Phishing-Angriffe – Teil 5 Social Media wird für Phishing-Angriffe missbraucht

Von Jelle Wieringa

Anbieter zum Thema

Soziale Medien sind heute für Viele ein tägliches Kommunikationsmedium – weltweit nutzen 3,81 Milliarden User Social Networks und die Zahl steigt. Eine Plattform, ein Markt mit vielen Interessenten ist stets auch einer mit vielen Kriminellen, welche versuchen, einen jeden Trend auszunutzen. Der Social-Media-Nutzer steht somit im Visier der Cyberkriminellen.

Heute stehen bereits mehr als fünf Prozent aller weltweiten Phishing-Angriffe im Zusammenhang mit sozialen Medien.
Heute stehen bereits mehr als fünf Prozent aller weltweiten Phishing-Angriffe im Zusammenhang mit sozialen Medien.
(© MicroOne - stock.adobe.com)

Obwohl Marketing-Teams dafür bekannt sind, die sozialen Medien zu überwachen, um ihre Marke zu schützen und dafür zu sorgen, dass nur sie selbst in ihrem Namen kommunizieren, sind sie nicht dafür gerüstet, mit den Fortschritten in den sozialen Medien umzugehen, welche sich immer weiter ausbreiten. Ähnlich wie die Probleme, mit denen sich die E-Mail-Sicherheit angesichts fehlender Security gegen Social-Engineering-Angriffe konfrontiert sieht, sind auch die Tools, die üblicherweise zur Überwachung der sozialen Medien eingesetzt werden, unzureichend. Der Grund ist einfach: Die E-Mail, aber auch die sozialen Netzwerke sind nicht geschaffen, um sicher zu sein. Eine Neuaufsetzung würde Jahre, eventuell Jahrzehnte in Anspruch nehmen.

Besonders der Mensch wird dabei immer wieder als Einfallstor genutzt, um die IT-Sicherheitssysteme zu umgehen. Phishing ist auch in Form von Social Engineering in Social Media weit verbreitet. Hier existieren zahlreiche Formen, wie die nachfolgende Auflistung im Ansatz aufzeigt:

  • 1. Nachahmung
  • 2. Diebstahl von Ausweispapieren
  • 3. Sich ausbreitende Angriffe
  • 4. Daten-Dumps
  • 5. Romantische Betrügereien
  • 6. 419 Betrügereien (nigerianischer Prinz)
  • 7. Sammeln von Informationen (für Kontoübernahme und Spearphishing)

Im Jahr 2018 stellte der Anbieter Phishlabs fest, dass der Missbrauch von Social Media um fast 200 Prozent zugenommen hatte. Diese Zahl nahm seither mit dem Wachstum der User exponentiell zu. Insgesamt stehen mehr als fünf Prozent der Phishing-Angriffe im Zusammenhang mit sozialen Medien. Leider bieten diese Plattformen nach wie vor nur minimale Kontrollen, um die weitere Verbreitung von Kontoübernahmen zu verhindern. Da Konten in der Regel vor der Kontaktaufnahme mit anderen Menschen genehmigt werden müssen, bieten sie ein stärkeres Gefühl des Vertrauens.

Bedeutender als man denkt

Jeden Tag besteht eine hohe Chance, dass man auf ein YouTube-Video oder einen eingebetteten Tweet in einem Nachrichtenartikel stößt oder sogar auf Instagram durch süße Welpen blättert. Die Bedrohungen für soziale Medien insgesamt sind jedoch wesentlich bedeutender als lediglich die größten Social-Media-Websites erahnen lassen. Blogs, Foren, Nachrichtenseiten, Doku-Sites und sogar Gripe-Sites (Seiten, auf denen sich der User über Gott und die Welt beschweren kann) sind alle Teil des Social-Media-Ökosystems.

Nehmen Sie zum Beispiel Ihre Organisation. Als Marke besteht eine gute Chance, dass es in den größten Netzwerken festgelegte Profile gibt. Wie sieht es jedoch mit Ihren Benutzern und Mitarbeitern aus? Je verbreiteter und engagierter ein digitales Medium ist, desto größer ist die Wahrscheinlichkeit, dass ein Bedrohungsakteur versucht, es zu missbrauchen.

Wie es funktioniert

Der Missbrauch von Kurz-URLs ist nichts Neues, wenn es um Phishing-Angriffe geht, aber auf Twitter ist er immer häufiger anzutreffen. Bedrohungsakteure verwenden den URL-Shortener von Twitter, um bösartige Links zu verstecken, während andere Bedrohungsakteure sogar ihre C2-Infrastruktur auf die Plattform anwenden. Das Problem ist, dass der User tagtäglich mit sicheren gekürzten Links auf Twitter und den anderen Netzwerken konfrontiert ist, sodass es für ihn normal ist, das wahre Ziel der URL nicht in Frage zu stellen.

Da Phishing der böswillige Einsatz von Social Engineering ist, spielt die Identitätsfälschung eine große Rolle für den Erfolg eines Angriffs. Indem man sich als jemand mit irgendeiner Art von Autorität ausgibt, ist es leicht, diese Person und die mit ihr verbundene Marke zu beschädigen sowie Benutzer zu einer bestimmten Aktion zu verleiten. Dazu gehören nicht die Parodie-Accounts, die gemeinhin als solche bezeichnet werden, sondern vielmehr Vorfälle, die sich negativ auf die Benutzer auswirken. Eines der häufigsten Beispiele ist, dass wenn ein Prominenter einen Twitter postet, ein Bedrohungsakteur darauf antwortet, welcher sich als dieser Benutzer ausgibt und sagt, dass er kostenlose Bitcoins verschenkt.

Sie senden nicht nur Phishing-Angriffe direkt auf soziale Plattformen, sondern tricksen die Nutzer auch aktiv aus. Sie sollen sich auf gefälschten Landing Pages einloggen, welche wiederum ihre Zugangsdaten herausgeben. Wenn dies geschieht, kann sich ein Bedrohungsakteur Zugang zum Konto des Benutzers verschaffen und darüber hinaus Angriffe propagieren, um neue Benutzer zur Herausgabe ihrer Zugangsdaten zu verleiten. Das Problem ist dann, dass die verbundenen Freunde einen gesendeten Link mit den Worten „Hey, das musst du unbedingt ansehen!“, eher anklicken. Sie vertrauen einander.

Es ist auch nicht ungewöhnlich, dass Dumps mit beschädigten Datenbanken im Internet die Runde machen. Dies kann auf Dumpingseiten, in Foren und sogar im Dark Web oder auf anderen Marktplätzen geschehen. „Schnell, wie hieß Ihr erstes Haustier? Es war flauschig, nicht wahr?“ Nun, dieser Beitrag, den Sie vor 10 Jahren in sozialen Netzwerken veröffentlicht haben, enthält zufällig die Informationen, die auch zum Zurücksetzen von Passwörtern verwendet werden. Beim Account-Hijacking kommt genau dies zum Tragen. Wie sieht es mit persönlichen Informationen über Ihr Leben jenseits der allseits bekannten Informationen aus? Ein Krimineller kann auch das herausfinden und dann diese Informationen nutzen, um eine ausgeklügelte Spearphishing-Kampagne aufzubauen, die speziell für Sie entworfen wurde.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Der falsche Kundensupport

Eine weitere Technik umfasst den getäuschten Kundensupport. Oftmals stellen User Fragen in Foren und hoffen auf ehrliche Antwort. Ähnlich der Spearphishing-Kampagne, beobachtet der bösartige Akteur den User und sein Verhalten. Gibt ihm dann vermeintlichen Rat im Namen des Unternehmens. Er wird dann als „Angel-Phisher“ bezeichnet. Das Ziel hierbei ist ebenfalls, den Nutzer auf eine andere Website zu locken.

Die Hälfte aller Social-Media-Phishing-Attacken kommt via LinkedIn. Kein Wunder bei 675 Millionen Nutzern weltweit, 14 Millionen in DACH. Die Relevanz zeigen jedoch nicht lediglich die Benutzerzahlen. In den letzten Jahren hat sich die Plattform zu einer interaktiven und persönlichen Anlaufstelle für Jedermann entwickelt, ähnlich Facebook. Gerade dieses Portal ist daher der Aufhänger von über 50 Prozent aller Social-Media-Phishing-Angriffe.

Wie kann sich ein Unternehmen schützen?

Schutzmaßnahmen technischer Natur sind hier schwierig. Das Warum liegt auf der Hand: Es ist ein externer Dienstleister. Das Beispiel der möglichen Youtube-Filter zeigt, wie schwierig es ist, einen Kommentar, ein Video, oder einen Post zu löschen, bevor ihn bereits viele User wahrgenommen haben, womöglich darauf hineingefallen sind. Um das Unternehmen zu schützen, sollten die Mitarbeiter speziell für Social Engineering im Zusammenhang mit den sozialen Netzwerken geschult werden. Der Grund ist, dass der Aufbau einer menschlichen Firewall einen starken Schutz bieten kann. KnowBe4 bietet hierzu einen Social-Media-Phishing-Test an. Er ermittelt, welche Benutzer in Ihrer Organisation anfällig sind und damit die Organisation gefährden könnten.

In den weiteren Beiträgen der Serie haben wir Beispiele weiterer Phishing-Techniken erläutert und geben Hinweise, wie sich diese Betrugsmaschen erkennen lassen.

Über den Autor: Jelle Wieringa ist Security Awareness Advocate bei KnowBe4.

(ID:46675904)