Phishing

20 Jahre nach dem Love Bug-Virus: Zu viele Phish im Meer

Vade Secure

12. Februar 2021

4 min

Valentine's Day

Bist du mein heimlicher Verehrer? Das war die Frage, die sich Millionen von Menschen vor 20 Jahren stellten, als der Love Bug-Virus die Welt im Sturm eroberte. Dieser Social-Engineering-Angriff, auch bekannt als "ILOVEYOU-Virus" oder "Love Letter for you", infizierte innerhalb von zehn Tagen etwa 50 Millionen Computer auf der ganzen Welt und kostete Milliarden, um ihn zu beseitigen.

Bei der Entstehung des Love Bug-Virus erhielten Windows-Anwender eine E-Mail mit einem Anhang, der vorgab, ein Liebesbrief zu sein. Der Virus nutzte Visual-Basic-Skripte in Outlook als Einfallstor, und sobald er im E-Mail-Konto einer Person war, schickte er die Phishing-E-Mail an alle Mitglieder der Kontaktliste. Die Nachricht lautete: "Bitte überprüfen Sie den angehängten LOVELETTER von mir".

In einer herzzerreißenden Wendung der Ereignisse sollten die Opfer des Angriffs bald den wahren Zweck der E-Mail entdecken - und es war nicht wahre Liebe. Zu allem Überfluss kostete die Behebung des gesamten Schadens, der durch den Angriff verursacht wurde, einschließlich der Beseitigung der Infektion und der Wiederherstellung aller gelöschten Dateien, 10 Milliarden Dollar.

Der Betrug erwies sich als so gravierend, dass sogar das Pentagon und die CIA ihre E-Mail-Systeme für eine kurze Zeit abschalteten. Mit den Berichten über den Angriff, die am 5. Mai 2000 auf den Titelseiten der meisten großen Nachrichtenagenturen erschienen, rückte der Love Bug-Virus E-Mail-Sicherheitsbedrohungen auf eine Weise ins Rampenlicht, wie es zuvor noch nie der Fall gewesen war, und machte Unternehmen und Einzelpersonen die harte Realität von Cyber-Bedrohungen bewusst.

Wenn man es genau nimmt, war Love Bug ziemlich raffiniert. Als Computerwurm verbreitete er sich schnell und replizierte sich selbst, um sich zu verbreiten. Und nicht nur das, er tat auch etwas, was ihn noch erfolgreicher machte: Er nutzte die Emotionen der Menschen aus und verleitete diejenigen, die auf der Suche nach Liebe waren, schließlich dazu, auf den bösartigen Anhang zu klicken.

Der Love Bug ist eines der frühesten Beispiele für eine Social-Engineering-Bedrohung, mit dem Melissa-Virus als Vorläufer und dem Conficker-Wurm, der kurz darauf folgte. Leider haben wir es auch 20 Jahre später noch mit dieser Art von Angriffen zu tun! Social-Engineering-Angriffe werden häufig von Cyberdieben genutzt, um Schaden anzurichten, und haben sich zu ausgefeilter Malware, zu Phishing-Betrug, Ransomware und mehr entwickelt. Anlässlich des Valentinstags wollen wir uns mit der Entwicklung von Phishing-Angriffen befassen, einige der wichtigsten Trends der letzten zwei Jahrzehnte aufzeigen und erklären, wie Benutzer vermeiden können, auf den Köder hereinzufallen.

Phish #1: Kriminelle Täuschung

Der Begriff "Phishing" wurde zum ersten Mal 1996 in einer Usenet-Newsgroup erwähnt. Obwohl viele zunächst nicht wussten, was damit gemeint war, wurde damit der Grundstein für das gelegt, was noch kommen sollte. Schon bald begannen Phishing-Angriffe auf AOL, mit denen versucht wurde, Benutzern mit Nachrichten von angeblichen AOL-Mitarbeitern ihre Anmeldedaten zu stehlen. Diese Technik wurde immer ausgefeilter, als die Phisher begannen, glaubhaftere Betreffzeilen zu verfassen und sich als Angehörige auszugeben. Später entwickelte sich daraus das "Conversation Hijacking", bei dem den Benutzern vorgegaukelt wird, sie würden mit einer Person ihres Vertrauens kommunizieren. Die häufigste Form der kriminellen Täuschung ist heute die Spear-Phishing-Attacke, bei der ein Hacker Nachforschungen anstellt und vorgibt, die Person zu kennen, die er ins Visier nimmt.

Phish #2: Business Email Compromise (BEC)

BEC ist eine spezifischere Form der kriminellen Täuschung, die sich stark auf Social-Engineering-Taktiken stützt und ein Gefühl der Dringlichkeit erzeugt, auf eine E-Mail zu klicken. Diese Art von Phishing-Betrug ist auch als "Man-in-the-E-Mail"-Angriff bekannt und nimmt die Gestalt einer Führungskraft an, um einen Mitarbeiter oder einen unglücklichen Empfänger zu manipulieren, damit dieser mit sensiblen Informationen antwortet. Diese Angriffe kommen tatsächlich so häufig vor, dass das FBI schätzt, dass BEC von 2016 bis 2019 mehr als 26 Milliarden US-Dollar an Verlusten verursacht hat.

Phish #3: Ransomware

Ransomware ist auch heute noch ein heiß diskutiertes Thema, obwohl es im September 2013 mit der Geburt der Ransomware CryptoLocker im Phishing-Bereich wirklich an Bedeutung gewann. Die Malware wurde auf mehr als 250.000 Computern verbreitet, sperrte Dateien und forderte eine Lösegeldzahlung im Austausch für einen Entschlüsselungscode. Früher waren E-Mails die Hauptmethode zur Verbreitung von Ransomware, aber hier gilt das Sprichwort "alles Alte ist wieder neu", denn sie erleben ein Comeback und Hacker greifen immer häufiger auf ältere, grundlegende Taktiken zurück.

Phish #4: Phishing as a Service (PHaaS)

Als ob es nicht schon genug "Phish" im Meer gäbe, ist in den letzten zwei Jahren eine neuere Phishing-Taktik in den dunkelsten Teilen des Webs ans Licht gekommen. Im Jahr 2018 entdeckten Forscher, dass Hacker im Dark Web tatsächliche Phishing-Vorlagen verkaufen, um es weniger fortgeschrittenen Kontrahenten zu erleichtern, diese Angriffe auszuführen. Diese Vorlagen sind nicht nur so gestaltet, dass sie authentisch nach der Marke aussehen, die sie imitieren sollen, sondern auch die Marketingtaktiken, die verwendet werden, um die Produkte selbst zu verkaufen, sind ausgeklügelt; einige bieten sogar Gutscheincodes für einen besseren Deal beim Kauf an.

Phish #5: Thematische Angriffe

Auch wenn in den nächsten Wochen sicherlich einige Phishing-Attacken mit dem Thema Valentinstag in den Posteingängen ahnungsloser Benutzer auftauchen werden, so sind das prominenteste Beispiel für thematische Phishing-Attacken in letzter Zeit E-Mails mit dem Thema COVID-19, die Updates zur Pandemie und Informationen zur Impfstoffverteilung versprechen. Ganz gleich, ob es sich um gefälschte Mitteilungen einer großen Gesundheitsorganisation handelt oder ob sie vorgeben, von einem Arbeitgeber zu sein, der über aktualisierte Abläufe informiert, es werden dadurch stets Angst, Unsicherheit und Zweifel geschürt.

Vor allem aber sind diese Phishing-Techniken nur die Spitze des Eisbergs, denn die Technologie entwickelt sich weiter und die Angriffe werden immer ausgeklügelter, aber sie dienen weiterhin als Grundlage für neue Techniken. Um sich gegen ausgefeilte Phishing-Betrügereien zu schützen, finden Sie hier fünf Tipps, die Unternehmen beachten sollten:

  1. Investieren Sie in Schulungen zu Sicherheitsbewusstsein, um zu lernen, wie man eine Phishing-E-Mail erkennt.
  2. Stellen Sie sicher, dass alle Systeme mit den neuesten Sicherheits-Patches ausgestattet sind.
  3. Bewegen Sie den Mauszeiger über verdächtige Links, um deren Authentizität zu überprüfen.
  4. Installieren Sie eine Antivirenlösung und/oder eine Anti-Phishing-Toolbar und überwachen Sie diese regelmäßig.
  5. Geben Sie niemals persönliche Informationen im Internet an, es sei denn, es ist absolut notwendig.


Um mehr über die Phishing-Trends des vergangenen Jahres zu erfahren, um unseren Bericht Phishers' Favorites 2020 Year in Review herunterzuladen.

phishers-favorites-email-banner-de-1