Phishing im Namen des Virus

Das hat uns gerade noch gefehlt: Als wären die Auswirkungen des Corona-Virus auf das tägliche Leben nicht schon schlimm genug, nutzen Cyberkriminelle den Virus nun als Aufhänger für diverse Phishing-Kampagnen. Zahlreiche Sicherheitsfirmen berichten von einer enormen Zunahme von Mails, die in irgendeiner Form versuchen die Angst und Unsicherheit vor Corona auszunutzen. Dabei kommen den Angreifern mehrere Faktoren zugute. Neben der generellen Angst vor dem Virus und der damit einher gehenden Bereitschaft, sich auf offiziell oder dramatisch klingende Nachrichten und Anweisungen einzulassen, sind sehr viele Mitarbeiter zum ersten Mal in einer Home-Office/Remote-Work Situation. Sie kennen die Abläufe nicht, hatten vielleicht noch nie mit den User-Helpdesk zu tun und sind aufgrund der fehlenden Routine empfänglich für Spear- und gewöhnliches Phishing.

Während sich Cyberkriminelle zu jeder Zeit an die saisonalen Gegebenheiten anpassen, beispielsweise an Weihnachten oder zu anderen Feiertagen, ist die Geschwindigkeit und Gründlichkeit, mit der die Kampagnen angepasst wurden, beeindruckend. So beschreibt F-Secure, dass viele der Kampagnen reguläre Nachrichtenmeldungen als Vorbild nahmen, zuerst auf japanische Verbraucher abzielten und mitunter nur 24 Stunden nach Erscheinen der offiziellen Nachrichtenmeldungen auftraten. Dabei handelte es sich sowohl um Spam- als auch um Phishing-Kampagnen. Weil der Ausbruch von Corona zu einer weltweiten Verknappung von medizinischen Gütern geführt hat, versucht Spam zurzeit vor allem Schutzmasken, Desinfektionsmittel und angebliche Wunder-Tools gegen die Infektion an den Mann oder die Frau zu bringen. Hunderte von zwielichtigen Websites überschlagen sich mit Rabatten und Sonderpreisen für angebliche Restposten von Gesichtsmasken oder Desinfektionsmitteln. Auch cyberkriminelle Marktplätze, auf denen normalerweise mit Drogen, Waffen und Pornographie gehandelt wird, beteiligen sich an diesem Geschäft. Wie üblich sollten Spam-Angebote IMMER ignoriert werden. Wer doch kauft, gibt mit hoher Wahrscheinlichkeit sein Zahlungsmittel an Kriminelle weiter, erhält vermutlich keine Gegenleistung und wenn doch nur minderwertige Qualität oder eine Fälschung.

Ein anderer Sicherheitshersteller, Cynet, hat die Situation in Italien untersucht, wo die Kriminellen vor allem Malware einsetzen, um Zugangsdaten abzugreifen. Die Angriffe verdreifachten sich nahezu zwischen Januar und März. Ähnlich sieht die Situation in anderen europäischen Ländern und den USA aus: Wo immer Corona-Fälle auftreten, folgen die entsprechenden Phishing-Kampagnen dicht darauf. Der Drang, eine Excel-Datei zu öffnen, die angebliche Testergebnisse enthält, ist in der aktuellen Situation nun mal sehr groß. Aber auch andere Varianten sind bei den Phishern beliebt. Sehr oft werden URLs zu vermeintlichen Gesundheitsseiten und „So schützen Sie sich vor Corona“-PDFs in den Mails als Lockmittel genutzt. Damit sollen Malware eingeschleust und Nutzerdaten abgegriffen werden. Der Handel mit Malware hat auf den Marktplätzen im Dark Web bereits begonnen. So wurde im Februar in einem kriminellen Forum eine neue COVID-19-Phishing-Betrugskampagne beworben. Für den Preis von 200 $ konnten Nutzer eine digitale Weltkarte erwerben, auf der die Verbreitung des Virus nachzuverfolgen ist. Die Graphik nutzt Echtzeitdaten der WHO, gleicht einer legitimen Version des John-Hopkins-Instituts und lädt beim Download auch eine Malware auf den Rechner.

Auch die Zahl der in Verbindung mit COVID-19 registrierten Domains ist seit Anfang des Jahres deutlich gestiegen: Sicherheitsanbieter Digital Shadows hat in den letzten drei Monaten über 1.400 solcher Domains identifiziert. Die Mehrheit davon ist legitim, einige jedoch verfolgen mit großer Wahrscheinlichkeit betrügerische Absichten. Die Folgen sind bereits jetzt zu spüren: So meldete das National Fraud Intelligence Bureau (NFIB) Anfang diesen Monats über 21 Fälle von COVID-19-Betrugskampagnen und einen Schaden von über 90.000 Euro.

Falschmeldungen zum Coronavirus verbreiten sich in erster Linie über soziale Netzwerke sowie private Nachrichtenplattformen. Auch wenn die falschen Informationen nicht immer bewusst geteilt werden oder finanzielle Motive verfolgen, tragen sie dennoch dazu bei, Panik zu verbreiten, Versorgungsengpässe anzuheizen und gefährliche DIY-Schutzmaßnahmen zu propagieren. So sind beispielsweise die wenigsten Rezepturen zur Herstellung von selbstgemachten Handdesinfektionsmitteln tatsächlich wirksam, einige können sogar zu gesundheitlichen Schäden wie Hautverletzungen führen.

Corona-Phishing unterscheidet sich nicht von Phishing mit Weihnachts-Mails oder irgendeinem anderen Aufhänger. Nach wie vor gelten die gleichen Sicherheitsmaßnahmen für Anwender:

• Geben Sie möglichst wenig von sich in sozialen Netzen preis. Erfolgreiches Phishing basiert auf Fakten.
• Nutzen Sie die Awareness-Schulungen des Arbeitsgebers. Der beste Rat lautet nach wie vor: Erst Denken, dann Klicken.
• Nutzen Sie zwei Faktor-Authentifizierung, wenn sie angeboten wird.
• Fragen Sie den Arbeitgeber aktiv, wie sie mit verdächtigen Mails umgehen sollen. Weiterleiten? Screenshot? Wer ist der richtige Ansprechpartner?

Unternehmen können zusätzlich proaktiv mit Monitoring-Tools nach Fake-Webseiten des eigenen Domain-Namens suchen und solche Seiten blocken oder aus dem Netz nehmen lassen. Darüber hinaus sollten alle umsetzbaren Sicherheitsmaßnahmen des Mailservers wie Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC) und DomainKeys Identified Mail (DKIM) eingeschaltet werden.