VORSICHT, BETRÜGER! Zielen statt streuen 20 > PRAXIS > SICHERHEIT

Transkript

1 20 > PRAXIS > SICHERHEIT VORSICHT, BETRÜGER! Statt technische Schutzmassnahmen zu überwinden, befassen sich Cyberkriminelle lieber mit den Nutzern. Diese lassen sich leichter täuschen. Der PCtipp zeigt, wie die fiesesten Betrügereien funktionieren. VON GABY SALVISBERG Würden Sie einem Wildfremden Ihr Router- oder WLAN-Passwort verraten? Sicher nicht! Aber was, wenn Sie aus heiterem Himmel einen Microsoft- oder Swisscom-Mitarbeiter an der Strippe hätten? Vielleicht einen, der Sie zusätzlich unter Zeitdruck setzt und mit längerem Internetunterbruch droht? Oder wie sieht es aus, wenn MasterCard per Mail über eine Konto belastung informiert, von der Sie nichts wissen? Klicken Sie auf den Link, um nachzuschauen, was los ist? Es häufen sich Fälle, in denen sich Cyberkriminelle als Mitarbeiter bekannter Firmen ausgeben, um an Daten zu kommen oder einen Schädling zu installieren. Psychotricks dieser Art nennt man Social Engineering. Sie zielen nicht auf technische Sicherheitslücken, sondern auf das Verhalten des Anwenders: Er wird dazu gebracht, etwas zu tun, das er gar nicht will. Für den Angreifer sind diese Tricks erfolgreich, weil es keinen technischen Schutz dagegen gibt. In diesem Artikel zeigen wir, aus welchen Mitteln das Psychoarsenal der Cyberkriminellen besteht. Die meisten dieser «Waffen» kommen heute schon über viele Kanäle zum Einsatz, sei es via , über soziale Netzwerke wie Face book, per Instant Messaging oder übers Telefon. Zielen statt streuen Bis vor einigen Jahren hatten -Würmer noch Hochkonjunktur. Dabei ging es den Angreifern um eine möglichst schnelle Ausbreitung ihrer Schädlinge. Sie erzeugten innerhalb von Minuten weltweit Tausende von s mit oftmals identischem bösartigem Inhalt. Inzwischen sind auf den meisten Mailservern und PCs ausgefeilte Spam-Filter i und Virenscanner im Einsatz, die solche Nachrichten fast in Echtzeit blockieren, Bild 1. Darum werden Angriffe in letzter Zeit immer personalisierter. Die Kriminellen halten den Ball flach, um nicht aufzufallen. Dadurch verzögern sie ein Medienecho und verhindern, dass ein Antivirenlabor allzu früh ein Gegenmittel entwickelt. Sie wenden sich mit ihren schädlichen Botschaften vermehrt an einen kleinen Nutzerkreis. Manchmal knöpfen sie sich auch nur einzelne Personen vor, von denen sie sich etwas erhoffen. An diesen exerzieren sie dann viele der folgenden Psychotricks durch. i Fachbegriffe Spam-Filter > Als Spam werden ungefragt zugeschickte s bezeichnet. Oft handelt es sich um dubiose Werb s. Moderne Mailprogramme sind mit einem Filter ausgestattet, der Spam automatisch aussortiert. Botnetz > Bei einem Botnetz handelt es sich um ein weltweit verteiltes Netzwerk von infizierten Computern, die Cyberkriminellen beim Verbreiten von Spam und bei der Durchführung von Angriffen auf Firmenrechner helfen. Phishingmail > Phishing ist eine Form des Trickbetrugs im Internet. Der Phisher schickt s, die den Empfänger dazu verleiten sollen, vertrauliche Informationen (vor allem Benutzernamen und Passwörter) im guten Glauben dem Täter preiszugeben. FOTO ISTOCKPHOTO.COM/P_WEI

2 Lösungen von Computerproblemen auf Antivirenprogramme überwachen den PC unablässig und sind damit für Gauner ein anspruchsvolles Hindernis 2 Diese Phishingmail stammt nur scheinbar von PayPal Was der Angreifer will, hängt von seinem Auftraggeber ab. Er könnte auf Geld oder Informationen aus sein. In vielen Fällen geht es auch «nur» darum, den PC des Opfers mit einem Schädling zu infizieren und unter Kontrolle zu bringen. Damit kann er seinem Botnetz i einen weiteren Rechner hinzufügen. Diesen wird er aus der Ferne für Spam- und Virenversand oder sonstige illegale Aktivitäten missbrauchen. Schnell wirds persönlich Für personalisierte Angriffe braucht der Cyberkriminelle nur ein paar Informationen über sein potenzielles Opfer. Für viele Zwecke reicht es ihm schon, wenn er einer Mailadresse einen korrekten Namen zuordnen kann. Damit lässt sich eine Nachricht mit persönlicher Anrede verschicken. Andere beliebte Informationen sind einzeln betrachtet vielleicht harmlos, ergeben aber in den Händen eines Kriminellen einen fiesen Datencocktail: Wann und wohin geht eine bestimmte Person in die Ferien? Mit welchen anderen Personen hat sie Kontakt? Wo verkehrt die Person in der Freizeit oder beim Business-Lunch? In welchem Hotel residieren die Geschäftspartner? Natürlich sind auch Daten über den Arbeitgeber, Arbeitskollegen, Vereine, Hobbys etc. für einen Cyberkriminellen interessant. So könnte er eine Mail präparieren, die sich inhaltlich ums Hobby oder den Verein dreht. Diese braucht er nur noch mit dem Namen eines Bekannten zu signieren und eine schädliche PDF-Datei anzuhängen schon fallen viele Anwender darauf rein. Oft reicht auch das Sammeln von ein paar Namen und Begriffen. Der Kriminelle schlüpft in die Rolle eines interessierten Kunden und weist im Mailtext auf die «beiliegende Offertanfrage» hin. Um der Sache etwas mehr Authentizität zu verleihen, versucht er sich an branchenüblichem Vokabular. Das Tüpfelchen auf dem i sind aber die «herzlichen Grüsse» vom gemeinsamen Bekannten XY, der ihm die Firma wärmstens empfohlen habe. Im Englischen nennt man das gezielte Fallenlassen von Prominentennamen oder gemeinsamen Bekannten Name Dropping. Tarnung ist die halbe Miete Auf einem Briefumschlag können Sie jeden beliebigen Absender notieren. Die Post wird den Brief trotzdem befördern, solange die Empfängeradresse gültig ist. Genauso lassen sich auch Absenderangaben in s fälschen. Das passiert längst in Millionen von Spam-, Schädlingsund Phishingmails i. Überhaupt gestalten die Gauner ihre Nachrichten gerne so, als stammten sie von einem seriösen Unternehmen, Bild 2. Dabei lassen sie oft grosse Sorgfalt walten: Die Mails enthalten die offiziellen Logos und Schriftarten der Firma, sogar Sicherheitshinweise oder typische Marketingelemente fehlen nicht. Fährt man (ohne zu klicken) per Maus über den Link, offenbart sich meist der Betrug. In Bild 2 wurden die betrügerischen Webseiten auf einer pakistanischen Domain (Endung.pk) platziert. Und alles nur, um den Nutzer zum Klick auf den Link oder zum Öffnen eines Anhangs zu bewegen. Was sich hinter dem Link oder dem Dateianhang verbirgt, ist unterschiedlich.

3 22 > PRAXIS > SICHERHEIT 3 4 Gefälschte Apple-Nachricht mit Link zu einem Trojaner Die Mail sieht aus, als ob sie von Facebook wäre. Sie ist aber eine Fälschung Vielleicht soll der Anwender seine Adresse, Passwörter zu bestimmten Webseiten oder seine Kreditkartennummer in ein Formular schreiben. Häufig enthält der Anhang oder die verlinkte Webseite einen Schädling, Bild 3. In Bild 4 noch ein Beispiel, dieses Mal angeblich von Facebook. Identitätsklau Ein Identitätsdiebstahl liegt vor, wenn sich Gauner der Login-Daten zu Ihren Mail- oder sonstigen Onlinekonten bemächtigt haben. Die Betrüger können sich jetzt in Ihr Konto einklinken und in Ihrem Namen Mitteilungen publizieren. Für den Empfänger einer , einer Instant-Messaging-Nachricht oder eines Facebook-Postings bedeutet das: Auch wenn eine Nachricht vom echten Konto eines Freundes stammt, kann jemand anderes sie abgeschickt haben. Und Hand aufs Herz: Wenn Ihr bester Freund auf Facebook einen Link postet, klicken Sie darauf, stimmts? Seien Sie deshalb stets vorsichtig: Vielleicht hat Ihr Kollege sich sein Passwort klauen lassen. In Facebook gibt es nicht nur viele gekaperte Konten, sondern auch Schädlinge. Die verbreiten solche Links automatisch weiter, Bild 5. Verwirrspiel In die gleiche Kerbe schlagen Betrüger, die dem Nutzer mit Drohungen oder gefälschten Behauptungen Angst machen wollen. Panik schaltet meistens die Vernunft aus, was sich Cyberkrimibieten Webdienste wie die solche gekürzten Adressen wieder in ihre Originalform bringen, Bild 7. Verwirrtaktiken können aber auch verbaler Natur sein. Gerade in Phishingmails oder in gefälschten Support-Anrufen überschütten Kriminelle ihre Opfer vielfach mit viel Technikgefasel. Die übliche Reaktion eines überforderten Opfers: Es sucht oder fragt nach einfachen Instruktionen, um den Fall schnellstmöglich zu erledigen. Schon hat der Angreifer ein leichtes Spiel: «Klicken Sie hier, installieren Sie diese Datei, geben Sie Ihr Passwort ein» und so weiter. Zeitdruck aufbauen Sobald Anwender Zeit haben, über etwas nachzudenken, zu recherchieren oder sogar jemanden zu fragen, sinken die Chancen eines erfolgreichen Angriffs beträchtlich. Darum häufen sich in letzter Zeit die gefälschten Support-Anrufe. Bei diesen kommt das Überraschungsmoment hinzu. Ein Krimineller ruft an und gibt sich als Mitarbeiter des Internetanbieters, der Bank oder von Microsoft aus. Er bittet den Nutzer «aus dringlichen technischen Gründen» um Daten oder um Manipulationen am Computer. Der Nutzer soll Entscheidungen fällen und das Geforderte erledigen, bevor er Zeit hatte, die Situation zu erfassen. In Panik versetzen 5 Cybergangster lieben Verwirrspiele. Die Nebelgranaten schlechthin unter diesen Tricks sind sogenannte URL-Kürzungsdienste wie bit.ly, ow.ly, tinyurl.com, kuerzer.de und viele andere, Bild 6. Diese machen aus einer langen Webadresse per Klick eine kurze. So nützlich das beispielsweise beim Erstellen von Twitter-Nachrichten ist, auch solche Dienste bergen Gefahren. Die Gauner erstellen damit gerne Kurzlinks auf Schädlingsseiten. Diese schicken sie oft erneut durch weitere Linkkürzer. Auf diese Weise wird jeder, der darauf klickt, mindestens zweimal auf eine andere Webseite umgeleitet, was die Spuren zu verwischen hilft. Der Empfänger sieht dem Link nicht an, wohin er führt. Spam-Filter lassen sich damit auch in vielen Fällen übertölpeln. Einen gewissen Schutz vor solchen Kurzlinks Dieser gemeine Facebook-Wurm macht neugierig und verleitet zum Klicken

4 Lösungen von Computerproblemen auf Linkkürzer wie bit.ly verschleiern die Originalwebadresse KnowURL offenbart, welcher Link hinter der gekürzten Adresse steckt nelle gerne zunutze machen. Zum Beispiel mit gefälschten Nachrichten, die etwa so lauten: «Bist du das auf diesem Foto? Ganz schön mutig!» Angefügt ist ein Link oder ein Dateianhang. Beim Gedanken an ein kompromittierendes Bild von sich im Internet gerät wohl jeder in Panik. Wenn die Angst oder Neugier gewinnt, ist der Klick auf den Anhang oder Link schnell gemacht. Mit Ängsten spielen auch Industriespione. So passt ein Krimineller vielleicht den Zeitpunkt ab, an dem die meisten Kadermitarbeiter in den Ferien oder (schlecht erreichbar) an einer Messe weilen. Nun nimmt er mit dem Opfer Kontakt auf und gibt sich als neuer Kunde mit anstehendem Grossauftrag aus. Die Forderung besteht zum Beispiel in der Übergabe technischer Zeichnungen, angeblich «zu Evaluierungszwecken». Weigert sich das Opfer, solche Geschäftsgeheimnisse herauszugeben, bekommt es vom Kriminellen bald zu hören: «Ihr Chef wird Sie feuern, wenn Ihrem Unternehmen wegen Ihrer Sturheit unser Millionenauftrag entgeht!» Oder wie wärs mit einer gefälschten Katastrophenmeldung? Nicht immer sind solche auch so katastrophal schlecht gemacht wie in Bild 8. Sympathie erwecken Es gibt Betrüger, die ihre Opfer erst eine Weile lang weichköcheln. Sie fallen nicht beim ersten Kontakt mit der Tür ins Haus. Stattdessen versuchen sie, beim Nutzer Sympathie zu erwecken. Das kann mit harmlosen Einstreuungen in Mails, Instant Messages oder in Anrufen anfangen. Der Kriminelle missbraucht zum Beispiel bereits die Daten, die er im Vorfeld über die Hobbys seines potenziellen Opfers im Netz gefunden hat. Auch Komplimente, ein wenig Süssholzraspeln oder kleine Geschenke helfen, das Vertrauen und die Sympathie des Opfers zu gewinnen. Fast noch häufiger und perfider ist die Mitleidstour. Die ist auf sozialen Netzwerken wie Facebook besonders häufig anzutreffen. Und fast immer sind es laut Profilbild wunderschöne Frauen aus dem Osten, die Ihnen nach kurzer Zeit ihr Herz ausschütten. Dass viele dieser Pro- file gefälscht sind, merken Sie erst, wenn Sie nach dem Überweisen irgendwelcher Geldbeträge (zum Beispiel für angebliche Reise- oder Gesundheitskosten) nichts mehr von der Schönen hören. Salamitaktik Oft gepaart mit dem Aufbauen von Sympathie ist das Mittel der stückweisen Erfüllung bestimmter Forderungen. Der Angreifer bittet anfangs um einen kleinen, harmlosen Gefallen. Bei einem nächsten Kontakt wird er etwas weitergehen und vielleicht eine Information verlangen, die nicht für jeden ersichtlich auf der Firmenhomepage steht. Bald hat er sein Opfer so weit, dass es für ihn quasi den Maulwurf spielt, ohne es zu merken. Dem Opfer wird es schwerfallen, zu entscheiden, wann mit der Hilfe Schluss ist. Überlegen Sie selbst: Wenn Sie jener freundlichen Person schon die Mailadresse des Chefs verraten haben, warum nicht auch noch die private Telefonnummer? Oder jene seines Handys, wenn wir schon dabei sind? Je früher sich Ihre interne Warnleuchte einschaltet, desto besser. Das Monster namens Gier Viele Social-Engineering-Maschen appellieren an die guten Seiten im Menschen, an Empathie und Hilfsbereitschaft. Bei vielen Opfern gibts aber eine noch viel stärkere Triebfeder: die Gier. Die Aussicht auf eine hohe Geldsumme, auf ein bestimmtes teures Gerät oder sonstiges Luxusgut schaltet häufig die Vernunft aus. Ist der versprochene Gewinn hoch genug, werden sämtliche Zweifel an den Absichten des Gegenübers über 8 Diese Meldung soll zum verhängnisvollen Klick verleiten

5 24 > PRAXIS > SICHERHEIT 9 10 In dieser Nachricht wird ein Teil des Ghadhafi-Vermögens versprochen Wir sollen im Lotto gewonnen haben leider nur eine Lüge Bord geworfen. Das Bilderbuchbeispiel dazu ist die Nigeria-Abzocke, Bild 9. Bei dieser Betrugsvariante versprechen die Gauner dem Opfer hohe Summen, wenn man ihnen (natürlich mit etwas Kapital) beim Transfer eines riesigen Geldbetrags helfe. Dieselbe Masche kursiert übrigens auch in einer Lotteriegewinn variante, Bild 10, sowie in zahlreichen anderen Abwandlungen. Wenn ein Cybergauner bloss einen bestimmten Klick haben will, braucht er seine falschen Versprechungen nicht einmal mit der grossen Kelle anzurühren. Auch Wettbewerbe (zum Beispiel «Gratis iphone zu gewinnen!») oder kostenlose Onlinedienste halten als Aufhänger für Klickbetrug aller Art her. So wurden und werden zum Beispiel gefälschte Facebook-Dienste be- Tipps Das schützt Sie vor Psychotricks Bauchgefühl: Manchmal sagt bereits das Bauchgefühl, dass etwas mit einer bestimmten Kontaktaufnahme nicht stimmt. Hören Sie darauf. Zeitdruck: Lassen Sie sich nie und von niemandem unter Zeitdruck setzen. Panik: Treten Sie sofort auf die Bremse, wenn eine elektronische Nachricht bei Ihnen Ängste oder andere starke Gefühle auslöst. Gegenleistung: Seien Sie skeptisch, wenn Ihnen jemand online etwas schenken will. Lassen Sie sich zu keinen Gegenleistungen breitschlagen. Misstrauen: Gehen Sie bei Nachrichten, die Dateianhänge und Links enthalten, stets davon aus, dass es sich um kriminelle Machenschaften handeln könnte. Wenn Sie den Absender oder die Firma des Anrufers kennen, dürfte es ein Leichtes sein, diesen auf herkömmlichem Weg zu kontaktieren und persönlich bestätigen zu lassen, dass die Nachricht tatsächlich von ihm stammt. worben, die dem Nutzer angeblich zeigen, wer sein Profil angeschaut oder ihn blockiert hat. Neugier ist auch eine Form von Gier und wird für Cyberkriminelle auch weiterhin eine lukrative Verführungsmasche bleiben. Ihr Nutzerlein kommet Warum eigentlich mühselig s verschicken, wenn man ganz einfach auf den Besuch der Opfer warten kann? Cyberkriminelle brauchen bloss eine Webseite zu präparieren, die den Besuchern automatisch einen Schädling unterjubelt. Um die Chancen eines Besuchs zu erhöhen, registrieren manche Betrüger Domainnamen i, die jenen von bekannten Seiten ähneln: gooogle.ch Verwirrung: Wenn Sie etwas nicht begreifen oder nicht kennen, seien Sie skeptisch. Sollte Sie plötzlich Ihr Internet provider oder Microsoft kontaktieren, rufen Sie am nächsten Tag zurück und zwar auf die offizielle Nummer, die Sie in Ihren Unterlagen haben. Nicht auf jene, die Ihnen der abendliche Anrufer mitgeteilt hat. Zu schön, um wahr zu sein: Wenn etwas zu schön klingt, um wahr zu sein, ist es leider in den meisten Fällen auch nicht wahr. (ein o zu viel) oder microsfot.com (Buchstabendreher) sind nur zwei Beispiele. Google und Microsoft haben diese beiden Vertipper-Domains längst für sich gepachtet. Aus gutem Grund: Täglich verschreiben sich Tausende Anwender beim Eingeben einer Webadresse. Viele davon landen auf präparierten gefälschten Webseiten. Fortgeschrittene Gauner hoffen nicht auf Verschreiber, sondern machen sich an echten Webseiten zu schaffen. Die Webserversysteme und die darin eingebetteten Module (Foren, Shops, Werbekanäle etc.) sind nicht vor Sicherheitslücken gefeit. Wird eine Lücke in einem Modul publik, fangen sie an, Webseiten zu suchen, auf denen dieses Modul in der angreifbaren Version zum Einsatz kommt. Dort schleusen sie den Schadcode ein. Den Rest besorgen die Benutzer selbst. Dieser Trick profitiert davon, dass Anwender sich in Sicherheit wähnen, weil sie der Webseite vertrauen. Wenn dann ein Pop-up-Fenster erscheint, das um Installation eines (gefälschten) Plug-Ins bittet, liegt der fatale Mausklick auf den Ja-Button nicht mehr weit. Darum gilt: Klicken Sie auch auf vertrauten Webseiten nicht blindlings auf Hinweise. Zum sicheren Verhalten im Internet gehört ausserdem das Einspielen von Updates. Je besser Ihre Software auf dem PC gepflegt ist, desto kleiner die Gefahr einer heimlichen Infektion. i Fachbegriff Domainnamen > Ein typisches Beispiel einer Domain ist eine Adresse, unter der ein Computer im Internet erreichbar ist. Domains setzen sich meist aus drei Teilen zusammen. Zuvorderst steht die Subdomain (z.b. www). Danach folgt der Domainname (pctipp). Den Abschluss bildet die sogenannte Top Level Domain. Sie bezeichnet entweder ein Land oder eine Funktion.