Woche 4: Die Tricks der Phisher, um «saubere» Daten zu erhalten

30.01.2024 - Phishing wird inzwischen von vielen Internetnutzenden als betrügerisch erkannt. Dabei ist es wichtig, den Link nicht anzuklicken, sondern die E-Mail oder die Textnachricht zu ignorieren, respektive zu löschen. Trotzdem reizt es viele, auf den Link zu klicken und dann erfundene Namen oder zufällige Buchstabenkombinationen einzugeben, um die Betrüger an der Nase herumzuführen. Solche zufällige und für den Betrüger wertlose Daten reihen sich anschliessend zwischen die Daten, die von tatsächlichen Opfern eingegeben wurden. Solche Listen können von den Betrügern nicht einfach so weiterverkauft oder weiterverwendet werden, sondern müssen zuerst bereinigt werden, was zeitaufwändig ist. Daher finden die Betrüger finden immer neue Tricks, um die Passwortlisten so sauber wie möglich zu halten.

Der Trick mit der zweifachen Eingabe

Gibt man auf einer Phishing-Seite Login und Passwort ein, wird man in der Regel nach erfolgter Eingabe auf die richtige Seite weitergeleitet. Das Opfer hat dann das Gefühl, dass etwas schiefgelaufen sei und loggt sich auf der richtigen Seite erneut ein. So schöpft es keinen Verdacht und kommt nicht auf die Idee, das Passwort umgehend zu ändern. Zunehmend wird man jedoch auf der Phishing-Seite selbst zur zweiten Eingabe des Passworts aufgefordert. Erst beim zweiten oder manchmal auch dritten Versuch wird man weitergeleitet. Was steckt dahinter? Das BACS geht davon aus, dass es sich um einen Trick seitens der Betrüger handelt, um Spasseinträge von wirklichen Einträgen zu unterscheiden. Personen, die den Phishing-Versuch als solchen erkennen und die Betrüger mit falschen Benutzernamen und Passwörtern an der Nase herumführen wollen, geben das Passwort manchmal nur einmal ein. Geben sie es dennoch ein zweites Mal ein, ist es unwahrscheinlich, dass es sich um dieselbe Zeichenkette handelt, da in solchen Fällen auf die Schnelle irgendwelche zufällige Buchstabenkombinationen eingegeben werden.

Gibt hingegen ein Opfer zweimal den gleichen Benutzernamen und das gleiche Passwort ein, dann geht der Angreifer davon aus, dass das Opfer den Betrug nicht erkannt hat und dass die Benutzername/Passwort-Kombination korrekt ist. Betrüger unterscheiden so automatisiert Spasseinträge von potentiell richtigen Einträgen.

Der Trick mit der Verifikation des Benutzers

Bei einer neuen Phishing-Variante, die auf Nutzende von «Booking.com» abzielt, gehen die Betrüger noch einen Schritt weiter. Gibt man auf der Phishing-Website einen Benutzernamen an, der nicht bei «Booking.com» registriert ist, sind keine weiteren Eingaben möglich und es kann auch kein Passwort eingegeben werden. Erst wenn der Benutzername tatsächlich bei «Booking.com» bekannt ist, gelangt man auf die Eingabeseite für das Passwort. Das Perfide dieser Kontaktaufnahme ist, dass die Nachricht nicht per E-Mail, sondern über das interne Benachrichtigungssystem, dem Chat von Etsy, verschickt wird. Auf diese Weise wird versucht, das Vertrauen der neuen Verkäufer zu gewinnen. Die Betrüger wählen die Vor- und Nachnamen so aus, dass es den Anschein hat, die Nachricht stamme von einem internen Support oder einer Verifikationsstelle. So wurde im aktuellen Fall der Nachname «Verificativ» verwendet, aber auch der Nachname «Support» wurde bereits beobachtet. Dieser Name wird dann im Benachrichtigungssystem angezeigt und macht damit den Anschein, dass es sich um eine offizielle Anfrage des Supportteams handelt oder dass es sich um ein offizielles Verifizierungsverfahren des Zahlungsprozesses handelt.

Bei einer falschen Eingabe überprüft die Phishing-Seite im Hintergrund, ob der Benutzer auf «Booking.com» vorhanden ist.
Bei einer falschen Eingabe überprüft die Phishing-Seite im Hintergrund, ob der Benutzer auf «Booking.com» vorhanden ist.

Bei einer genaueren Analyse der Webseite fällt auf, dass die Webseite in regelmässigen Abständen eine «Check»-Datei aufruft. Mit dieser Check-Datei wird im Hintergrund auf der richtigen «Booking.com»-Seite geprüft, ob der Benutzername vorhanden ist. Dazu versucht das Skript, sich mit dem auf der Phishing-Seite angegebenen Benutzernamen auf der richtigen Seite einzuloggen.

Nur wenn der Benutzername auch tatsächlich registriert ist, wird die Phishing-Seite mit der Passwortangabe eingeblendet.
Nur wenn der Benutzername auch tatsächlich registriert ist, wird die Phishing-Seite mit der Passwortangabe eingeblendet.

Diese Methode funktioniert jedoch nur, wenn die Eingabe des Benutzernamens und des Passworts wie bei «Booking.com» gestaffelt erfolgt und die Webseite schon nach dem ersten Schritt signalisiert, dass ein Benutzername gar nicht existiert. Aus diesem Grund sind viele Internetdienste dazu übergegangen, keine gestaffelte Benutzerverifizierung mehr durchzuführen. Benutzername und Passwort müssen gleichzeitig angegeben werden. Bei einer fehlerhaften Angabe wird dann nicht erwähnt, ob nun das Passwort, der Benutzername oder sogar beide falsch sind. Es wird nur mitgeteilt, dass das Login fehlgeschlagen sei. So haben Phisher keine Chance herauszufinden, ob der Benutzername existiert, ohne es selbst zu probieren.

Empfehlungen

  • Installieren Sie, wenn immer möglich, eine Zwei-Faktor-Authentifizierung. Dies bietet eine zusätzliche Schutzebene, um zu verhindern, dass Ihr Konto gehackt wird;
  • Keine Bank und kein Kreditkarteninstitut wird Sie jemals per E-Mail auffordern, Passwörter zu ändern oder Kreditkartendaten zu verifizieren;
  • Geben Sie nie persönliche Daten wie Passwörter oder Kreditkartendaten auf einer Webseite ein, die sie über einen Link in einer E-Mail oder SMS angeklickt haben;
  • Bedenken Sie, dass E-Mail-Absender leicht gefälscht werden können.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 30.01.2024

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2024/wochenrueckblick_4.html