{"id":27024,"date":"2021-07-07T13:43:04","date_gmt":"2021-07-07T11:43:04","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=27024"},"modified":"2021-07-07T13:43:04","modified_gmt":"2021-07-07T11:43:04","slug":"adobe-online-imitation","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/adobe-online-imitation\/27024\/","title":{"rendered":"Online-PDFs f\u00fcr E-Mail-Phishing in Unternehmen"},"content":{"rendered":"

Die neuste Masche in E-Mail Phishing hat es auf die Zugangsdaten f\u00fcr E-Mail-Konten von Unternehmen abgesehen und wird mit gef\u00e4lschten Nachrichten durchgef\u00fchrt, die angeblich vom Adobe-Onlinedienst stammen. Da der Phishing-Versuch eine Online-PDF-Datei umfasst (die angeblich auf der Adobe-Website gespeichert wird), haben wir eine echte Datei erstellt, um die Warnsignale der Phishing-E-Mail und des gef\u00e4lschten Online-PDFs zu verdeutlichen.<\/p>\n

Die Nachricht der \u201eAdobe PDF Online\u201c Phishing-Masche<\/h2>\n

Das Erste was bei der Phishing-Mail sofort ins Auge f\u00e4llt, ist die Beschreibung der Datei: Mit Ihnen geteilt \u00fcber \u201esicheres Adobe PDF online\u201c. Das wirft direkt die Frage auf: Gibt es diesen Service \u00fcberhaupt? Eigentlich h\u00f6rt es sich recht glaubw\u00fcrdig an und eine schnelle Suche in Google best\u00e4tigt, dass Adobe tats\u00e4chlich einen Service anbietet, der es erm\u00f6glicht PDF-Dateien online zu speichern und verschl\u00fcsselt mit anderen Benutzern zu teilen. Aber auf einer offiziellen Website von Adobe werden Sie nirgendwo den Namen \u201eAdobe PDF online\u201c finden. Dieser Service hei\u00dft n\u00e4mlich entweder \u201eAdobe Acrobat online\u201c oder \u201eAdobe Document Cloud\u201c. Da ich neugierig war, bat ich einen Kollegen mir eine Datei zu schicken, um die gef\u00e4lschten und die echten Benachrichtigungen zu vergleichen.<\/p>\n

\"\"

Die Nachricht auf der rechten Seite ist die echte Benachrichtigung<\/p><\/div>\n

Selbst wenn Sie nicht wissen, wie die echte Benachrichtigung von Adobe bez\u00fcglich einer mit Ihnen geteilten Datei aussieht, gibt es einige Warnsignale, die Sie skeptisch machen sollten. Nat\u00fcrlich bedeutet ein Warnsignal nicht immer, dass es sich wirklich um Betrug handelt und es gibt keine Regel ohne Ausnahmen, aber es sollte zumindest Ihr Misstrauen wecken und Sie dazu anregen, die Nachricht genauer unter die Lupe zu nehmen und einige Nachforschungen anzustellen:<\/p>\n

    \n
  1. Der Absender. Wenn eine E-Mail von einem Onlinedienst stammt, dann ist das anhand des Namens und der Adresse des Absenders normalerweise eindeutig erkennbar. Ist der Absender hingegen eine konkrete Person, wird diese Nachricht nicht wie die eines Onlinedienst aussehen.<\/li>\n
  2. Die Betreffzeile. Wenn Sie eine E-Mail an eine Person namens Leo schicken, w\u00fcrden Sie in der Betreffzeile so etwas wie \u201eleonides@gmail.com hat eine PDF-Datei erhalten\u201c angeben?<\/li>\n
  3. Der Name des Services. Sie m\u00fcssen sich nat\u00fcrlich nicht die Namen von jedem einzelnen Onlinedienst merken, aber wenn Ihnen der Name nicht vertraut ist, schadet es nichts ihn kurz mithilfe einer Suchmaschine zu \u00fcberpr\u00fcfen.<\/li>\n
  4. Hyperlink\/Symbol. Bevor Sie einen Hyperlink oder das Symbol \u00d6ffnen<\/em> anklicken, fahren Sie mit dem Cursor dar\u00fcber, um den Hyperlink zu untersuchen und sich zu vergewissern, dass Sie auf die richtige Seite weitergeleitet werden.<\/li>\n
  5. E-Mail-Footer. Bei einer E-Mail von Adobe ist es eher unwahrscheinlich, dass Microsoft Ihnen den Schutz Ihrer Privatsph\u00e4re gew\u00e4hrleistet.<\/li>\n
  6. Au\u00dferdem wird kein seri\u00f6ses Unternehmen Sie auffordern \u201ebitte die Datenschutzrichtlinie durchzulesen\u201c, ohne einen Link zu den entsprechenden Hinweisen zum Schutz Ihrer Daten hinzuzuf\u00fcgen.<\/li>\n<\/ol>\n

    Es ist nicht die Website von Adobe Document Cloud<\/h2>\n

    Bis jetzt k\u00f6nnen wir uns in der Regel darauf verlassen, dass Betr\u00fcger in Phishing-Kampagnen bl\u00f6de Fehler machen, aber nichts hindert sie daran, ihre Arbeit sorgf\u00e4ltig zu erledigen. Gehen wir davon aus, dass die E-Mail korrekt aussieht und nichts Verd\u00e4chtiges zu finden ist. Dann ist es an der Zeit die Website zu \u00fcberpr\u00fcfen. In diesem Fall sieht die Seite aus wie eine \u200bAuthentifizierungsseite auf der eine verdunkelte, verschwommene Benutzeroberfl\u00e4che von Adobe Acrobat Reader DC im Hintergrund sowie ein Fenster f\u00fcr die Eingabe der Zugangsdaten angezeigt wird. Das ist durchaus plausibel. Allerdings nur f\u00fcr diejenigen E-Mail-Empf\u00e4nger, die nicht wissen, wie die echte Website der Online-Services von Adobe Acrobat und das Fenster f\u00fcr die Passwortabfrage aussieht.<\/p>\n

    \"\"

    Passwortabfrage auf der Phishing-Website (oben) und auf der echten Website von Adobe<\/p><\/div>\n

    An dieser Stelle fallen die Warnsignale je nach Phishing-Website unterschiedlich aus. Beginnen wir mit dem verschwommenen Hintergrund: Das ist eine recht unprofessionelle Methode, um vertrauliche Daten zu sch\u00fctzen, zumal ein Teil des Textes mit dem blo\u00dfen Auge entziffert werden kann.<\/p>\n

      \n
    1. Die URL. Die Internetadresse eines Adobe-Online-Services sollte die Domain von Adobe beinhalten.<\/li>\n
    2. Obwohl der Hintergrund verschwommen ist, kann man den Dateinamen lesen: EMInvoice_R6817-2.pdf. Das stimmt nicht mit der Information des Authentifizierungsfensters \u00fcberein, denn dort steht, dass die herunterzuladende Datei \u201eWire Transfer Receipt.pdf\u201c hei\u00dft.<\/li>\n
    3. Inkonsistente Terminologie. In der Kopfzeile des verschwommen angezeigten Dokuments wird \u201eInvoice\u201c angeben. Es handelt sich also um eine Rechnung, bzw. um eine Zahlungsanfrage. Aber laut des Dateinamens ist es eine Zahlungsbest\u00e4tigung.<\/li>\n
    4. Der Name \u201eAdobe Acrobat Reader DC\u201c ist im verschwommenen Hintergrund zu sehen, aber um Authentifizierungsfenster wird \u201eAdobe Reader XI\u201c angegeben. Jemand, der selten mit PDFs arbeitet, wei\u00df eventuell nicht, dass XI die alte Version der Software ist, aber die Unstimmigkeit f\u00e4llt trotzdem auf.<\/li>\n
    5. AdobeDoc Sicherheit. Sie sind m\u00f6glicherweise nicht auf dem Laufenden \u00fcber die diversen Namen, die Adobe f\u00fcr seine Technologien verwendet, aber auf der Phishing-Website ist das Zeichen einer eingetragenen Marke direkt hinter AdobeDoc zu sehen. Es lohnt sich die Registrierung der Marken zu \u00fcberpr\u00fcfen.<\/li>\n
    6. Abfrage von E-Mail-Passwort. F\u00fcr die Verwendung eines legitimen Adobe-Service ist ein E-Mail-Passwort nicht erforderlich.<\/li>\n<\/ol>\n

      So sch\u00fctzen Sie die E-Mail-Konten Ihres Unternehmens vor Phishing<\/h2>\n

      Mit den folgenden Ma\u00dfnahmen k\u00f6nnen Sie Ihre Mitarbeiter vor Phishing sch\u00fctzen:<\/p>\n