Wenn E-Mails nicht die E-Mails sind, die sie zu sein scheinen

Wie sich Unternehmen und Privatpersonen vor Spoofing schützen können.

Täglich erhalten wir unzählige von E-Mails, das meiste davon ist Spam und ein ganz kleiner Teil sind persönlich. Darunter zählen E-Mails von Freunden oder Bekannten, Rechnungen, Arbeitsmails oder andere Mails die mit persönlichen Anfragen oder ähnlichem zu tun haben. Genau das nutzen Cyberkriminelle aus, um an sensible Daten zu kommen. In letzter Zeit wurden immer mehr Internetnutzer*innen Opfer von Spoofing E-Mails. Alleine im Zeitraum vom 1.-2. August 2022  haben wir über 3.000 Internetnutzer*innen in Deutschland vor Spoofing- E-Mails geschützt, die die Malware “Formbook” verbreitet haben. 

Was ist Spoofing?

Spoofing ist ein Cyberverbrechen, bei dem sich eine Person als vertrauenswürdiger Kontakt oder als vertrauenswürdiges Unternehmen ausgibt, um an sensible persönliche Daten zu gelangen. Beim Spoofing geht es vor allem darum, die Identität von bekannten Kontakten, das Design bekannter Marken oder die Adressen vertrauenswürdiger Websites zu kopieren und sich zunutze zu machen.

Auch geben sich die Cyberkriminellen als eine Person oder Marke aus und tarnen ihre Kommunikation, indem sie beispielsweise E-Mails versenden die von einer vertrauenswürdigen Person oder Organisation zu stammen scheinen. All das tun sie, um an die sensiblen Daten zu kommen.

Formbook Schadsoftware

Formbook verbreitet sich per E-Mails im Anhang mittels Spoofing. Formbook kann Tastenanschläge erfassen oder Inhalte der Zwischenablage stehlen und Daten aus HTTP-Sitzungen abschöpfen. Formbook kann auch Befehle von entfernten Command-and-Control-Servern befolgen und aus der Ferne Aktionen wie das Ausführen von Dateien, das Auslesen von Passwörtern aus lokalen Benutzer-Cookies, das Deaktivieren des Task-Managers, das Erstellen von Screenshots und sogar den Neustart des Systems ausführen.

Der ursprüngliche Angriffspunkt für Formbook waren häufig Malspam-Kampagnen (oder bösartige Spam-Mails), bei denen infizierte URLs oder ausführbare Anhänge in Spam-E-Mails eingefügt wurden. Diese E-Mails enthalten häufig Social-Engineering-Elemente, um den Anschein zu erwecken, dass sie von vertrauenswürdigen Quellen wie Versandunternehmen, Bankinstituten oder sogar Gesundheitsbehörden gesendet wurden.

Wie sahen diese E-Mails aus?

Meist hatten diese gespooften E-Mails einen Betreff wie “Zahlung” oder “Payments” und enthielten E-Mail-Adressen von einer Zahnarztpraxis aus Hamburg, einem Hotel in Mannheim und MVZ Maintal, einer Arztpraxis in Frankfurt als Absender.

 

MVZ Maintal hat vorbildlich reagiert und mitgeteilt, dass einige E-Mail-Konten ihrer Praxis gehackt wurden. Am Ende kann jeder Unternehmensname für Spoofing-Kampagnen missbraucht werden - ein offener Umgang mit Kund*innen ist dann ratsam, um zu vermeiden, dass diese den Angreifer*innen zu Opfer fallen.

Die Angreifer*innen haben sich diese Unternehmen vermutlich ausgesucht, weil sie bestimmte Dienstleistungen anbieten. So können die Spam-E-Mails wie E-Mails mit Rechnungen, Zahlungsanweisungen usw. aussehen.

Was kann ich tun, um mich zu schützen?

1. Seid aufmerksam: Bleibt wachsam und schaut euch die E-Mails genau an. Klickt nicht auf den Anhang oder Links.

2. Macht einen Bestätigungsanruf: Wenn ihr aufgefordert werdet, persönliche Informationen, wie etwa Passwort oder Kreditkartennummer, preiszugeben, ruft den Absender auf der Telefonnummer an, die auf der offiziellen Webseite aufgeführt ist. Ihr könnt auch die URL manuell im Webbrowser eingeben.

3. Hütet euch vor merkwürdigen Anhängen: Öffnet niemals Anhänge, deren Empfang ihr nicht erwartet habt, insbesondere wenn sie ungewöhnliche Dateierweiterungen haben.

4. Verbergt eure IP-Adresse: Gewöhnt euch an, eure IP-Adresse beim Surfen im Internet zu verbergen, um IP-Spoofing zu verhindern.

5. Ändert eure Passwörter regelmäßig: Wenn es einem Spoofer gelingt, an eure Zugangsdaten zu kommen, kann er keinen großen Schaden anrichten, wenn ihr bereits ein neues Passwort habt. Erstellt ein sicheres Passwort, das schwer zu erraten ist, und verwendet einen Passwort-Manager, um eure Passwörter sicher abzuspeichern.

6. Erst prüfen, dann klicken: Bewegt den Mauszeiger über Links, um die URL zu prüfen. Wenn ihr auf den Link geklickt habt, prüft noch einmal die URL, um sicherzugehen, dass ihr nicht weitergeleitet wurdet. Bevorzugt Websites mit HTTPS-Verschlüsselung.

7. Meldet Spoofing-Versuche: Wenn ihr eine gefälschte E-Mail oder andere Mitteilung erhalten habt, teilt dem vermeintlichen Absender mit, dass er oder sie Opfer eines Angriffs geworden ist. Dies kann dazu beitragen, zukünftige Spoofing-Angriffe zu verhindern. Die meisten Unternehmen haben auf ihrer Website einen Bereich, wo du Spoofing und andere Sicherheitsprobleme melden kannst.

8. Verwendet einen sicheren Browser: Steigt auf einen Browser um, bei dem Sicherheit und Datenschutz Priorität haben und der weniger anfällig für Hijacking-Versuche ist als herkömmliche Browser.

9. Verwendet eine starke Antiviren-Software: Viele der besten kostenlosen Antiviren-Programme enthalten Funktionen, die Bedrohungen in Echtzeit erkennen. Installiert einen vertrauenswürdigen Antiviren-Schutz, um euer Gerät noch besser vor Spoofing zu schützen.

Wenn ihr euch an diese Ratschläge haltet solltet ihr und eure Daten so gut wie möglich vor Spoofing geschützt sein.

Was können Unternehmen tun um sich zu schützen?

Es kann sein, dass die Cyberkriminellen Ihre E-Mail-Adresse verwenden, ohne dass Ihr E-Mail Konto gehackt worden ist. Wir empfehlen Ihnen trotzdem:

  • Einen Antiviren-Scan auf allen Computern, die Zugriff auf diese E-Mail-Konten haben, durchzuführen. 
  • Passwörter von den betroffenen E-Mail-Adressen ändern.
  • Passwörter nie im Browser zu speichern.

 

--> -->