Sicherheit
Der Angriff des Bösen hat viele Gesichter

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagementVirus

Die meisten Online-Betrügereien sind lächerlich stümperhaft aufgezogen und für alle außer den gierigsten Trotteln leicht zu erkennen. Sie könnten aber leicht sehr viel ausgefeilter werden, warnt Neil Barrett.

Sicherheit

Spam macht mittlerweile etwa drei Fünftel des gesamten E-Mail-Verkehrs aus, mit regelmäßigem Rückgriff auf die altbewährte Kunst des 419-Tricks. Phishing ist offenbar immer noch eine populäre Sportart. Es sieht so aus, als sei der schnellste Weg zum Geld für Hacker derzeit eine Kombination dieser beiden Strategien ist.

Immerhin scheint es immer noch gierige User zu geben, die weiterhin bereit sind zu glauben, dass der Absender wirklich der rechtmäßige Erbe eines Vermögens irgendwo auf einer nigerianischen Bank ist, und dass die Deutsche Bank und andere Geldinstitute blöd genug sind, in einer E-Mail nach einem Passwort zu fragen, und dass Viagra wirklich online erhältlich ist. Es wäre unhöflich, nicht davon zu profitieren.

Übrigens, bin ich eigentlich der einzige, oder bekommt auch sonst alle Welt Spam-Mail mit Angeboten für Viagra und Anti-Depressiva? Ich hielt das immer für ein sehr kluges Angebot. Entweder das Viagra löst die Probleme oder das Anti-Depressivum sorgt dafür, dass man sich keine Gedanken mehr darüber macht.

Und überhaupt ? was sollten die Hacker denn tun? Es liegt auf der Hand, eine originalgetreue Kopie der Website einer Bank einzurichten und dann so vielen Leuten wie möglich eine überzeugend klingende Spam-Mail zu schicken. Irgend jemand wird schon darauf hereinfallen. Besonders clever ist es allerdings, nicht sofort nach Passwort-Informationen zu fragen. Stattdessen bittet man um eine Bestätigungs-Mail und macht klar, dass Phishing ein echtes Problem ist und die User daher vorsichtig sein sollten.

Die Website, zu der die User gelenkt werden, sieht freundlich und harmlos aus und würde sich nicht durch das Abfragen von unnötigen Informationen Misstrauen wecken. Wer auf die E-Mail antwortet und die Web-Site besucht, bekommt einen Folgekontakt mit den Hackern, die sich nun als Helpdesk-Personal der Bank ausgeben und erklären, dass es ein Problem mit dem Online-Account des Users gibt. Die Hacker tauschen zwei oder drei E-Mails mit dem angepeilten Opfer aus und gewinnen langsam sein Vertrauen. Schließlich sind die Hacker aber doch “gezwungen”, nach dem Passwort zu fragen, um es für den User zu ändern und es ihm zu ermöglichen, das Konto wieder richtig einzurichten. Dann kann der Hacker mit dem Passwort natürlich das Konto leer räumen, die Identität des Users stehlen und mit Satteltaschen voller Geld in den Sonnenuntergang reiten.

“Es wäre unhöflich, nicht von der Geldgier und Dummheit der User zu profitieren.”

Einfach. Man braucht nur Geduld, Überzeugungskraft und ? auf Seiten des Users ? ein gewisses Vertrauen in den hilfsbereiten Helpdesk-Mitarbeiter.
Würde das klappen? Natürlich. Der fortgesetzte Erfolg des 419-Tricks zeigt, dass die User wohl jeden Unfug glauben werden, wenn sie hoffen, damit schnelles Geld zu machen. Und der Umstand, dass die Spam-Flut weiter exponential wächst, zeigt, dass das zumindest bei einigen depressiven, impotenten E-Mail-Nutzern geht. Irgendjemand wird darauf hereinfallen.

Wie könnte man dem entgegenwirken? Nun, das geht nur, wenn die potentiellen Opfer sich dagegen wehren, Opfer zu werden und wenn aggressive, erfolgreiche Kontrollen eingesetzt werden. Oder natürlich mit Hilfe besserer Identifizierungsmethoden für den Ursprung von E-Mail ? deswegen sind die aktuellen technischen Empfehlungen sehr, sehr wichtig. In der Zwischenzeit halte ich hier eine Satteltasche bereit, und wenn irgendjemand ein bisschen Geld hineinwerfen möchte.