Online-PDFs für E-Mail-Phishing in Unternehmen

Die neuste Masche in E-Mail Phishing hat es auf die Zugangsdaten für E-Mail-Konten von Unternehmen abgesehen und wird mit gefälschten Nachrichten durchgeführt, die angeblich vom Adobe-Onlinedienst stammen. Da der Phishing-Versuch eine Online-PDF-Datei umfasst (die angeblich auf der Adobe-Website gespeichert wird), haben wir eine echte Datei erstellt, um die Warnsignale der Phishing-E-Mail und des gefälschten Online-PDFs zu verdeutlichen.

Die Nachricht der „Adobe PDF Online“ Phishing-Masche

Das Erste was bei der Phishing-Mail sofort ins Auge fällt, ist die Beschreibung der Datei: Mit Ihnen geteilt über „sicheres Adobe PDF online“. Das wirft direkt die Frage auf: Gibt es diesen Service überhaupt? Eigentlich hört es sich recht glaubwürdig an und eine schnelle Suche in Google bestätigt, dass Adobe tatsächlich einen Service anbietet, der es ermöglicht PDF-Dateien online zu speichern und verschlüsselt mit anderen Benutzern zu teilen. Aber auf einer offiziellen Website von Adobe werden Sie nirgendwo den Namen „Adobe PDF online“ finden. Dieser Service heißt nämlich entweder „Adobe Acrobat online“ oder „Adobe Document Cloud“. Da ich neugierig war, bat ich einen Kollegen mir eine Datei zu schicken, um die gefälschten und die echten Benachrichtigungen zu vergleichen.

Die Nachricht auf der rechten Seite ist die echte Benachrichtigung

Selbst wenn Sie nicht wissen, wie die echte Benachrichtigung von Adobe bezüglich einer mit Ihnen geteilten Datei aussieht, gibt es einige Warnsignale, die Sie skeptisch machen sollten. Natürlich bedeutet ein Warnsignal nicht immer, dass es sich wirklich um Betrug handelt und es gibt keine Regel ohne Ausnahmen, aber es sollte zumindest Ihr Misstrauen wecken und Sie dazu anregen, die Nachricht genauer unter die Lupe zu nehmen und einige Nachforschungen anzustellen:

1. Der Absender. Wenn eine E-Mail von einem Onlinedienst stammt, dann ist das anhand des Namens und der Adresse des Absenders normalerweise eindeutig erkennbar. Ist der Absender hingegen eine konkrete Person, wird diese Nachricht nicht wie die eines Onlinedienst aussehen.
2. Die Betreffzeile. Wenn Sie eine E-Mail an eine Person namens Leo schicken, würden Sie in der Betreffzeile so etwas wie „leonides@gmail.com hat eine PDF-Datei erhalten“ angeben?
3. Der Name des Services. Sie müssen sich natürlich nicht die Namen von jedem einzelnen Onlinedienst merken, aber wenn Ihnen der Name nicht vertraut ist, schadet es nichts ihn kurz mithilfe einer Suchmaschine zu überprüfen.
4. Hyperlink/Symbol. Bevor Sie einen Hyperlink oder das Symbol Öffnen anklicken, fahren Sie mit dem Cursor darüber, um den Hyperlink zu untersuchen und sich zu vergewissern, dass Sie auf die richtige Seite weitergeleitet werden.
5. E-Mail-Footer. Bei einer E-Mail von Adobe ist es eher unwahrscheinlich, dass Microsoft Ihnen den Schutz Ihrer Privatsphäre gewährleistet.
6. Außerdem wird kein seriöses Unternehmen Sie auffordern „bitte die Datenschutzrichtlinie durchzulesen“, ohne einen Link zu den entsprechenden Hinweisen zum Schutz Ihrer Daten hinzuzufügen.

Es ist nicht die Website von Adobe Document Cloud

Bis jetzt können wir uns in der Regel darauf verlassen, dass Betrüger in Phishing-Kampagnen blöde Fehler machen, aber nichts hindert sie daran, ihre Arbeit sorgfältig zu erledigen. Gehen wir davon aus, dass die E-Mail korrekt aussieht und nichts Verdächtiges zu finden ist. Dann ist es an der Zeit die Website zu überprüfen. In diesem Fall sieht die Seite aus wie eine ​Authentifizierungsseite auf der eine verdunkelte, verschwommene Benutzeroberfläche von Adobe Acrobat Reader DC im Hintergrund sowie ein Fenster für die Eingabe der Zugangsdaten angezeigt wird. Das ist durchaus plausibel. Allerdings nur für diejenigen E-Mail-Empfänger, die nicht wissen, wie die echte Website der Online-Services von Adobe Acrobat und das Fenster für die Passwortabfrage aussieht.

Passwortabfrage auf der Phishing-Website (oben) und auf der echten Website von Adobe

An dieser Stelle fallen die Warnsignale je nach Phishing-Website unterschiedlich aus. Beginnen wir mit dem verschwommenen Hintergrund: Das ist eine recht unprofessionelle Methode, um vertrauliche Daten zu schützen, zumal ein Teil des Textes mit dem bloßen Auge entziffert werden kann.

1. Die URL. Die Internetadresse eines Adobe-Online-Services sollte die Domain von Adobe beinhalten.
2. Obwohl der Hintergrund verschwommen ist, kann man den Dateinamen lesen: EMInvoice_R6817-2.pdf. Das stimmt nicht mit der Information des Authentifizierungsfensters überein, denn dort steht, dass die herunterzuladende Datei „Wire Transfer Receipt.pdf“ heißt.
3. Inkonsistente Terminologie. In der Kopfzeile des verschwommen angezeigten Dokuments wird „Invoice“ angeben. Es handelt sich also um eine Rechnung, bzw. um eine Zahlungsanfrage. Aber laut des Dateinamens ist es eine Zahlungsbestätigung.
4. Der Name „Adobe Acrobat Reader DC“ ist im verschwommenen Hintergrund zu sehen, aber um Authentifizierungsfenster wird „Adobe Reader XI“ angegeben. Jemand, der selten mit PDFs arbeitet, weiß eventuell nicht, dass XI die alte Version der Software ist, aber die Unstimmigkeit fällt trotzdem auf.
5. AdobeDoc Sicherheit. Sie sind möglicherweise nicht auf dem Laufenden über die diversen Namen, die Adobe für seine Technologien verwendet, aber auf der Phishing-Website ist das Zeichen einer eingetragenen Marke direkt hinter AdobeDoc zu sehen. Es lohnt sich die Registrierung der Marken zu überprüfen.
6. Abfrage von E-Mail-Passwort. Für die Verwendung eines legitimen Adobe-Service ist ein E-Mail-Passwort nicht erforderlich.

So schützen Sie die E-Mail-Konten Ihres Unternehmens vor Phishing

Mit den folgenden Maßnahmen können Sie Ihre Mitarbeiter vor Phishing schützen:

• Steigern Sie das Bewusstsein Ihrer Mitarbeiter bezüglich aktueller Cyberbedrohungen, damit niemand in Ihrem Unternehmen auf Phishing-Tricks hereinfällt.
• Installieren Sie eine effektive Anti-Phishing-Lösung auf dem E-Mail-Server des Unternehmens, um den Großteil der Phishing-E-Mails abzufangen, bevor die Mails im Posteingang Ihrer Mitarbeiter landet.
• Installieren Sie auf jedem Mitarbeitercomputer Sicherheitsprodukte mit Anti-Phishing-Funktionen – die Filter werden die Empfänger daran hindern, die Phishing-Links zu öffnen.