– Achtung Betrüger: Identitätsklau und andere online Tricks

Würden Sie einem Wildfremden Ihr Router- oder WLAN-Passwort verraten? Sicher nicht! Aber was, wenn Sie aus heiterem Himmel einen Microsoft- oder Swisscom-Mitarbeiter an der Strippe hätten? Vielleicht einen, der Sie zusätzlich unter Zeitdruck setzt und mit längerem Internetunterbruch droht? Oder wie sieht es aus, wenn MasterCard per Mail über eine Kontobelastung informiert, von der Sie nichts wissen? Klicken Sie auf den Link, um nachzuschauen, was los ist?

Es häufen sich Fälle, in denen sich Cyber-kriminelle als Mitarbeiter bekannter Firmen ausgeben, um an Daten zu kommen oder einen Schädling zu installieren. Psychotricks dieser Art nennt man Social Engineering. Sie zielen nicht auf technische Sicherheitslücken, sondern auf das Verhalten des Anwenders: Er wird dazu gebracht, etwas zu tun, das er gar nicht will. Für den Angreifer sind diese Tricks erfolgreich, weil es keinen technischen Schutz dagegen gibt.

Statt technische Schutzmassnahmen zu überwinden, befassen sich Cyberkriminelle lieber mit den Nutzern. Diese lassen sich leichter täuschen. Der PCtipp zeigt, wie die fiesesten Betrügereien funktionieren. In diesem Artikel zeigen wir, aus welchen Mitteln das Psychoarsenal der Cyberkriminellen besteht.

Die meisten dieser «Waffen» kommen heute schon über viele Kanäle zum Einsatz, sei es via E-Mail, über soziale Netzwerke wie Facebook, per Instant Messaging oder übers Telefon.

 

 

 

Zielen statt streuen

Bis vor einigen Jahren hatten E-Mail-Würmer noch Hochkonjunktur. Dabei ging es den An-greifern um eine möglichst schnelle Ausbreitung ihrer Schädlinge. Sie erzeugten innerhalb von Minuten weltweit Tausende von E-Mails mit oftmals identischem bösartigem Inhalt. Inzwischen sind auf den meisten Mailservern und PCs ausgefeilte Spam-Filter  iund Viren-scanner im Einsatz, die solche Nachrichten fast in Echtzeit blockieren. Darum werden Angriffe in letzter Zeit immer personalisierter. Die Kriminellen halten den Ball flach, um nicht aufzufallen. Dadurch verzögern sie ein Medienecho und verhindern, dass ein Antivirenlabor allzu früh ein Gegenmittel entwickelt. Sie wenden sich mit ihren schädlichen Botschaften vermehrt an einen kleinen Nutzerkreis. Manchmal knöpfen sie sich auch nur einzelne Personen vor, von denen sie sich etwas erhoffen. An diesen exerzieren sie dann viele der folgenden Psychotricks durch.

Was der Angreifer will, hängt von seinem Auftraggeber ab. Er könnte auf Geld oder Informationen aus sein. In vielen Fällen geht es auch «nur» darum, den PC des Opfers mit einem Schädling zu infizieren und unter Kontrolle zu bringen. Damit kann er seinem Botnetz einen weiteren Rechner hinzufügen. Diesen wird er aus der Ferne für Spam- und Virenversand oder sonstige illegale Aktivitäten missbrauchen.

 

Schnell wirds persönlich

Für personalisierte Angriffe braucht der Cyber-kriminelle nur ein paar Informationen über sein potenzielles Opfer. Für viele Zwecke reicht es ihm schon, wenn er einer Mailadresse einen korrekten Namen zuordnen kann. Damit lässt sich eine Nachricht mit persönlicher Anrede verschicken. Andere beliebte Informationen sind einzeln betrachtet vielleicht harmlos, ergeben aber in den Händen eines Kriminellen einen fiesen Daten-cocktail: Wann und wohin geht eine bestimmte Person in die Ferien? Mit welchen anderen Personen hat sie Kontakt? Wo verkehrt die Person in der Freizeit oder beim Business-Lunch? In welchem Hotel residieren die Geschäftspartner? Natürlich sind auch Daten über den Arbeitgeber, Arbeitskollegen, Vereine, Hobbys etc. für einen Cyberkriminellen interessant. So könnte er eine Mail präparieren, die sich inhaltlich ums Hobby oder den Verein dreht. Diese braucht er nur noch mit dem Namen eines Bekannten zu signieren und eine schädliche PDF-Datei anzuhängen – schon fallen viele Anwender darauf rein.

Oft reicht auch das Sammeln von ein paar Namen und Begriffen. Der Kriminelle schlüpft in die Rolle eines interessierten Kunden und weist im Mailtext auf die «beiliegende Offertanfrage» hin. Um der Sache etwas mehr Authentizität zu verleihen, versucht er sich an branchenüblichem Vokabular. Das Tüpfelchen auf dem i sind aber die «herzlichen Grüsse» vom gemeinsamen Bekannten XY, der ihm die Firma wärmstens empfohlen habe. Im Englischen nennt man das gezielte Fallenlassen von Prominentennamen oder gemeinsamen Bekannten Name Dropping.

 

 

Tarnung ist die halbe Miete

Auf einem Briefumschlag können Sie jeden beliebigen Absender notieren. Die Post wird den Brief trotzdem befördern, solange die Empfängeradresse gültig ist. Genauso lassen sich auch Absenderangaben in E-Mails fälschen. Das passiert längst in Millionen von Spam-, Schädlings- und Phishingmails. Überhaupt gestalten die Gauner ihre Nachrichten gerne so, als stammten sie von einem seriösen Unternehmen. Dabei lassen sie oft grosse Sorgfalt walten: Die Mails enthalten die offiziellen Logos und Schrift-arten der Firma, sogar Sicherheitshinweise oder typische Marketingelemente fehlen nicht. Fährt man (ohne zu klicken) per Maus über den Link, offenbart sich meist der Betrug. Was sich hinter dem Link oder dem Dateianhang verbirgt, ist unterschiedlich. Vielleicht soll der Anwender seine Adresse, Passwörter zu bestimmten Webseiten oder seine Kreditkartennummer in ein Formular schreiben. Häufig enthält der Anhang oder die verlinkte Webseite einen Schädling.

 

Identitätsklau

Ein Identitätsdiebstahl liegt vor, wenn sich Gauner der Login-Daten zu Ihren Mail- oder sonstigen Onlinekonten bemächtigt haben. Die Betrüger können sich jetzt in Ihr Konto einklinken und in Ihrem Namen Mitteilungen publizieren. Für den Empfänger einer E-Mail, einer Instant-Messaging-Nachricht oder eines Facebook-Postings bedeutet das: Auch wenn eine Nachricht vom echten Konto eines Freundes stammt, kann je-mand anderes sie abgeschickt haben. Und Hand aufs Herz: Wenn Ihr bester Freund auf Facebook einen Link postet, klicken Sie darauf, stimmts? Seien Sie deshalb stets vorsichtig: Vielleicht hat Ihr Kollege sich sein Passwort klauen lassen. In Facebook gibt es nicht nur viele gekaperte Konten, sondern auch Schädlinge. Die verbreiten solche Links automatisch weiter.

 

Verwirrspiel

Cybergangster lieben Verwirrspiele. Die Nebel-granaten schlechthin unter diesen Tricks sind sogenannte URL-Kürzungsdienste wie bit.ly, ow.ly, tinyurl.com, kuerzer.de und viele ander. Diese machen aus einer langen Web-adresse per Klick eine kurze. So nützlich das beispielsweise beim Erstellen von Twitter-Nachrich-ten ist, auch solche Dienste bergen Gefahren. Die Gauner erstellen damit gerne Kurzlinks auf Schädlingsseiten. Diese schicken sie oft erneut durch weitere Linkkürzer. Auf diese Weise wird jeder, der darauf klickt, mindestens zweimal auf eine andere Webseite umgeleitet, was die Spuren zu verwischen hilft. Der Empfänger sieht dem Link nicht an, wohin er führt. Spam-Filter lassen sich damit auch in vielen Fällen übertölpeln. Einen gewissen Schutz vor solchen Kurzlinks bieten Webdienste wie www.knowurl.com, die solche gekürzten Adressen wieder in ihre Originalform bringen. Verwirrtaktiken können aber auch verbaler Natur sein. Gerade in Phishingmails oder in ge-fälschten Support-Anrufen überschütten Krimi-nelle ihre Opfer vielfach mit viel Technikgefasel. Die übliche Reaktion eines überforderten Opfers: Es sucht oder fragt nach einfachen Instruktionen, um den Fall schnellstmöglich zu erledigen. Schon hat der Angreifer ein leichtes Spiel: «Klicken Sie hier, installieren Sie diese Datei, geben Sie Ihr Passwort ein» und so weiter.

 

Rest des Artikels hier… (der ganze Artikel hier als PDF File vom PCTipp.ch)