Sie kritisch über jede E-Mails, bevor Sie sie öffnen oder gar ein Link darin anklicken. Beim geringsten Zweifel sich lieber beim Versender persönlich rückbestätigen, bevor man etwas tut.
Überprüfe den Inhalt
Man kann z.B. einen Teil des Inhalts (oder die E-Mail-Adresse des Absenders) in eine Suchmaschine eingeben, um zu überprüfen, ob es Aufzeichnungen von Phishing-Angriffen gibt, die diese bestimmte Methode bereits in der Vergangenheit verwendet haben.
URL’s manuell aufrufen
Wenn es scheint, dass man eine berechtigte Anfrage erhält um z.B. Zugangsdaten irgendwo einzugeben, dann klicken Sie NICHT auf das Link in der Email sondern rufen Sie selbst die URL im Browser auf (z.B. aus den Lesezeichen).
Die URL überprüfen
Ein erster Test ist es mit der Maus über den Link zu fahren, ohne darauf zu klicken. Beginnt er nur mit HTTP und nicht mit HTTPS, dann ist das ein starkes Indiz für eine Umleitung. Trotzdem ist dies allein noch keine Garantie dafür, dass die Website legitim ist.
Private Schlüssel niemals weitergeben
Geben Sie z.B. den privaten Schlüssel für eine Bitcoin-Wallet niemals heraus. Prüfen Sie von einem online Kauf, ob das Produkt und der Verkäufer seriös erscheinen. Zahlt man mit einer Kryptowährung gibt es keine zentrale Behörde oder Bank, bei der man eine illegale Abbuchung anfechten könnte! Seien deshalb beim Umgang mit Kryptowährungen besonders vorsichtig.
Checkliste gegen Phishing
- Verdächtige Absender ignorieren
- Checken Sie E-Mails auf Anhänge
- Passt das Deutsch zum Absender, stimmt die Anrede?
- Drohungen & Fristen der Kriminalpolizei melden, nicht reagieren
- Verlinkungen und URLs überprüfen
- Eingabe persönlicher Daten nur auf sicheren https Seiten
- Ggf. Kontobewegungen prüfen
- Aktuelle Software einsetzen
- Phishing-Verdacht auch an die Verbraucherzentrale melden
- Versicherung gegen Cyberangriffe abschliessen
Fazit
Phishing ist eine der am weitesten verbreiteten und gängigsten Cyberangriffstechniken. Während E-Mail Filter von Mainstream-Diensten gute Arbeit leisten, um betrügerische aus echten Nachrichten zu filtern, muss man trotzdem vorsichtig sein und sich darüber hinaus verteidigen. Seien Sie stets sehr vorsichtig wenn verlangt wird sensible oder private Informationen irgendwo einzugeben. Wenn möglich, bestätigen Sie stets durch ein anderes Kommunikationsmittel, dass der Absender und die Anfrage legitim sind (ggf. einfach Anrufen). Klicken Sie auch nicht in E-Mails auf Links, die behaupten es sein ein Sicherheitsvorfall zu überprüfen.
Nutzen Sie keine Webseiten ohne das „HTTPS“ vor der URL, denn das „S“ steht für Sicherheit und bestätigt die Authentizität des Herausgebers der Webseite. Besonders vorsichtig sollten Sie bei Transaktionen i.V.m. Kryptowährungen sein. Hier sind Fehler irreversibel. Und am wichtigsten ist Folgendes: Bewahren Sie Ihr privaten Schlüssel und Passwörter immer privat auf, geben Sie diese niemals und an niemanden weiter (auch nicht an Ihre Familie, Partner und Freunde).
Wie Sie wirklich sichere Passwörter erstellen und verwalten lesen sie in: Testsieger der Passwortmanager für Anwälte