E-Mails mit dem „Prinzen von Saudi-Arabien“ waren einmalVorsicht vor dem „Long Con Phish“
19. April 2021
Lang ausgelegte Phishing-Kampagnen bauen erst Vertrauen auf, um dann gnadenlos zuzuschlagen. Daher sollte man den Gefahren durch Social Engineering große Bedeutung beimessen und die Anwender unbedingt sensibilisieren.
Meistens wird Phishing im Kontext von Social Engineering dazu genutzt, um das Vertrauen eines potenziellen Opfers zu missbrauchen, um dieses dazu zu bringen, private Informationen preiszugeben oder eine andere gewünschte Aktion auszuführen (z. B. ein Trojaner-Malware-Programm zu starten). Oftmals handelt es sich um einfache Methoden: eine E-Mail, ein gefälschter URL-Link, ein Telefonanruf. Der Betrüger rechnet mit der sofortigen Reaktion des Opfers als Schlüssel zum Erfolg der Phishing-Kampagne. Je länger das potenzielle Opfer braucht, um zu reagieren, desto unwahrscheinlicher ist es, dass es auf die kriminellen Machenschaften hereinfällt.
Es gibt jedoch noch eine andere Version von Social Engineering und Phishing, die sich auf eine längere Zeitspanne stützt und mehrere Aktionen des Opfers erfordert, um erfolgreich zu sein. Viele raffinierte Hacker verbringen absichtlich Wochen oder Monate damit, eine Beziehung zu einem potenziellen Opfer aufzubauen, um mit der Zeit ein Vertrauensverhältnis zu schaffen, das schließlich ausgenutzt wird. Diese langfristigen Betrügereien können oft verheerender für die Interessen des Opfers sein. Jeder muss sich dieser Art von Phishing-Ereignissen bewusst sein, auch wenn sie bisher selten auftauchen. Sensibilisierung ist der Schlüssel zu ihrer Bekämpfung.
Der Einfluss von Pretexting
Die gängige Beschreibung dieser längerfristigen Betrügereien beinhaltet oft Pretexting, d. h. die Schaffung eines erfundenen Szenarios, um ein anvisiertes Opfer dazu zu bringen, Informationen preiszugeben oder eine bestimmte Aktion durchzuführen. Pretexting kann auch dazu verwendet werden, sich als Personen in bestimmten Berufen oder Rollen auszugeben, z. B. im technischen Support oder bei der Strafverfolgung, um Informationen zu erhalten. In der Regel wird ein Dialog per E-Mail, SMS oder Telefon geführt. Der Schwerpunkt liegt auf der Beschaffung von Informationen direkt aus den Handlungen der Zielpersonen, die in der Regel in risikoreichen Abteilungen wie der Personal- oder Finanzabteilung tätig sind.
Bei langfristigen Betrügereien beeilen sich die Betrüger nicht. Ein Social Engineer ruft vielleicht ein potenzielles Opfer an, z. B. jemanden aus der Kreditorenbuchhaltung, und stellt sich als neuer Ansprechpartner für diese und jene Firma vor, an die der Kreditorenbuchhalter regelmäßig Rechnungen bezahlt. Aber anstatt aufzufordern, sofort eine neue Rechnung an eine neue Bank zu bezahlen, wie es bei den meisten E-Mail-Betrugsversuchen für Unternehmen der Fall ist, wird der Phisher beiläufig den Namen der Person erwähnen, mit der der Kreditorenbuchhalter zuvor zu tun hatte, und einen plausiblen Grund für den Wechsel nennen, wie z. B. eine Beförderung.
Nachdem er sich als neuer Ansprechpartner etabliert hat, legt er den Grundstein für Änderungen, die in Zukunft eintreten könnten. Sie könnten zum Beispiel eine rührselige Geschichte erzählen wie: „Und unser neuer Chef führt gleichzeitig ein neues Buchhaltungssystem ein, also müssen wir alle gleichzeitig neue Aufgaben und ein neues System lernen. Können Sie das glauben? Als ob mein Job nicht schon schwer genug wäre. Und ich habe gehört, dass er auch darüber nachdenkt, zu einer neuen Bank mit besseren Zinssätzen zu wechseln, die er bei seinem vorherigen Job genutzt hat. Ich schwöre, jeder neue Chef bringt am Ende das System von seinem letzten Job mit und es liegt an uns, alles neu zu lernen. Aber im Moment ändert sich nichts. Bezahlen Sie die Rechnung einfach weiter an die gleiche Stelle wie bisher. Ich schicke Ihnen die aktualisierten Informationen, sobald wir sie haben. Vielen Dank für Ihre Geduld“. Und genau so baut der Hacker einen Vertrauensvorschuss auf, indem er keine unmittelbare Transaktion oder Änderung verlangt und so den anfänglichen Verdacht ausräumt und den Beginn einer neuen Beziehung einleitet.
Beispiel: IT-Sicherheitsforscher kompromittiert
Das Risiko des Langzeit-Phishing-Betrugs kam mit den Berichten über die jüngste Geschichte wieder hoch, in der eine sehr ausgeklügelte Kampagne von Nordkorea gegen mehrere Sicherheitsforscher gestartet wurde. Die Betrüger erstellten gefälschte Identitäten, Twitter-Profile, YouTube-Videos und Forschungsblogs. Sie veröffentlichten nicht nur ihre eigenen „Original“-Forschungsergebnisse, sondern waren auch erfolgreich darin, andere echte Personen dazu zu bringen, neue Artikel für ihre Blogs und Twitter-Konten zu schreiben. Alle Informationen und Beiträge wurden durch die anderen gefälschten Identitäten und Blogs zusammen mit echten, ahnungslosen Forschern weiterverbreitet, wodurch den betrügerischen Identitäten und Inhalten die Sphäre der Legitimität hinzugefügt wurde.
Nachdem sie das Vertrauen angesehener Sicherheitsforscher gewonnen hatten, schickten sie mit Trojanern verseuchte Microsoft Visual Studio Project-Dateien als Teil einer angeblichen Zusammenarbeit zur Behebung von Sicherheitslücken. Die geschädigten Sicherheitsforscher installierten dann unwissentlich Trojaner-Code, der ihre eigenen Geräte, Organisationen und Informationen kompromittierte. In anderen Fällen scheint der bloße Besuch des Blogs des gefälschten Forschers Malware auf den vollständig gepatchten Computern des legitimen Forschers installiert zu haben.
Die Angreifer konnten dann darauf zugreifen und sehen, woran gearbeitet wurde. Dies ist ein ziemlich unglaublicher Zugang, da viele Forscher oft Dutzende bis Hunderte von unangekündigten Sicherheitslücken kennen. Ein Angreifer, der von diesen unangekündigten Schwachstellen erfährt, könnte zumindest darauf aufmerksam werden, wenn seine eigenen realen Angriffe beginnen, bemerkt zu werden. Ein gefährlicheres Szenario ist, dass sie die „Zero-Days“ gegen jede Organisation mit der betroffenen Software einsetzen könnten.
Bei dem nordkoreanischen Langzeitbetrug handelt es sich offensichtlich um einen staatlich unterstützten Angriff, wie auch bei dem sehr erfolgreichen Angriff auf Sony Pictures im Jahr 2014. Dieser hat viele Unternehmen dazu gebracht, sich Gedanken über Angriffe auf nationaler Ebene zu machen. Zuvor machten sich die meisten nur dann Gedanken über ausgeklügelte, gut ausgestattete Angriffe von Staaten, wenn sie im Bereich der nationalen Verteidigung tätig waren.
Betrügereien können echte Unternehmen involvieren
Einer der größten und finanziell schädlichsten Phishing-Betrügereien war sicherlich die einer einzelnen Person, die über einen Zeitraum von drei Jahren erfolgreich mehr als 120 Millionen Dollar von Unternehmen wie Facebook und Google erbeutet hat. Der Betrüger, Evaldas Rimasauskas, war in der Lage, sehr anspruchsvolle und sachkundige Sachbearbeiter und Führungskräfte davon zu überzeugen, dass er die neue Anlaufstelle für ihre laufenden PC-Käufe sei. Zu diesem Zweck eröffnete er echte, eingetragene Unternehmen mit identischen Namen wie die „gefälschten“ Unternehmen (eingetragen in verschiedenen Ländern) und erstellte ähnlich aussehende Domainnamen.
Rimasauskas wurde schließlich verhaftet und zu fünf Jahren Gefängnis verurteilt. Es war ein weiteres Beispiel für einen dreisten, über mehrere Jahre hinweg durchgeführten Betrug, der die fortschrittlichsten und am besten vorbereiteten Ziele täuschte.
Maßnahmen für den Schutz
Das Beste, was Unternehmen tun können, um diese Betrügereien zu vermeiden, ist sicherzustellen, dass alle Mitarbeiter mit Zugang zu sensiblen Informationen diese Arten von Betrügereien kennen und verstehen.
Schritt zwei ist es, den Mitarbeitern bewusst zu machen, dass E-Mails, SMS und Telefonanrufe keine endgültige Authentifizierung sind. Selbst wenn der Absender oder Anrufer die betreffende Telefonnummer nicht fälscht, wie kann der Empfänger wissen, wer wirklich anruft oder eine SMS sendet, wenn ihm die Telefonnummer nicht bekannt ist?
Wenn jemand aus heiterem Himmel anruft und behauptet, der neue Ansprechpartner zu sein, sollte sich der betroffene Mitarbeiter an die frühere Kontaktperson weden, um dies zu überprüfen. Wenn die neue Person behauptet, die frühere Person sei entlassen worden, sollte der Chef der früheren Kontaktperson angerufen werden. Wenn eine E-Mail von einer Person, der vertraut wird, von deren regulärer E-Mail-Adresse eintrifft und behauptet, dass Geld an eine neue Bank geschickt werden soll, wäre es gut, wenn diese Person unter ihrer zuvor dokumentierten Telefonnummer angerufen wird.
Unternehmen müssen Bildungsangebote schaffen, um über langfristige Phishing-Versuche und Betrügereien aufzuklären und wie man sich dagegen wehren kann. Allem sollte ein gesundes Maß an Skepsis gegenübergebracht werden, was möglicherweise ein Gerät, ein Netzwerk oder eine Organisation gefährden könnte. Der überwiegende Teil des Sicherheitstrainings muss darauf abzielen, die Mitarbeiter über die gängigsten und populärsten Arten von Phishing-Betrug aufzuklären. Es sollte aber nicht vergessen werden, hin und wieder im Laufe des Jahres über den potenziellen Schaden durch langfristige Phishing-Betrügereien gesprochen zu werden.
Außerdem sollten Richtlinien erlassen werden, die den potenziellen Erfolg dieser langfristigen Betrügereien verringern. Ein Beispiel ist eine Regel, die für jede Änderung von Zahlungsinformationen eine Sprachbestätigung von einer vorher bekannten Ressource unter einer vorher dokumentierten Telefonnummer verlangt. Des Weiteren, kann vorgeschrieben werden, dass E-Mails allein nicht zur Verifizierung verwendet werden können. Dies macht es unwahrscheinlicher, dass diese Art von Betrug überhaupt so erfolgreich ist.
Roger Grimes ist Data-Driven Defense Evangelist bei KnowBe4.
