Erfolgreiche Methoden werden in unsicheren Zeiten nur noch erfolgreicher – das scheint die Devise von Cyberkriminellen zu sein. Ein Beispiel: Anfang Mai haben Betrüger E-Mails versendet, in denen die Empfänger angeblich von der Investitions- und Förderbank Hamburg ermahnt werden, dass Falschangaben in ihren Corona-Soforthilfe-Anträgen strafrechtlich relevant sein könnten.
Hilfestellungen für Unternehmen von Felix Blank, Infoblox:
Das Ziel war klar: Personen, die diese Hilfen beantragt haben und sich eventuell nicht mehr sicher bezüglich ihrer Angaben waren, sollten in Panik versetzt werden. Auf diese Weise versuchten die Betrüger, weitere Daten der Opfer zu erbeuten. Dass die E-Mail und das Schreiben offiziell aussahen, hilft bei Angriffen dieser Art enorm.
Augen auf bei Domain-Schreibweisen
Aber nicht nur die Aufmachung des Schreibens hilft den Kriminellen, die Täuschung zu perfektionieren. Immer wieder werden auch sogenannte „Lookalike Domains“ für den digitalen Betrug genutzt. Das sind Domains, die fast wie das Original aussehen, sich aber in kleinen Details unterscheiden. Auf diese Weise sollen die Opfer auf gefährliche Webseiten geleitet werden, um dort Log-In Daten für Bezahldienste wie „PayPaI“ preiszugeben.
Und, haben Sie es bemerkt? Im vorangegangenen Satz war das L von „PayPal“ ein großgeschriebenes i. So einfach, für den User oft unbemerkt und deshalb so effizient, funktioniert das Lookalike-Konzept.
Unicode - Spielplatz für Kriminelle
Die Möglichkeiten für Kriminelle Domain-Schreibweisen für betrügerische Zwecke zu manipulieren, gehen aber noch weiter: Unicode ist der Industriestandard für die konsistente Darstellung von Text in den meisten Schriftsystemen, wie Kyrillisch, Koptisch, Mongolisch oder 136 weiteren Schriften. Insgesamt stehen über 136.000 Unicode-Zeichen zur Verfügung, um Domain Namen zu erstellen.
Allein für unseren Firmennamen „Infoblox“ gibt es dadurch über 829 Millionen Kombinationsmöglichkeiten von Unicode-Zeichen. Für Kriminelle ein Spielplatz - für uns User macht es das allerdings noch schwieriger eine Domain auf seine Vertrauenswürdigkeit zu überprüfen.
Tipps für Unternehmen
Die Mitarbeiter sind nach wie vor das Einfallstor Nummer 1 für Cyberkriminelle in Unternehmen. Ein unbedachter Klick und schon ist der Schaden entstanden. Je besser das Social Engineering, also die Tarnung der Kriminellen als legitimer Kontakt, desto gefährlicher wird dieser Angriffsvektor für die Unternehmens-IT. Deshalb hier zwei einfache Tipps, die Unternehmen ihren Mitarbeitern an die Hand geben können, um Lookalike-Betrügern keine Chance zu bieten:
- Outlook bietet Hilfestellungen in Form von Warnungen, die bei verschiedenen Sicherheitsrisiken angezeigt werden. So auch bei möglichen Homographen, also Internetadresse, die ähnlich zu einer bekannten Adresse sind. Zusätzlich hilft es in Outlook, wenn man mit dem Cursor, ohne zu klicken über den Link fährt. Dieses sogenannte Mouseover zeigt an, auf welche URL der Link verweist und unterstützt bei der Einschätzung, ob es sich generell um eine legitime Adresse handelt.
- Die URL in die Adresszeile des Browsers zu kopieren, zeigt die Adresse im sogenannten „Punycode“ an. Dieser wurde entwickelt, um den Unicode durch die eingeschränkten ASCII-Symbole, darzustellen. Dieser Symbolsatz entspricht weitestgehend den Symbolen einer englischen Tastatur. Taucht beispielsweise in der Adresszeile anstatt „myorganization.com“ dann die Symbolfolge „xn—morganization-i9k.com“ auf, wissen Sie, dass nicht das normale Y benutzt wurde. Aber Achtung: Diese Punycodes können auch auftreten, wenn beispielsweise vertrauenswürdige Domains mit Umlauten internationalisiert werden.
Darüber hinaus bietet ein Lookalike Domain Monitoring durch die Security Abteilung zusätzlichen Schutz für Unternehmen. Hierbei werden speziell Aktivitäten, die im Zusammenhang mit potenziellen Lookalike-Angriffsvektoren stehen, genau überprüft. So können Angriffe effizient verhindert werden.