Verhaltensbiometrische Merkmale schützen vor Phishing-Attacken
„Sehr geehrte Damen und Herren,
leider kam es in letzter Zeit vermehrt zu Problemen mit den hinterlegten Kontaktdaten unserer Kunden. Daher bitten wir Sie Ihre bereits hinterlegten Angaben in unserem Kundencenter abzugleichen. Um einer vorsorglichen Sperrung Ihres Kontos entgegenzuwirken, empfehlen wir ihnen den Abgleich schnellstmöglich selbst durchzuführen. Klicken Sie dafür einfach auf „Zum Formular“ und folgen anschließend den Anweisungen, die Ihnen im Kundencenter angezeigt werden.“
– So oder so ähnlich könnte ein typischer Phishing-Versuch aussehen. Der angebliche Absender ist in diesem Fall die Bank. Die Nachricht könnte aber auch von Online-Shops, Online-Dienstleistern oder Gewinnspiel-Seiten kommen. Egal von wem, den Zweck haben solche E-Mails alle gemein: Sie dienen Cyber-Kriminellen dazu, an Nutzerdaten zu gelangen.
Was ist Phishing?
Das Wort Phishing setzt sich aus den englischen Begriffen „password“ und „fishing“ zusammen. Übersetzt bedeutete das so viel wie „das Fischen nach Passwörtern“. Dies geschieht mithilfe von E-Mails, Textnachrichten oder Telefonanrufen. Phishing stellt die am weitesten verbreitete Form des sogenannten Social Engineering dar.
Beim Social Engineering setzen Cyber-Kriminelle ihre potenziellen Opfer unter Druck, manipulieren und täuschen sie. Dazu nutzen sie menschliche Emotionen wie Vertrauen, Hilfsbereitschaft, Angst oder Respekt vor Autoritäten aus.
Die Betrüger geben sich meistens als eine vertrauensvolle Person oder Institution aus. In ihren Nachrichten vermitteln sie ein Gefühl von Dringlichkeit. Oftmals müssen Daten unbedingt verifiziert werden, da sonst eine Kontensperrung droht. Auf diesem Weg verleiten Kriminelle Personen dazu, auf Links zu klicken und Malware herunterzuladen, Überweisungen zu tätigen und vertrauliche Informationen preiszugeben.
Erfolgreiche Social-Engineering- bzw. Phishing-Attacken führen meist zu Identitätsdiebstahl, Kreditkartenbetrug und schwerwiegenden finanziellen Verlusten.
Formen von Phishing
Phishing kann auf verschiedene Arten durchgeführt werden. Einmal gibt es den klassischen Massen-Angriff, bei dem die betrügerischen E-Mails an möglichst viele Empfänger auf einmal geschickt werden.
Daneben zielt das Spear-Phishing auf ganz bestimmte Personen ab und die E-Mails werden entsprechend personalisiert. Whaling nimmt hochrangige Führungskräfte ins Visier, und beim CEO-Phishing geben sich die Betrüger selbst als CEOs beziehungsweise Führungspersonen aus, um von Mitarbeitern Überweisungen anzufordern. Das Domain-Phishing bezieht sich auf gefälschte Websites, ebenso wie das Water-Hole-Phishing, bei dem von Unternehmen häufig aufgerufene Internetadressen mit Malware infiziert werden. Clone-Phishing betreiben Cyber-Kriminelle, die eine verseuchte Kopie einer legitimen, bereits erhaltenen Nachricht erstellen und unter dem Vorwand absenden, dass es mit der vorhergehenden Nachricht Probleme mit den Links gegeben hätte. Und beim Pharming besitzen betrügerische Seiten dieselbe Webadresse wie das Original, was eine Unterscheidung erschwert.
So einfach ist Phishing
Das Erschreckendste an Phishing ist das Wissen um die simple Technik dahinter. Es braucht keinen erfahrenen Hacker oder IT-Kenner. Phishing-Seiten sowie Links zu erstellen und diese zu verschicken ist so einfach, dass im Prinzip jeder mit einem Computer Attacken durchführen kann. Man benötigt lediglich ein entsprechendes Programm. Und ein solches ist frei zugänglich sowie kostenlos im Internet verfügbar.
Ebenfalls im Internet, auf Google oder YouTube finden sich die entsprechenden Anleitungen, wie mit dem Phishing-Programm umzugehen ist. Die Anwendung erfordert lediglich ein paar kurze Befehlseingaben – mit Copy & Paste aus der Anleitung sind die schnell eingefügt – und schon präsentiert das Programm eine Liste an den für Cyber-Kriminelle interessantesten Internetplattformen und Websites. Hier wählt man nun diejenige aus, die man fälschen möchte. Und das wars.
Das Programm liefert einen Phishing-Link, wie etwa auf eine LinkedIn-Anmeldeseite. Diese lässt sich bei Bedarf noch anpassen. Dafür ruft man in der Phishing-Software die Informationen zur LinkedIn-Seite auf und ändert darin beispielsweise das Copyright-Jahr am Seitenende, damit das aktuelle Jahr angezeigt wird und überzeugender wirkt.
Als Nächstes soll der Link nun versendet werden. Auch dafür existiert das geeignete, frei zugängliche Programm: das Social-Engineering-Toolkit. Damit kann man so ziemlich jede Form von Phishing durchführen. Beim Öffnen des Toolkits werden einem die verschiedenen Optionen aufgelistet. Soll es ein Massen- oder ein Whaling-Angriff sein? Einfach auswählen und die gewünschten Empfänger-E-Mail-Adressen eingeben. Schließlich gibt man noch die Nachricht ein, einen Betreff, fügt falls gewünscht einen Anhang bei und natürlich den frisch kreierten betrügerischen Link. Einmal Enter gedrückt und schon ist die E-Mail verschickt.
Öffnet jemand den Link und gibt seine Anmeldedaten ein, werden diese im Phishing-Programm, das genutzt wurde, um den Link zu erstellen, angezeigt. Was nun mit den Daten geschieht, liegt in den Händen der Cyber-Kriminellen, die nicht einmal Profis im Hacking und der Computersprache sein müssen.
Derzeitige Abwehrmechanismen – wie erkenne ich Phishing?
Aktuell sind Spam-Filter und die eigene Vorsicht der bestmögliche Schutz vor Phishing. Außerdem verschaffen Antivirenprogramme und Webfilter, die vor nicht vertrauenswürdigen Internetseiten warnen, zusätzliche Sicherheit. Optimal ist das jedoch nicht. Gerade wenn es darauf ankommt, selbst zu entscheiden, ob eine E-Mail echt ist, kommt bei vielen Unsicherheit auf. Eine telefonische Nachfrage beim Kundendienst des jeweiligen Absenders ist manchmal die einzige Lösung, um Klarheit zu schaffen.
Dennoch gibt es einige Warnhinweise, die auf Phishing-E-Mails hindeuten:
· Unpersönliche Anrede
· Fehler in Grammatik und Rechtschreibung
· Ungewöhnliche Zahlen / Zeichenkombinationen in E-Mail-Adresse und Links
· Mouseover: Passt die angezeigte URL zum Link?
· Dringende Handlungsaufforderung oder Drohungen
· Abfrage vertraulicher Daten
Schutz vor Phishing mithilfe von biometrischen Merkmalen
Nun ist es ganz schön umständlich und zeitaufwendig, jede verdächtige E-Mail doppelt durchzulesen und auf Phishing-Warnhinweise zu prüfen. Nicht bei jeder Phishing-Nachricht sind diese gleich zu erkennen. Phishing-Fallen entwickeln sich zusammen mit dem technischen Fortschritt weiter und werden immer schwerer zu durchschauen.
Eine Alternative stellt INVISID dar – ein verhaltensbasiertes Sicherheitssystem der IT-Firma DeepSign GmbH.
Verhaltensbasierte Sicherheit basiert auf biometrischen Merkmalen zur Authentifizierung. Das Programm analysiert das Tipp- und Mausbewegungsverhalten und somit die Nutzung des Computers. Daraus wird ein individuelles Muster, eine Art digitaler Fingerabdruck kreiert, über den Nutzer verifiziert werden können. Während der gesamten PC-Sitzung löst jede Handlung im Hintergrund ihren eigenen Sicherheitscheck aus. So überprüft INVISID kontinuierlich, ob es sich beim Nutzer wirklich um die Person handelt, die sie vorgibt zu sein.
Im Falle von Phishing wirkt INVISID auf zweierlei Weise. Zum einen kann das Programm E-Mails verifizieren, sodass der Empfänger weiß, es handelt sich um einen legitimen Absender. Die Verifikation erfolgt nur, wenn zum Beispiel tatsächlich ein Bankmitarbeiter von seinem PC aus die E-Mail verschickt hat.
Zum anderen schlägt das System bei Unregelmäßigkeiten Alarm. Wurden persönliche Daten unwissentlich in die Hände von Cyber-Kriminellen weitergegeben und nutzen die Betrüger diese nun, reagiert INVISID mit einer Sperrung sämtlicher laufender Sitzungen und der rechtmäßige Nutzer erhält eine Benachrichtigung. Damit bewahrt biometrische Sicherheit vor Identitätsdiebstahl und finanziellen Schäden. Zudem erleichtert INVISID dem Nutzer, Phishing E-Mails zu erkennen und minimiert insgesamt die Gefahr von Phishing.