So gelangen Cyberkriminelle an Informationen für Spear-Phishing-Angriffe

11 Feb 2019

Bei der Analyse zielgerichteter Angriffe des letzten Jahrzehnts stoßen wir immer wieder auf ein wiederkehrendes Leitmotiv: „Alles begann mit dem Öffnen einer Phishing-Mail“. Aber warum sind Spear-Phishing-E-Mails so effektiv? Aus einem ganz einfachen Grund: Sie sind kontextualisiert und auf das jeweilige Opfer spezifisch zugeschnitten.

Dabei dienen die sozialen Netzwerke der Opfer häufig als Informationsquelle, was selbstverständlich zu folgender Frage führt: Wie sind Cyberkriminelle überhaupt in der Lage, diese Konten zu finden? Das hängt größtenteils davon ob, wie „öffentlich“ sich das Opfer präsentiert. Wenn die Daten einer Person beispielsweise mit einer detaillierten Biografie und einem Link zu einem LinkedIn-Profil auf einer Unternehmenswebsite veröffentlicht werden, stellt sich diese Aufgabe als kinderleicht heraus. Steht dem Cyberkriminellen jedoch lediglich eine E-Mail-Adresse zur Verfügung, ist das Ganze weitaus komplizierter.

Wir haben ein kleines Experiment durchgeführt, um auf der Grundlage vereinzelter Daten nach Informationen zu suchen. Dazu haben sich einige unserer Kollegen mit unterschiedlichem Social-Media-Aktivitätsgrad freiwillig zur Verfügung gestellt und mussten mithilfe allgemein verfügbarer Recherche-Tools ausfindig gemacht werden.

Bildersuche

Eine unbekannte Person anhand eines Fotos zu finden, ist nun wahrlich nicht eines der häufigsten Szenarien. Wir gehen allerdings davon aus, dass sich eine derartige Situation möglicherweise folgendermaßen abspielt: ein Cyberkrimineller positioniert sich am Eingang eines bestimmten Firmengebäudes und fotografiert heimlich alle Personen mit einem bestimmten Logo auf ihrer Schlüsselkarte. Danach beginnt die Suche nach einem geeigneten Spear-Phishing-Opfer. Aber wie genau geht man dabei vor?

Vor zwei Jahren (unglaublich, wie schnell die Zeit vergeht) haben wir in einem unserer Beiträge über den Dienst „FindFace“ berichtet. Unter bestimmten Bedingungen und der Verfügbarkeit mehrerer, qualitativ hochwertiger Fotos eines Zielobjekts, kann der Dienst Bilder einem Social-Media-Account zuordnen. Wir müssen allerdings dazu sagen, dass dieser Service Gelegenheitsnutzern seit Juli letzten Jahres nicht mehr frei zur Verfügung steht. Die Entwickler waren in letzter Zeit intensiv mit der Entwicklung von Lösungen für Regierungen und Behörden beschäftigt, und mittlerweile ist der Service kostenpflichtig. Darüber hinaus gaben die Erfinder an, dass es sich bei der öffentlichen Version lediglich um ein „Demonstrator-Projekt“ gehandelt hat.

Trotzdem sollte der Dienst nicht vollständig außer Acht gelassen werden. Denn oftmals sind Cyberkriminelle dazu bereit, in zusätzliche Tools zu investieren, um einen zielgerichteten Angriff auszuführen. Im Grunde genommen hängt alles vom Ziel der Kriminellen ab, auch wenn diese Option im Fall der Fälle unerwünschte Spuren hinterlassen würde.

Die umgekehrte Bildersuche von Google steht jedoch allen Nutzern kostenlos zur Verfügung. Darüber hinaus bietet dieser Service eine Browsererweiterung namens „Search-by-Image“, die verschiedene Dienste automatisch nach bestimmten Fotos durchsucht. Diese Methode funktioniert allerdings ausschließlich für Bilder, die bereits online veröffentlicht wurden. Daher ist sie in unserem Szenario nicht anwendbar – es sei denn, bei dem Foto handelt es sich um ein offizielles Bild einer Website.

Dennoch haben wir unser Glück mit dieser Suchmethode versucht. Google gelang es lediglich, unseren freiwillig auserwählten Kollegen mit dem Suchbegriff „Gentleman“ in Verbindung zu bringen, obwohl dieser das gesuchte Foto ebenfalls als Profilbild auf Facebook und anderen sozialen Netzwerken verwendet. Sollten Cyberkriminelle also ein Foto von Ihnen gemacht haben, ist es unserer Meinung nach eher unwahrscheinlich, dass sie dieses mit irgendeinem Ihrer Profil verknüpfen können, ohne einen kostenpflichtigen Gesichtserkennungsdienst zu verwenden.

Vor- und Nachname

Wenn Sie online nach jemandem suchen, ist der erste Schritt in der Regel eine Suche basierend auf dem Vor- und Nachnamen der jeweiligen Person. Offensichtlich hängt der Sucherfolg stark von der Häufigkeit und Verbreitung des gesuchten Namens ab. Einen spezifischen Max Mustermann ausfindig zu machen, ist möglicherweise keine leichte Aufgabe. Personen mit außergewöhnlichen Namen findet Google hingegen deutlich schneller.

Wussten Sie eigentlich, dass Sie bei einigen sozialen Netzwerken auf das Profil einer Person zugreifen können, ohne sich registrieren zu müssen?

E-Mail-Adresse und Telefonnummer

Und was passiert, wenn wir die E-Mail-Adresse oder Telefonnummer einer Person kennen? Mit diesen Informationen bewaffnet, können wir einen direkten Weg einschlagen und nacheinander alle sozialen Netzwerke durchsuchen. Es gibt allerdings auch sogenannte Aggregatendienste, die Ihnen diese Art der Suche erleichtern. Der bekannteste Dienst ist vermutlich Pipl, der Links zu Benutzerseiten, basierend auf Telefonnummern oder E-Mail-Adressen, unter sozialen Netzwerken sucht und eine kurze Biografie bezüglich Geburtsort, Ausbildung und Beruf zur Verfügung stellt. Wenn man den Entwicklern von Pipl Glauben schenkt, verfügt der Dienst über Informationen von mehr als 3 Milliarden Nutzern!

Mit diesem Service konnten wir Links zu mindestens einem Benutzerkonto von fünf unserer zehn Zielobjekten erhalten; in einigen Fällen wurden uns sogar Benutzernamen, Nicknamen und weitere interessante Informationen zur Verfügung gestellt.

Nicknamen

Einige Benutzer verwenden einen einzigen Nicknamen für persönliche und auch geschäftliche E-Mail-Adressen; andere hingegen gebrauchen diesen ausschließlich für ihr privates Online-Leben. In den Händen von Cyberkriminellen können jedoch all diese Alias verwendet werden, um zusätzliche Informationen über das beabsichtigte Opfer zu erhalten.

Dies kann beispielsweise mit Ressourcen wie namechk oder knowem erfolgen. Erstere kann einen Account-Namen in unter mehr als 100 Diensten finden; Letztere durchsucht insgesamt mehr als 500 Ressourcen. Natürlich gibt ein häufig vorkommender Nickname keine Garantie, eine bestimmte Person zu finden. Trotzdem ist ein solcher Dienst ein sehr nützliches Hilfsmittel für Cyberkriminelle.

Das können Sie tun

Wie Sie sehen, erfordert das Sammeln von Daten über potenzielle Opfer (wo sie leben, was ihnen Spaß macht usw.) keine Zauberei oder den Zugang zu komplexen Diensten. Daher empfehlen wir Ihnen, sich über die gängigsten Phishing-Methoden zu informieren und Ihren Mitarbeitern folgende Regeln zu empfehlen:

  1. Melden Sie sich auf sozialen Netzwerken nicht mit E-Mail-Adressen oder Telefonnummern an, die Sie lieber geheim halten möchten.
  2. Verwenden Sie nicht dasselbe Foto für persönliche Profile und Arbeitskonten.
  3. Nutzen Sie unterschiedliche Nicknamen.
  4. Machen Sie Cyberkriminellen das Leben nicht einfacher, indem Sie unnötige Informationen über sich auf sozialen Netzwerken veröffentlichen.

Am wichtigsten ist jedoch, dass Sie die Workstationen Ihrer Mitarbeiter durch eine zuverlässige, vollfunktionale Sicherheitslösung mit effektiver Antiphishing-Technologie schützen – beispielsweise Kaspersky Endpoint Security for Business.