Bisher galt ein einheitliches Muster: man erhält eine E-Mail mit einem merkwürdigen Link – E-Mail löschen! Aber Hacker finden stetig neue Wege, User hinters Licht zu führen. Aber auch diese neuen Betrugsversuche lassen sich mit etwas Aufmerksamkeit frühzeitig erkennen.
Es gibt drei wesentliche Komponenten, wie eine klassische Phishingmail aufgebaut ist:
- Eine E-Mail mit einem Link, auf den der User klicken soll.
- Eine Fake-Webseite, auf der sich der User einloggen soll.
- Eine weitere oder dieselbe Internetseite, welche die Login-Daten an die Hacker übermittelt.
Als Experten auf dem Gebiet der Cybersecurity konnten wir nun eine E-Mail eines Kunden analysieren, welche statt eines Links im Text der E-Mail über einen HTML-Anhang verfügte. Statt eines Links im Text der E-Mail wurde ein HTML-Anhang mitgeschickt, welcher vom User geöffnet werden soll. Dieser HTML-Anhang startet dann eine Kopie einer dem User bekannten Website lokal auf dem Computer.
Zwei bisher sichere Erkennungsmerkmale fallen damit unter den Tisch:
- In der Phishing-E-Mail befindet sich kein Link, den man im Voraus auf gefälschte oder verdächtige Zeichen oder Konstellationen prüfen könnte.
- Die URL in der Adressleiste ist ein harmlos aussehender lokaler Dateiname ohne Website-Name oder HTTPS-Zertifikat.
Beides führt dazu, dass die Phishing-Mail schlechter für den User zu erkennen ist.
Folgende Tipps helfen, auch einen solchen Angriff zu neutralisieren:
- HTM- oder HTML-Anhänge sollten ignoriert und die E-Mail gelöscht werden
- Nutzung einer Zwei-Faktor-Authentifizierung
- Web-Filterung z.B. durch eine installierte Firewall oder wirksame Endpoint-Security
- E-Mail Filterung vor der Ankuft der E-Mail beim User
Sollten die Angreifer bereits erfolgreich Daten erbeutet haben, Passwörter und weitere Anmeldedaten sofort ändern um weiteren Schaden abzuwenden.