Wie man Pseudo-Hacker austrickst

Spear-Phishing-Mails: Jetzt wird zurückgeschlagen

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Ryan Francis arbeitet als leitender Redakteur für die CW-Schwesterpublikationen Network World und CSO.
Statt die ständigen Phishing-Mails zu ignorieren, hat ein Security-Experte den Spieß umgedreht und sich auf das schmutzige Spiel eingelassen. Mit Erfolg: Am Ende konnte er den Phisher wegen Betrugs anzeigen - ohne Geld verloren zu haben.

Vor einigen Wochen wurde ein Finanzbuchhalter des IT-Security-Anbieters WatchGuard von einer Spear-Phishing-Attacke heimgesucht. Als Spear PhishingPhishing werden solche Angriffe bezeichnet, die ganz gezielt auf eine Person oder eine Personengruppe zugeschnitten sind. Die Angreifer sammeln dafür Informationen über ihre Opfer - beispielsweise in sozialen Netzen - und bauen ihre Phishing-Mails dann so auf, dass die Attackierten mit möglichst hoher Wahrscheinlichkeit darauf hereinfallen. In diesem Fall kam der Betrugsversuch in Form einer vorgeblichen E-Mail vom Chef der Finanzbuchhaltung mit der Bitte um dringende Erledigung. Alles zu Phishing auf CIO.de

Wie derartige E-Mails aussehen, haben wir Ihnen in einer kleinen Bilderstrecke zusammengestellt:

Da der Finanzbuchhalter aber nun einmal in einer IT-Sicherheitsfirma arbeitet, ist er entsprechend geschult und erkannte die E-Mail sofort als Fake - nicht nur war die Absenderadresse merkwürdig (eine siebenstellige Zahlenkombination @gmail.com), es fehlte zudem die obligatorische Signatur. Also informierte er seinen Kollegen und Bedrohungsanalysten Marc Laliberte, der sich in den folgenden Tagen einen Spaß daraus machte, vorgeblich auf den Phishing-Versuch einzugehen, um den Angreifer schließlich dingfest machen zu können.

Die Kontaktaufnahme per Mail erfolgt eher beiläufig - achten Sie daher unbedingt auf fehlende Signaturen oder merkwürdige Absenderadressen (hier unkenntlich gemacht).
Die Kontaktaufnahme per Mail erfolgt eher beiläufig - achten Sie daher unbedingt auf fehlende Signaturen oder merkwürdige Absenderadressen (hier unkenntlich gemacht).
Foto: REUTERS/Danish Ismail

Von wo kommt der Angriff?

Laliberte antwortete zunächst eher beiläufig auf die Phishing-Mail, woraufhin er als Antwort bekam, er möge seinem "Chef" - also dem Angreifer - ab sofort doch per SMS an seine private Mobilfunknummer antworten. Der WatchGuard-Experte recherchierte, auf wen die Telefonnummer registriert wurde und fand heraus, dass es sich um eine Festnetznummer aus dem Großraum Jacksonville/USA handelte. Laliberte nahm sofort an, dass sich der Phisher nicht wirklich dort aufhielt, sondern stattdessen einen Weiterleitungsservice bestellt hatte, um seine wirkliche Telefonnummer und Aufenthaltsort zu verdecken - eine übliche Methode in Betrügerkreisen.

Via SMS versucht der Betrüger sein "Opfer" dazu zu bringen, eine größere Summe zu überweisen.
Via SMS versucht der Betrüger sein "Opfer" dazu zu bringen, eine größere Summe zu überweisen.
Foto: REUTERS/Danish Ismail

Laliberte gab sich erneut als sein Kollege aus und simste den Angreifer über eine Wegwerfnummer an. Dieser reagierte tags darauf um kam gleich zum Punkt - man müsse ganz dringend noch eine Palette neuer WatchGuard-Fireboxes bezahlen, die in der kommenden Woche geliefert werden würden. Laliberte antwortete, dass eine schnelle Überweisung problemlos machbar sei und bat um weitere Informationen.

Nun geht’s ans Eingemachte

Der Angreifer schrieb daraufhin, dass 20.000 Dollar an eine von ihm benannte Person in New York überwiesen werden müssten - die nötigen Bankdaten lieferte er gleich mit. Lalibertes Recherchen ergaben keinerlei öffentlich bekannte Betrügereien im Zusammenhang mit dem genannten Namen - weil es sich um ein nationales Konto der TD Bank handelte, dessen Aktivitäten sich leicht nachvollziehen ließen, nahm Laliberte aber an, dass das Konto von den Betrügern gekapert worden war.

Das Geld soll auf ein Konto der TD Bank in New York überwiesen werden - alle benötigten Informationen liefert der Betrüger gleich mit.
Das Geld soll auf ein Konto der TD Bank in New York überwiesen werden - alle benötigten Informationen liefert der Betrüger gleich mit.
Foto: REUTERS/Danish Ismail

Noch immer war die Frage offen, von wo aus genau der Phisher agierte. Hier machte sich der WatchGuard-Experte nun zunutze, dass der Angreifer eine Bestätigungsmeldung über die erfolgte Überweisung verlangte. Laliberte versteckte die IP-Adresse eines Honeypot-Servers mithilfe eines URL-Shorteners und sendete diesen an den Angreifer mit dem Hinweis, dass dies der Link zur gewünschten Bestätigungsmeldung sei.

Der Betrüger geht dem WatchGuard-Experten auf den Leim und tappt via Short-URL in einen Honeypot.
Der Betrüger geht dem WatchGuard-Experten auf den Leim und tappt via Short-URL in einen Honeypot.
Foto: REUTERS/Danish Ismail

Als der Angreifer nun auf den Link klickte, wurde er zum Honeypot umgeleitet, wo seine IP-Adresse und User-Agent-Daten geloggt wurden. Auf diese Weise fand Laliberte heraus, dass die IP des Betrügers im Adressbereich von Airtel Networks Limited lag - einem nigerianischen Mobilfunkanbieter. Laut User-Agent-Daten war er mit einem iPhone unterwegs, auf dem das Betriebssystem iOS 9.3.1 installiert war.

Die Vermutung, dass ein Weiterleitungsdienst zum Einsatz kam, war damit bestätigt. Und auch die Wahrscheinlichkeit, dass das Bankkonto gekapert war, war gestiegen - ohne festen Wohnsitz in den USA wäre die Anmeldung des Kontos nicht möglich gewesen. Eine Option war noch, dass es einen Strohmann in den USA gibt, der sein Konto für den Betrug zur Verfügung stellt und das Geld dann direkt nach Eingang ins Ausland weitertransferiert.

Anzeige bei der Bank

Laliberte setzte sich mit der TD Bank in Verbindung und bat darum, Ermittlungen wegen eines Betrugsversuchs über eines ihrer Konten aufzunehmen.

Die Moral von der Geschichte: Heutige Web-Betrüger sind bestens über die Eigenheiten ihrer möglichen Opfer informiert, übersehen aber ab und an wichtige Details (E-Mail-Signatur). Trotzdem: Wäre der Buchhalter nicht so gut trainiert und auf der Hut gewesen, wäre sein Unternehmen nun womöglich um 20.000 Dollar ärmer.

Links zum Artikel

Thema: Phishing

Kommentare zum Artikel

comments powered by Disqus