Wir werden nicht müde, auf die Gefahren von Phishing aufmerksam zu machen und haben diesem Thema schon den einen oder anderen Artikel gewidmet. Diese Woche hat die Google-Schwester Jigsaw ein Quiz aufgeschaltet, mit dem jeder sein Wissen über die Betrugsmasche testen kann. Das Quiz ist derzeit nur auf Englisch verfügbar. Wer es machen möchte, muss einen fiktiven Namen und eine erfundene E-Mail-Adresse eingeben. Sie dienen lediglich dazu, die Quiz-Mails realistischer erscheinen zu lassen.

Falls Sie vor dem Test einen Refresher benötigen, empfiehlt sich, vorher unser Sicherheitsbriefing zu absolvieren.

Hier geht’s zum Everyday IT Phishing-Briefing
Und hier der Link zu Googles Phishing-Quiz

An dieser Stelle haben wir schon des Öfteren auf die Gefahren von Cyberangriffen hingewiesen. Dass es sich dabei keineswegs um eine abwegige Utopie handelt, sondern um ein sehr präsentes Risiko, unterstreicht der kürzliche Vorfall bei «Hellocut». Hellocut ist der schweizweit grösste Anbieter eines Online-Buchungs- und Kassenystems für Coiffeure und hat am 15. November 2018 durch einen Cyberangriff vorübergehend sämtliche Daten verloren – einschliesslich der Daten aller angeschlossenen Salons. Für die betroffenen Betriebe eine äusserst unangenehme Situation und für uns ein Grund zu hinterfragen, inwiefern der Betreiber, aber auch die Kunden selbst, ihren Sorgfaltspflichten nachgekommen sind.

Was ist aus Sicht Everyday IT schiefgelaufen?

Die verheerenden Auswirkungen des Angriffs legen nahe, dass der Anbieter seine IT nicht im Griff hatte. Das ist für den Kunden nicht ohne Weiteres ersichtlich und der Kunde kann es auch nur sehr eingeschränkt beeinflussen.

Andererseits haben sich die Kunden wohl auch zu wenig dafür interessiert, wie ihre geschäftskritischen Daten gespeichert werden.

Dazu ist nun folgendes festzuhalten:

• Jeder Internet-Teilnehmer – auch Sie – kann jederzeit Opfer solcher Angriffe werden.
• Beim Speichern von geschäftsrelevanten Daten sollten Sie daher immer im Vorfeld mögliche Risiken abklären und bewerten. Diese Aufgabe können Sie auch jemandem übertragen.
• Überschreiten bei den identifizierten Risiken die Eintretenswahrscheinlichkeit und das Schadenpotenzial ein bestimmtes Mass (nämlich die Risiko-Toleranzgrenze), müssen Vorkehrungen getroffen werden.
• Da die Aufbewahrung kritischer Geschäftsdaten von höchster Wichtigkeit ist, ist die Risiko-Toleranzgrenze dementsprechend tief. Also muss hier genau hingeschaut werden!

Informationssicherheit: Elementares Kriterium bei der Anbieterwahl

Im Fall der Nutzung von Cloud-Diensten würde es also beispielsweise Sinn machen, sich beim Anbieter nach dessen Schutzmassnahmen zu erkundigen. Bei nicht überzeugenden Antworten sollte entweder ein anderer Anbieter berücksichtigt oder – sofern möglich – die Schutzziele durch eigene Massnahmen gewährleistet werden.

Wer sollte diese Abklärungen vornehmen?

Das Einholen, Einordnen und Bewerten der Auskünfte sollte durch jemanden erfolgen, der die Wirksamkeit der Massnahmen auch tatsächlich beurteilen kann. Denn was für einen Laien zufriedenstellend klingen mag, muss noch lange keinen effektiven Schutz bedeuten. Es lohnt sich, in dieser wichtigen Phase eine Fachperson beizuziehen, welche die Abklärungen erst noch sehr viel schneller und damit kostengünstig erledigen kann.

Sicherheit ist auch eine Vertrauensfrage. Gerne empfehlen wir uns in Informatikfragen als zuverlässigen Partner.

Über das sogenannte Phishing versuchen Cyberkriminelle an geheime Nutzerdaten zu kommen. Dazu verschicken die Angreifer E-Mails und versuchen die Empfänger mit psychologischen Tricks wie dem Erzeugen von Neugier, Angst oder Handlungsdruck dazu zu bringen, auf einen Link zu klicken oder den Anhang zu öffnen. Die Qualität solcher E-Mails und der zugehörigen Webseiten nimmt laufend zu, was Angreifern zu noch besseren Chancen verhilft. Die Erfolgsquote bricht aber drastisch ein, wenn dem Empfänger bekannt ist, wie Phishing-Angriffe in der Praxis üblicherweise ablaufen. Es ist daher sinnvoll, sich das Prinzip eines Angriffs zu verinnerlichen. In der Regel besteht er aus zwei Schritten:

Schritt 1: Versand einer Phising-E-Mail

Im ersten Schritt versenden die Angreifer eine möglichst offiziell anmutende E-Mail. Diese sehen aus, als kämen sie von Banken, Online-Shops oder sonstigen Webseiten mit persönlichen Konten. Dabei wird versucht, das Opfer mit einem der folgenden Ansätze zu einer Reaktion zu verleiten:

• Der Empfänger wird mit einem Problem konfrontiert – häufig geht es darum, dass er seine Daten bestätigen soll. In diesem Fall enthält die E-Mail einen Link zu einer betrügerischen Webseite.
• Alternativ enthält die E-Mail einen Anhang, dessen Bezeichnung so gewählt wurde, dass sie den Empfänger zum Öffnen verleitet. Beim Anhang handelt es sich um Malware.

Schritt 2: Abgreifen von geheimen Daten

Klickt der Nutzer auf den Link in der E-Mail oder öffnet er den Anhang, startet Teil zwei des Angriffs:

• Im Fall des angeklickten Links wird eine betrügerische Webseite geöffnet. Diese ist vom Original kaum zu unterscheiden, sodass Nutzer immer wieder darauf hereinfallen. Wer sich auf der gefälschten Seite einloggt, sendet seine Zugangsdaten an die Angreifer. Häufig wird unter einem Vorwand ausserdem zur Bekanntgabe von weiteren Daten aufgefordert, beispielsweise zur Kreditkarte. Die so erhaltenen Daten nutzen die Angreifer dazu, die Identität des Opfers zu übernehmen und es zu schädigen.
• Im Fall des geöffneten Anhangs nistet sich eine Schadsoftware auf dem Computer des Opfers ein. Diese sammelt in der Folge Daten, welche die Angreifer zur Schädigung des Opfers verwenden können. In anderen Fällen wartet die Software den Besuch bestimmter Onlinedienste ab und leitet den Computer automatisch und unbemerkt auf gefälschte Webseiten um. Der weitere Verlauf erfolgt dann wiederum nach dem vorstehenden Punkt.

Tipps, um Phishing zu erkennen

Bei E-Mails:

• Das E-Mail enthält eine Aufforderung, auf einen Link oder Knopf im Mail zu klicken. Durch Erzeugung von Neugier, Angst oder Handlungsdruck wird versucht, eine Handlung zu provozieren.
  Beispiel: «Bei Ihrem Konto wurden nicht autorisierte Aktivitäten festgestellt. Klicken Sie hier, um sich anzumelden und das Problem zu beheben.»
• Die in der E-Mail enthaltene Adresse weicht von der offiziellen Webseitenadresse ab. Fahren Sie mit dem Mauszeiger über den mitgeschickten Link. So wird die tatsächlich hinterlegte Adresse in einer Sprechblase angezeigt. Kontrollieren Sie nun, ob es sich 1:1 um die offizielle Webseitenadresse des Anbieters handelt.
  Beispiel: Im untenstehenden E-Mail entspricht die Adresse in der Sprechblase (paypal-chk.com) nicht der offiziellen Webseitenadresse (paypal.com):
  

• Sie werden nicht mit Ihrem Namen angesprochen. Anbietern, bei denen Sie ein Benutzerkonto haben, ist Ihr Name in der Regel bekannt. Ist die Ansprache dennoch unpersönlich, kann von einer Fälschung ausgegangen werden.
  Beispiel: «Sehr geehrter Kunde»
• Die Zustellung des E-Mails an Sie ist nicht plausibel. Die E-Mail kam unerwartet. Sie haben keine entsprechende Handlung vorgenommen oder in der E-Mail sind nur vage Angaben enthalten.
  Beispiel: «Ihre Bestellung bei Zalando wurde storniert» oder «Ihre Quittung N-58434759 vom 7.5.2018» (Bemerkung: Als Anhang wird ein Dokument mitgeschickt)
• E-Mail enthält interessanten Anhang. Die Bezeichnung des Anhangs erweckt Neugier, scheint aber nicht für Sie bestimmt, resp. Sie erhalten die deklarierten Informationen üblicherweise nicht.
  Beispiel: «Lohndaten 2018.doc»
• Unbekannter Absender. Die E-Mail wurde Ihnen von einer fremden Person unerwartet zugeschickt.
• Rechtschreib- und Grammatikfehler. Oft ist es das Ergebnis einer Computerübersetzung. Zwar wird die Qualität immer besser, fehlerhafte Texte bleiben aber in jedem Fall ein Warnsignal.
  Beispiel: «Aktualisieren Sie Ihre Kredit karteninformationen !»

Bei Webseiten:

• Kein Schloss-Symbol in der Adresszeile (unverschlüsselte Verbindung). Sollte ein Schloss-Symbol fehlen, handelt es sich in jedem Fall um eine unsichere Webseite. Achten Sie bei grossen Anbietern zudem darauf, ob neben dem Schloss der Firmenname in grüner Schrift aufgeführt ist (Extended-Validation-Zertifikat). In diesem Fall wurde die Webseite von einer Zertifizierungsstelle auf Echtheit geprüft.
• URL weicht von der offiziellen Webseitenadresse ab. Kontrollieren Sie in der Adresszeile des Browsers, ob es sich beim Adressteil in schwarzer Schrift tatsächlich um die offizielle Webseitenadresse des Anbieters handelt.
  Beispiel: «https://www.paypal-chk.com/» statt «https://www.paypal.com/»
• Beliebige Login-Daten werden akzeptiert. Zweck einer Phishing-Webseite ist das Sammeln von Zugangsdaten. Gelingt das Login mit Fantasie-Angaben, handelt es sich eindeutig um eine unsichere Webseite.

Kontaktieren Sie uns, falls Sie mehr über Onlinesicherheit erfahren wollen.

Die Änderungen gelten für Nutzer der neuesten Version von Google Chrome (Version 68). Beim Aufruf von Webseiten, die nicht mit HTTPS und gültigem SSL/TLS-Zertifikat gesichert sind, erscheint ab sofort die Warnung «Nicht sicher». Mittelfristig wird die Warnung sogar noch deutlicher ausfallen. Weitere Hersteller dürften diesem Beispiel bald folgen.

Mit diesem Vorgehen will Google Webseitenbetreiber, welche die Kommunikation noch immer unverschlüsselt übertragen, motivieren, auf HTTPS zu wechseln. Das ist zumutbar, da entsprechende Zertifikate seit der Initiative von Let’s Encrypt im Jahr 2015 auch kostenlos erhältlich sind.

Abgesehen von Sicherheitsvorteilen hat HTTPS übrigens auch kommerzielle Vorteile für Seitenbetreiber: Suchmaschinen – allen voran Google – bevorzugen HTTPS-Seiten beim Ranking.

Falls Sie mehr über SSL/TLS-Zertifikate und Onlinesicherheit erfahren wollen, kontaktieren Sie uns.