Steigt der Rundfunkbeitrag oder steigt er nicht? Auch Kriminelle beobachten ganz genau wo sie am effektivsten ansetzen können, um z.B. ihr Geschäftsmodell aufrecht zu erhalten oder weiter auszubauen.
Sehr geehrte/r ....,
Wir haben festgestellt, dass eine Überzahlung in Höhe von 37,72 € für Ihre Rundfunkgebühren vorliegt.
Um die Rückerstattung zu erhalten, bitten wir Sie, den untenstehenden Button zu klicken und den Rückerstattungsprozess abzuschließen.
Rückerstattung jetzt prüfen.
Bei Fragen oder Unklarheiten stehen wir Ihnen unter support (at) beitragsservice.de gerne zur Verfügung.Mit freundlichen Grüßen,
Ihr ARD ZDF Deutschlandradio Beitragsservice
So (oder ähnlich) könnte eine E-Mail im Potseingang landen. Ein Klick auf den Link in einer E-Mail und dann? Hier am Beispiel einer Phishing-Mail zur ARD ZDF Beitrags-Rückerstattung.
Aus dem Cyberlabor
In dem hier analysierten Fall werden mehrere Aktionen ausgeführt, bis die eigentliche Website (das Ziel) zur Eingabe von sensiblen Finanzdaten erscheint.
Die Nachrichten stammen u.a. von qualifizierten E-Mail-Systemen mit korrekter DKIM-Signatur und korrektem Absender. Damit haben es SPAM-Mechanismen nicht einfach zu entscheiden, ob es sich um Phishing handelt.
- Der erste Weg nachdem Klick auf den Link "Rückerstattung jetzt prüfen" führt auf eine "gekaperte/vertraute" Website. Erste Informationen der Quelle (Webbrowser des Opfers mit den Metadaten) mit einer ID die mit dem Link verknüpft ist, können getrackt (und protokolliert) werden.
- Im nächsten Schritt erfolgt eine Weiterleitung auf eine weitere "gekaperte/vertraute" Website. Dabei wird die einmalige ID aus dem E-Mail-Link mittransportiert. Die Webbrowser-Historie kann in diesem Schritt überschrieben werden.
- Von hier aus (die dritte Weiterleitung) wird die eigentliche Phishing Website erreicht, die entsprechend den Zieldaten nachgebaut (kopiert) wurde.
Workflow der Schritte/Weiterleitungen
Zielwebseite
Website zur Eingabe der Finanzdaten.
Nachdem die Daten eingetragen sind und die Rückerstattung angefordert wird, wird eine "Tracking-ID" vergeben mit einer Information, dass neue Daten eingetroffen sind. Parallel dazu werden die eingetragenen Finanzdaten (in dem Fall die Kreditkartendaten) abgegriffen und für spätere Zwecke der Kriminellen gespeichert.
In einem weiteren Schritt, wird versucht das 3D-Secure Verfahren zu aktivieren (ggfs. auch nur optisch). Falls der gesamte Vorgang klappt, wäre der Betrag endgültig weg und die Kreditkartendaten sind dann eh schon in den Händen der Datenbestände der Kriminellen.
Fazit
Phishing wird immer besser und für den Anwender immer schwerer durchschaubar.
Immer öfters werden wir mit Nachrichten aus "vertrauten Quellen" konfrontiert. Zuvor kompromittierte (gekaperte) Systeme werden u.a. für solche Zwecke verfügbar gehalten und kommen zum entsprechenden Zeitpunkt zum Einsatz (werden dafür missbraucht).
Sicherheit geht vor Geschwindigkeit – lieber im Zweifel nachfragen!
Sensibilisierung ist ein gutes Mittel zur Vorbeugung und zum "Verstehen" der Thematik. Einen hundertprozentigen Schutz wird es nicht geben können.
Ein "ARD ZDF Deutschlandradio Beitragsservice" wird mit Sicherheit nicht die Kreditkartendaten erfragen.
Futter für Phisher
Durch Einführung der eRechnung werden Phishing-Maschen garantiert auch vor diesem Thema nicht halt machen. Wer weiß denn schon, was sich dann im Anhang befindet?
Bequemlichkeit und kaotische (meist nicht zu ende gedachte) digitale Änderungen/Anpassungen geben den Kriminellen immer mehr Geschäftsmodelle in die Hände.