Lassen Sie sich von diesen fortschrittlichen Phishing-Techniken nicht täuschen
Viele Betrugs-E-Mails sind für erfahrene Webbenutzer schmerzlich offensichtlich. Rechtschreibfehler, absurde Szenarien und zweifelhafte Eigensinne sind normalerweise deutliche Anzeichen von Unfug.
In Wirklichkeit sind jedoch nicht alle Phishing-Versuche so offensichtlich – und die Annahme, dass dies der Fall ist, kann zu einem falschen Sicherheitsgefühl führen. Einige sind so sorgfältig ausgearbeitet, dass sie selbst die versiertesten Benutzer zum Narren halten können.
Phishing-E-Mails überzeugen besonders, wenn sie einige der in diesem Artikel beschriebenen fortgeschrittenen Techniken missbrauchen.
Ausnutzen allgemeiner Sicherheitslücken im Web, um schädliche Links zu erstellen
Wenn wir an Schwachstellen auf Websites denken, fallen uns Bilder von großen Hacks und katastrophalen Datenverletzungen ein . Die häufigsten Sicherheitslücken sind jedoch viel mehr Fußgänger.
Sie führen normalerweise nicht zu einer vollständigen Übernahme einer Website, sondern geben Angreifern einen kleinen Gewinn, z. B. den Zugriff auf privilegierte Informationen oder die Möglichkeit, ein bisschen bösartigen Code in eine Seite einzufügen.
Bestimmte Arten von Sicherheitslücken ermöglichen die Nutzung der Domain einer Site, um eine URL zu erstellen, die scheinbar von der Seite der Site stammt, aber tatsächlich vom Hacker kontrolliert wird.
Diese „legitimen“ URLs sind für E-Mail-Betrüger äußerst nützlich, da sie Filter eher umgehen oder der Aufmerksamkeit der Opfer entgehen.
Öffnen Sie Weiterleitungen
Websites müssen Benutzer häufig auf eine andere Website (oder eine andere Seite auf derselben Website) umleiten, ohne einen regulären Link zu verwenden. Eine Weiterleitungs-URL kann folgende Form annehmen:
http://vulnerable.com/go.php?url=<some url>Dies kann Unternehmen dabei helfen, wichtige Daten im Auge zu behalten, wird jedoch zu einem Sicherheitsproblem, wenn jeder eine Weiterleitung nutzen kann, um einen Link zu einer beliebigen Seite im Web zu erstellen.
Ein Betrüger könnte beispielsweise Ihr Vertrauen in verwundbare.com ausnutzen, um einen Link zu erstellen, der Sie tatsächlich zu evil.com sendet:
http://vulnerable.com/go.php?url=http://evil.comWeiterleiten in der Google-Suche
Die Google-Suche hat eine Variante dieses Problems. Jeder Link, den Sie auf einer Suchergebnisseite sehen, ist eine Weiterleitung von Google, die ungefähr so aussieht:
https://www.google.com/url?<some parameters>&ved=<some token>&url=<site's url>&usg=<some token>Dies hilft ihnen dabei, Klicks für Analysezwecke im Auge zu behalten, bedeutet aber auch, dass jede von Google indizierte Seite tatsächlich einen Weiterleitungslink aus der eigenen Domain von Google generiert, der für Phishing verwendet werden kann.
Tatsächlich wurde dies bereits mehrmals in freier Wildbahn ausgenutzt , aber Google hält es anscheinend nicht für ausreichend anfällig, um die Weiterleitungsfunktionalität zu entfernen.
Cross-Site-Scripting
Cross-Site-Scripting (üblicherweise als XSS abgekürzt) tritt auf, wenn eine Site Eingaben von Benutzern nicht ordnungsgemäß bereinigt, sodass Hacker schädlichen JavaScript-Code einfügen können.
Mit JavaScript können Sie den Inhalt einer Seite ändern oder sogar komplett neu schreiben.
XSS hat einige gängige Formen:
- Reflektiertes XSS : Der Schadcode ist Teil der Anforderung an die Seite. Dies kann in Form einer URL wie http://vulnerable.com/message.php?<script src = evil.js> </ script> erfolgen
- Gespeichertes XSS : Der JavaScript-Code wird direkt auf dem Server der Site gespeichert. In diesem Fall kann der Phishing-Link eine völlig legitime URL sein, deren Adresse selbst nichts Verdächtiges enthält.
Lass dich nicht täuschen
Um nicht von einem dieser zwielichtigen Links ausgetrickst zu werden, lesen Sie die Ziel-URL aller Links, auf die Sie in Ihren E-Mails stoßen, sorgfältig durch. Achten Sie dabei besonders auf alles, was wie eine Weiterleitung oder ein JavaScript-Code aussieht.
Um fair zu sein, ist das nicht immer einfach. Die meisten von uns sind es gewohnt, URLs von den Websites, die wir besuchen, mit einer Reihe von "Junk" zu sehen, die nach der Domain angeheftet werden, und viele Websites verwenden die Umleitung in ihren legitimen Adressen.
URL-Codierung in schädlichen Links
Die URL-Codierung ist eine Möglichkeit, Zeichen mithilfe des Prozentzeichens und eines Paares hexadezimaler Zeichen darzustellen, die für Zeichen in URLs verwendet werden, die Ihren Browser verwirren könnten. Beispielsweise wird / (Schrägstrich) als % 2F codiert.
Betrachten Sie die folgende Adresse:
http://vulnerable.com/%67%6F%2E%70%68%70%3F%75%72%6C%3D%68%74%74%70%3A%2F%2F%65%76%69%6C%2E%63%6F%6DNachdem die URL-Codierung dekodiert wurde, wird sie wie folgt aufgelöst:
http://vulnerable.com/go.php?url=http://evil.comJa, es ist eine offene Weiterleitung!
Es gibt verschiedene Möglichkeiten, wie ein Angreifer dies nutzen kann:
- Einige schlecht gestaltete E-Mail-Sicherheitsfilter dekodieren URLs möglicherweise nicht ordnungsgemäß, bevor sie gescannt werden, sodass offensichtlich böswillige Links durchgelassen werden.
- Sie als Benutzer können durch die seltsam aussehende Form der URL in die Irre geführt werden.
Die Auswirkungen hängen davon ab, wie Ihr Browser mit Links mit URL-codierten Zeichen umgeht. Derzeit dekodiert Firefox alle in der Statusleiste vollständig, wodurch das Problem behoben wird.
Chrome hingegen dekodiert sie nur teilweise und zeigt in der Statusleiste Folgendes an:
vulnerable.com/go.php%3Furl%3Dhttp%3A%2F%2Fevil.comDiese Technik kann besonders effektiv sein, wenn sie mit einer der oben genannten Methoden kombiniert wird, um einen böswilligen Link aus einer vertrauenswürdigen Domäne zu generieren.
So vermeiden Sie, dass Sie betrogen werden : Überprüfen Sie erneut die URLs aller Links, auf die Sie in E-Mails stoßen, und achten Sie dabei besonders auf potenzielle URL-codierte Zeichen. Achten Sie auf Links mit vielen Prozentzeichen. Im Zweifelsfall können Sie einen URL-Decoder verwenden , um die wahre Form der URL anzuzeigen.
Fortgeschrittene Techniken zum Umgehen von Filtern
Einige Techniken zielen speziell darauf ab, E-Mail-Filter und Anti-Malware-Software zu täuschen und nicht die Opfer selbst.
Ändern von Markenlogos, um Filter zu umgehen
Betrüger geben sich häufig als vertrauenswürdige Unternehmen aus, indem sie ihre Logos in Phishing-E-Mails einfügen. Um dem entgegenzuwirken, scannen einige Sicherheitsfilter die Bilder eingehender E-Mails und vergleichen sie mit einer Datenbank bekannter Firmenlogos.
Das funktioniert gut genug, wenn das Bild unverändert gesendet wird, aber oft reicht es aus, ein paar subtile Änderungen am Logo vorzunehmen, um den Filter zu umgehen.
Verschleierter Code in Anhängen
Ein gutes E-Mail-Sicherheitssystem scannt jeden Anhang auf Viren oder bekannte Malware, aber es ist oft nicht sehr schwierig, diese Überprüfungen zu umgehen. Die Verschleierung von Code ist eine Möglichkeit, dies zu tun: Der Angreifer ändert den Schadcode in ein aufwändiges, verworrenes Durcheinander. Die Ausgabe ist dieselbe, aber der Code ist schwer zu entschlüsseln.
Hier sind einige Tipps, um zu vermeiden, dass Sie von diesen Techniken überrascht werden:
- Vertrauen Sie nicht automatisch Bildern, die Sie in E-Mails sehen.
- Ziehen Sie in Betracht, Bilder in Ihrem E-Mail-Client vollständig zu blockieren.
- Laden Sie keine Anhänge herunter, es sei denn, Sie vertrauen dem Absender absolut.
- Beachten Sie, dass selbst das Bestehen eines Virenscans nicht garantiert, dass eine Datei sauber ist.
Phishing geht nirgendwo hin
Die Wahrheit ist, dass es nicht immer einfach ist, Phishing-Versuche zu erkennen. Spamfilter und Überwachungssoftware werden weiter verbessert, aber viele böswillige E-Mails rutschen immer noch durch die Ritzen. Selbst erfahrene Power-User könnten sich täuschen lassen, insbesondere wenn ein Angriff besonders ausgefeilte Techniken erfordert.
Aber ein bisschen Bewusstsein reicht weit. Indem Sie sich mit den Techniken der Betrüger vertraut machen und gute Sicherheitspraktiken befolgen, können Sie die Wahrscheinlichkeit verringern, Opfer zu werden.