Phishing

Wie Datenlecks gezielte Phishing-Versuche triggern

Adrien Gendre

12. März 2020

5 min

Wenn in den Nachrichten über ein großes Datenleck berichtet wird, machen sich die meisten von uns Sorgen um vertrauliche Daten. Dabei geht es jedoch nicht nur um Benutzernamen und Passwörter. Was viele Verbraucher nicht wissen, ist, dass scheinbar harmlose persönliche Informationen als Druckmittel bei Phishing-Versuchen und anderen gezielten E-Mail-Angriffen verwendet werden können.

Alle durchgesickerten Daten können und werden gegen Sie verwendet: Von den allgemeinen Interessen, die Sie bei der Einrichtung eines neuen Online-Kontos wählen, bis hin zu den Sicherheitsfragen, die Sie zum Schutz dieser Konten erstellen.

Spektakuläre Verstöße regen Phisher zur Arbeit an

Die Desjardins-Gruppe, die größte genossenschaftliche Finanzgruppe in Kanada und der größte Verband der Kreditgenossenschaften in Nordamerika, erlitt im Juni 2019 ein massives Datenleck. Ein Desjardins-Mitarbeiter ließ die Daten von rund 2,9 Millionen Desjardins-Kunden, darunter auch Unternehmen, durchsickern. Der Mitarbeiter wurde entlassen und wegen des Verstoßes verhaftet.

Zu den an die Öffentlichkeit gelangten Daten gehörten Namen, Adressen, Geburtsdaten, Sozialversicherungsnummern und Informationen über die Transaktionsgewohnheiten der Benutzer. Ende Juni tauchten diese Daten im Dark Web auf. Bis August hatte das Leck Desjardins $ 53 Millionen gekostet.

Um zu verstehen, wie Datenlecks Phishing-Aktivitäten in Gang setzen, sollten Sie einmal darüber nachdenken, wie Desjardins im vergangenen Jahr überhaupt auf die Hitliste der Phisher kam: 2018 entdeckte Vade Secure 255 eindeutige Desjardins-Phishing-URLs.  2019 dann stieg diese Zahl um 1.680,4 % mit insgesamt 4.540 eindeutigen Phishing-URLs.

Spektakuläre Verstöße regen Phisher zur Arbeit an

Nach dem Datendiebstahl bei Equifax 2017 gab die Federal Trade Commission (FTC, amerikanische Bundeshandelskommission) sofort eine Warnung vor Phishing-Versuchen aus. Kurz nach dem Vorfall richtete Equifax eine Website ein, auf der die Nutzer persönliche Daten eingeben konnten, um festzustellen, ob ihre Daten gestohlen worden waren. Um die Unsicherheit der Website zu demonstrieren, kopierte ein Entwickler den Code von der Equifax-Website und erstellte eine identische Phishing-Seite, die ein SSL-Zertifikat enthielt. Die Seite war so überzeugend, dass Equifax, das bereits wegen seiner Reaktion auf den Datendiebstahl unter Beschuss stand, die URL  der gefälschten Phishing-Seite an seine Anhänger twitterte – und zwar ganze drei Mal.

Das obige Beispiel ist so besonders, weil die Hacker bei einem so öffentlichkeitswirksamen Datenleck nicht einmal mehr im Besitz sensibler Daten sein müssen – sie können davon ausgehen, dass die Verbraucher zu ihnen kommen, statt sie umgekehrt mit einer Phishing-E-Mail anzulocken.

Im Zusammenhang mit Equifax wurden im Laufe der Jahre 2017 und 2018 immer wieder Phishing-Versuche entdeckt, und so befanden sich die betroffenen Opfer in hoher Alarmbereitschaft. Sie waren damit anfällig für Phishing-E-Mails, die Sicherheitswarnungen von Banken enthielten. 2018 entdeckte Vade Secure 38.537 eindeutige Phishing-E-Mails, die sich an Top-Banken richteten, darunter die Bank of America, Wells Fargo und Chase.

Sicherheitsfragen sind Eintrittskarten zu kennwortgeschützten Konten

Die Wiederherstellung eines Kennworts ist oft einfach mit dem Beantworten einiger Sicherheitsfragen verbunden, die Sie bei der Erstellung des Kontos ausgewählt haben, wie z. B. die Stadt, in der Sie geheiratet haben, der Name Ihres ersten Haustiers oder Marke und Modell Ihres ersten Autos. Wenn diese Informationen durchsickern, kann ein Hacker auf Ihr Konto zugreifen, ohne Ihr Passwort zu kennen.

2018 erläuterte der Sicherheitsanalytiker Brian Krebs die vielen Variationen der „geheimen Fragen“, die die Verbraucher in informellen Umfragen, insbesondere auf Seiten in den sozialen Medien wie Facebook, beantworten. Diese historischen Details, so Krebs, seien eine Einladung an Hacker, sich durch die Hintertür Zugang zu Ihren Konten zu verschaffen. Wenn Sie zum Beispiel ein Online-Bankkonto einrichten, beziehen sich die ersten Fragen meist auf Marke und Modell Ihres ersten Autos, erklärt Krebs.

Historische Details liefern auch die notwendige Munition, um gezielte Phishing- und Spear-Phishing-Angriffe durchzuführen. Das Wissen um Ihre persönlichen Interessen hilft einem Phisher zu bestimmen, auf welche Arten von Phishing-E-Mails Sie wahrscheinlich reagieren werden, und es macht es einem Spear-Phisher leichter, sich als jemanden auszugeben, den Sie kennen.

Private Datenlecks liefern Munition für Phishing-Versuche mit gefälschten Profilen in den sozialen Medien

Ihre persönlichen Daten sind mehr als nur Ihr Benutzername, Ihr Passwort und Ihre Kreditkartennummer. Es könnten auch Ihre politische Zugehörigkeit, Ihre Hobbys, Ihre allgemeinen Interessen und sogar Ihre Kaufgewohnheiten dazu gehören. Mit diesen Informationen erstellen Hacker virtuelle Profile von Datenleck-Opfern und nutzen sie dann, um neue Opfer ins Visier zu nehmen.

Im Oktober 2019 berichtete Wired, dass etwa 1,2 Milliarden solcher Datensätze auf einem ungesicherten Server entdeckt wurden. Der Datenschatz umfasste die persönlichen Daten von Hunderten von Millionen von Facebook-, Twitter-, LinkedIn- und GitHub-Benutzern. Es ist zwar ziemlich einfach, ein gefälschtes Konto in den sozialen Medien zu erstellen, aber der Besitz so vieler persönlicher Daten reduziert den Aufwand zum Erstellen eines gefälschten Profils und verleiht ihm eine Authentizität, die mit einem rein fiktiven Profil nur schwer zu erreichen wäre.

2017 identifizierten die israelischen Verteidigungskräfte (Isreal Defense Forces - IDF) ein Hamas-Netzwerk, das auf israelische Soldaten abzielte. Die Hamas erstellte gefälschte Profile von Frauen in sozialen Medien und verwendeten dabei Datenlecks, unter anderem auch persönliche Fotos. Drei solcher Honeypot-Scams wurden von den IDF zwischen 2017 und 2020 aufgedeckt. Bei dem jüngsten Betrug korrespondierte die Hamas zunächst telefonisch mit den Soldaten, um sie anzulocken, und lud sie dann über eine Phishing-URL in private soziale Netzwerke ein. Nach dem Herunterladen der Apps wurde ein Virus freigesetzt, der die Kontrolle über die Telefone der Soldaten übernahm und der Hamas Zugang zu den Kameras und Mikrofonen der Telefone, den Standorten der Soldaten und mehr verlieh.

Datenlecks sind ein zweischneidiges Schwert bei Erpressungsbetrügereien

Bei Erpressungsversuchen sind die Hacker kreativ geworden, insbesondere, wenn es darum geht, Datenlecks zu nutzen, um ihre Opfer dazu zu bewegen, ihre Forderungen zu erfüllen. 2019 kam es zu einem Wiederaufleben von Ransomware-Angriffen im Zusammenhang mit Phishing, die Unternehmen auf der ganzen Welt lahm legten. In den meisten Ransomware-Fällen drohen Hacker damit, die Daten eines Unternehmens zu zerstören, wenn ihre Forderungen nicht erfüllt werden. In letzter Zeit haben sie jedoch einen anderen Gang eingelegt und drohen, die Daten durchsickern zu lassen.

Diese Taktik wird auch bei der DSGVO-Erpressung angewandt. Im Falle eines Datenverstoßes müssen Unternehmen, die unter der DSGVO arbeiten, mit einer Geldstrafe von 20 Millionen Dollar oder 4 Prozent der Unternehmenseinnahmen rechnen. Wie im obigen Beispiel dargestellt, verschlüsseln die Hacker nicht die geschäftlichen Daten, sondern verlangen eine Bitcoin-Zahlung, damit die Daten nicht ins Internet gelangen. DSGVO-Erpressungen, die auch als „Ransomhack“ bekannt sind, liegen üblicherweise zwischen $ 1.000 und $ 10.000 – praktisch nichts im Vergleich zu einem DSGVO-Bußgeld.

Auch Sextorsion-E-Mails werden überzeugender und beängstigender, wenn der Hacker äußert persönliche Daten gegen sein Opfer verwendet. Im Januar 2020 entdeckte Vade Secure einen Erpressungsbetrug, der auf die Opfer des Datenlecks von Ashley Madison 2015 abzielte. Die erpresserische E-Mail war mit den personenbezogenen Daten des Opfers äußerst persönlich gehalten, sie enthielt Bankkontoinformationen, Telefonnummer, Geburtsdatum, Sicherheitsfragen, private Nachrichten und sogar persönliche „Vorlieben“, die das Opfer bei der Erstellung seines Ashley Madison-Kontos ausgewählt hatte.

Das 2015er Datenleck bei Ashley Madison machte die persönlichen Daten von mehr als 32 Millionen Nutzern öffentlich. Zielscheibe im obigen Beispiel war der Durchschnittsbenutzer, aber es ist nicht weit hergeholt zu sagen, dass einige Benutzer ein wenig mehr als durchschnittlich waren. 2015 meldete Wired, dass rund 15.000 Ashley Madison-Konten E-Mailadressen mit den Endungen .gov oder .mil verwendeten. Es ist unklar, ob die E-Mail-Adressen der Regierung echt waren, aber man braucht nur wenig Vorstellungskraft, um sich bewusst zu werden, wie weit Menschen mit Macht gehen würden, um einen Erpressungsversuch zu vereiteln.

Schützen Sie sich vor Datenlecks

2019 kamen mehr als 7,9 Milliarden Datensätze an die Öffentlichkeit. Wenn Sie nicht extrem viel Glück haben oder extrem „offline“ sind, dann gehören auch Ihre Daten dazu. Glücklicherweise gibt es Möglichkeiten, sich sowohl vor als auch nach einem Datenleck vor Phishing-Versuchen zu schützen:

  • Verwenden Sie die Zwei-Faktor-Authentifizierung mit einer OTP-App (One-Time-Password). Google Authenticator und Microsoft Authenticator sind zwei ausgezeichnete Optionen.
  • Aktualisieren Sie Ihre Sicherheitsparameter mindestens zweimal im Jahr in Ihren E-Mail- und Online-Konten.
  • Überwachen Sie Ihre persönlichen Daten regelmäßig. Websites von Drittanbietern wie haveibeenpwned.com und breachalarm.com suchen auf Grundlage Ihrer E-Mail-Adresse nach kompromittierten Informationen. Sie können sich auch für Alerts anmelden.