von MICHAELA MERZ

Der amerikanische Geheimdienst hat nun offiziell bestätigt, was in „informierten“ Kreise schon länger bekannt war. Russische Dienste haben durch gezielte „Hacks“ die Präsidentenwahl zu beeinflussen versucht. Wobei das Wort „Hack“ eigentlich falsch ist. Denn ein „Hack“ ist eher die Manipulation von Technologie, um ein gewünschtes Ergebnis zu erzielen. Also zum Beispiel die Ausnutzung von Schwachstellen in einem Server, um Zugangskontrollen zu umgehen. Man denkt unwillkürlich an einen  schmuddeligen Typen, der irgendwo im Keller nächtelang vor den Monitoren sitzt, um in hoch geheimen Computernetzwerken an Informationen zu gelangen.

Da kann man kaum etwas machen, oder?

Vor ein paar Monaten erhielt ich eine E-mail von meiner Bank, in der mir die Sperrung meiner Kreditkarte aus Sicherheitsgründen mitgeteilt wurde. Ich möge doch bitte auf meinen Account verbinden um die Karte wieder freizugeben. Die E-mail sah „echt“ aus, ich war gerade abgelenkt und eine „gesperrte Kreditkarte“ war das letzte, was ich in dem Moment gebraucht habe. Flüchtig prüfte ich die Zieladresse und hatte den Link schon beinahe geklickt, als im Unterbewusstsein die Alarmglocken klingelten. Ich prüfte die Ziel-Adresse erneut:

https://account-update.bonkofamerica.com/account-update/a61gs551-019sj/accounts

Nicht „bankofamerica.com“ , sondern „bonkofamerica.com“

Ups! Beinahe wäre ich selber ‚reingefallen. Als IT-Sicherheitsprofi besuchte ich später (und über ein abgesichertes System) die Zieladresse und wurde auf einer professionell gestalteten Webseite gebeten, mich für mein Konto anzumelden. Selbst mein Username war bereits eingetragen, nur das Passwort fehlte. Nach der Eingabe meines Passwortes wäre ich nach einer Fehlermeldung auf die „echte“ Seite weitergeleitet worden – und mein Konto wäre wohl in ein paar Tagen leer gewesen.

Diese Methode nennt sich „Phishing“ und die Angreifer werden immer raffinierter. Wir betreiben eine Reihe sogenannter „Honigtöpfe“-Fallen, – virtuelle Computer-Nutzer, die deutlichst ihre Spuren im Internet hinterlassen haben, um „Phishing“ und andere Angriffe zu provozieren. Über die Jahre haben wir mehr als 2,5 Millionen Spam-Mails erhalten und analysiert.

E-mail-Phishing zielt in erster Linie auf einen Nutzer, der einen „Link“ in einer E-mail anklickt. Würden wir alle nicht machen, oder? Forschungen haben jedoch erwiesen, dass -je nachdem wie „gut“ eine „Phishing“ Email gestaltet ist, bis zu 18 Prozent der Empfänger auf den Link in einer E-mail klicken. Warum auch nicht, wenn die E-mail von einem guten Freund, einem Familienmitglied, einem Kollegen oder dem Chef kommt. Wussten Sie, dass man die Absende-Adresse einer Email beliebig manipulieren kann? Dazu muss man nicht einmal „hacken“. Mit anderen Worten: Der im E-mail-Programm angezeigten Adresse kann man nicht vertrauen.

Phishing Angriffe sind auf eine breite Masse gezielt und sind entsprechend wenig individuell. Aber wenn man 100,000 E-mails versendet und nur ein halbes Prozent an „Klicks“ bekommt, hat man trotzdem ein paar hundert User gefangen und möglicherweise mit Schad-Software infiziert – oder Passworte gefischt – oder beides. Gezielte Angriffe gegen eine bestimmte Gruppe, z.B. die amerikanische demokratische Partei, sind viel sorgfältiger geplant und sehr viel schwieriger zu erkennen. Und wenn der Angriff beim ersten Mal nicht klappt, staatliche Organisationen haben die Ressourcen um es wieder und wieder zu probieren.

Und so gehen die Angreifer vor: Es wird eine mehr oder weniger professionell gestaltete E-mail erstellt, um den Nutzer zum Klicken zu verleiten. Psychologen erfinden Überschriften, um die Notwendigkeit eines sofortigen Handelns zu suggerieren. Aufmerksame Nutzer fahren Sie mit der Maus auf den Link und prüfen die Zieladresse in der Fußzeile – was meistens die Täuschung aufzeigt. Profis verwenden allerdings Zieladressen, die dem „Original“ sehr ähnlich sind oder bei flüchtigem Hinsehen nicht auffallen. Tatsächlich nutzen aber die wenigsten User diesen Schutzmechanismus – besonders wenn man keine Zeit hat oder die Nachricht entsprechend dringend wirkt.

Man klickt auf den Link, eine Schadsoftware wird geladen oder der User wird zur Eingabe vertraulicher Nutzerdaten animiert. Danach kann man diese Daten des Opfers nutzen, um unter seinem Usernamen/Passwort auf das „echte“ System zu verbinden. Wenn man also den Nutzer mit einer professionellen „phishing“ Email dazu animiert, das „Passwort“ für seinen E-mail-Account preiszugeben, hat man den vollständigen Zugriff auf das E-mail-System und kann alle E-mails abrufen und speichern.

Und genau das passierte John Podesta. Einige Details sind bekannt. Er erhielt eine E-mail mit der Absenderadresse „no-reply@accounts.googlemail.com“ in der ihm mitgeteilt wurde, das „jemand“ in der Ukraine versucht hätte, auf seinen Account zuzugreifen und er möge aus Sicherheitsgründen sofort sein Passwort ändern. Der „CHANGE PASSWORD“ Link wurde ihm zum Verhängnis.

Wie kann man sich vor „phishing“-Angriffen schützen? Simpel – niemals Links in Emails anklicken. Niemals vertrauliche Daten in eine Webseite eingeben, ohne dass zuvor die Zieladresse im Webbrowser aufmerksam geprüft wurde. Wenn möglich, immer eine „Zwei-Faktor-Authentifzierung“  aktivieren und nutzen. Dann wird zusätzlich zum Passwort ein weiterer Sicherheitsmechanismus, z.B. ein Handy benötigt.

John Podesta hat nicht aufgepasst und wurde „gefischt“. Ein einziger unaufmerksamer Klick, der möglicherweise die Geschichte der Welt ändern wird.

 

Michaela Merz ist eine Internet-Unternehmerin und auf IT-Sicherheit spezialisiert. Sie berät ihre Klienten in allen Bereichen der Internet- und Kommunikationssicherheit und entwickelt für verschiedene Unternehmen Technologien zur gesicherten und vertraulichen Datenkommunikation.

Twitter: @mischmerz Web: blog.michaelamerz.com