Die Anzahl an Phishing-Attacken sind zu Zeiten von COVID-19 in die Höhe geschnellt. Aus diesem Grund stelle ich in diesem Beitrag 4 reale und dadurch sehr kritische Beispiele für erfolgreiches Phishing vor.

Vorwort

Gerade in Zeiten von COVID-19 sind die Anzahl der Phishing-Attacken in die Höhe geschnellt, was ich zum Teil damit erkläre, dass viele Personen von Zuhause aus arbeiten und dadurch weniger Kommunikation mit der IT-Abteilung oder generell untereinander besteht.

Umso wichtiger ist es, dass man sich mit dem Thema auseinandersetzt und weiß wie man sich bei einer Phishing-Attacke verhalten sollte. Ich habe zu dem Thema hier einen kleinen aber interessanten Beitrag geschrieben.

Ich stelle euch jetzt 4 Situationen vor, welche einen großen Schaden angerichtet haben und auf Phishing-Attacken zurückzuführen sind. Let’s go!

iCloud-Leaks seit 2014

Wir alle haben sicherlich von den iCloud-Leaks gehört, bei denen private Bilder und Videos und zu großen Teilen sogar sehr intime Nacktbilder und Videos seit 2014 in mehreren Wellen veröffentlicht wurden.

Das ist und war würde ich sagen zumindest medienwirksam aufgrund der hohen Anzahl von betroffenen Stars der größte Phishing Angriff, welcher jemals erfolgreich war. Die Liste der betroffenen Stars ist extrem lang. Ich zähle jetzt nur die mir bekanntesten auf. Es sind hunderte Stars mehr betroffen.

Die mir bekanntesten sind Amanda Seyfried, Amber Heard, Anna Kendrick, Ariana Grande, Aubrey Plaza, Avril Lavigne, Bonnie Wright, Brie Larson, Dakota Johnson, Demi Lovato, Emily Ratajkowski, Emma Watson, Jennette McCurdy, Jennifer Lawrence, Kaley Cuoco, Kate Upton, Kirsten Dunst, Mary Elizabeth Winstead, Nicole Scherzinger, Olivia Munn, Reese Witherspoon, Rihanna, Scarlett Johansson, Selena Gomez, Taylor Swift, Vanessa Hudgens und Victoria Justice.

Mehrere Promis äußerten sich in Interviews oder via Twitter über diese Leaks. So bestätigten unter anderem Jennifer Lawrence, Kirsten Dunst und Mary Elizabeth Winstead, dass die Bilder und Videos authentisch sind, während einige Promis wie Victoria Justice öffentlich dementierten, dass diese Bilder von ihnen echt seien.

Hier klicken, um den Inhalt von Twitter anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von Twitter.

Hier klicken, um den Inhalt von Twitter anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von Twitter.

Am Anfang der Ermittlungen durch Apple und das FBI ging man noch davon aus, dass es eine Login-Fehlkonfiguration des Find My iPhone Services diesen Leak verursacht hat. So war der Login nicht gegen Brute-Force-Angriffe geschützt und wurde über ein Python-Script seit längerem angegriffen.

Später stellte sich allerdings heraus, dass der ursprüngliche Hacker mit dem Namen Ryan Collins, sich über simple Phishing E-Mails Zugriff auf die iCloud und Gmail Konten der Stars verschafft hat.

Insgesamt wurden 4 Hacker zu mehreren Jahren Gefängnis verurteilt, welche sich via Phishing insgesamt zu etwa 1000 Konten der iCloud, Gmail, Facebook und Yahoo verschafft haben.  Die meisten der Konten waren Konten von Prominenten und Superstars.

Die Bilder wurden zuerst auf 4chan veröffentlicht und zum Kauf angeboten. Später verbreiteten sich die Bilder rasend schnell im Internet und sind seitdem auf diversen Seiten frei verfügbar und wie das heutzutage leider so ist, sobald etwas im Internet aufgetaucht ist, bleibt es auf ewig da.

Hier klicken, um den Inhalt von Twitter anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von Twitter.

Jetzt sollte sich mal jeder vorstellen, wie es wohl ist, wenn du eine Person bist, die dauerhaft weltweit im Rampenlicht steht und jeder 12-Jährige mit einem Internetanschluss kann sich dich beim Sex anschauen.

Bundestag 2015

Der Bundestag war schon immer ein attraktives Ziel für staatlich gesteuerte Hackergruppen und wird es wohl auch immer bleiben. So gibt es dauerhafte Angriffe auf die IT-Infrastruktur des gesetzgebenden Organs der Bundesrepublik Deutschland.

Die über Monate sehr gründlich durchgeführte Angriffswelle im Jahr 2015 war allerdings besonders erfolgreich und somit stelle ich den Spear-Phishing Angriff hier vor.

GRU
Die Gruppe wird nach Einschätzung westlicher Geheimdienste dem russischen Militärgeheimdienst GRU zugerechnet.

Bei dieser Angriffswelle geht man davon aus, dass die Hackergruppe Sofacy Group dahinter steckt, welche auch unter den Pseudonymen APT28, Fancy Bear, Pawn Storm und Strontium bekannt ist.

Die Gruppe wird nach Einschätzung westlicher Geheimdienste dem russischen Militärgeheimdienst GRU zugerechnet und ist darauf spezialisiert Informationen zu stehlen. Sie ist für sehr erfolgreiche Hacks und Kampagnen bekannt.

Unter anderem verschickten sie gefälschte und dem IS nachempfundene Drohnachrichten an Familien amerikanischer Soldaten, hackten sich in diverse Server und PCs des Bundestages und der Demokratischen Partei (USA) und versuchte sich 2018 in das Wi-Fi-Netzwerk der OPCW zu hacken.

Der Hack des Bundestages war gleichzeitig simpel wie ausgeklügelt. So programmierten die Hacker eine der UN nachempfundene Website, auf der ein Trojaner versteckt war und versendeten gefälschte E-Mails mit einer Verlinkung auf diese Website.

Die E-Mail-Adresse des Absenders endete auf @un.org und sämtliche E-Mails wurden über einen Server verschickt, welchen die Firewall des Bundestages nicht als gefährlich einstufte. In den E-Mails ging es um den Ukraine Konflikt mit Russland.

Ukraine conflict with Russia leaves economy in ruins – Betreffzeile der E-Mails

Andere Berichte sprechen von gefälschten und der NATO nachempfundenen E-Mails welche auf @hq.nato.int endeten, die aber das gleiche Prinzip verfolgen.

Sobald die Opfer auf den Link geklickt hatten, installierte sich automatisch ein Trojaner auf dem Rechner, welcher Zugriff auf diverse weitere IT-Systeme des Bundestages garantierten, sodass sie weitere Malware relativ problemlos nachladen und verbreiten konnten.

Die Malware der Hackergruppe war nach wenigen Wochen so weitreich in das IT-Netzwerk vorgedrungen, dass zeitweise das gesamte Netzwerk des Bundestages abgeschaltet werden musste.

Laut einem Bericht von Spiegel Online waren zuerst Rechner der Linksfraktion infiziert. Insgesamt flossen wohl mehr als 16 Gigabyte Datenmaterial ab. Dieses Material beinhaltet unter anderem E-Mails, sowie Termine von Abgeordneten.

Präsidentschaftswahl USA 2016

Die russische Einflussnahme auf die Präsidentschaftswahl der USA im Jahre 2016 war bis in das Jahr 2019 gefühlt jede Woche mindestens ein oder zweimal in den Medien vertreten und wurde ausführlich diskutiert.

Unter anderem wurde eine großangelegte Kampagne von russischen Fake-Accounts lanciert. Auf Twitter belief sich die Zahl russischer Fake-Accounts auf mehr als 50.000! Etwa jeder 5. Tweet zur Wahl war gefälscht.

Besondere Aufmerksamkeit galt aber den von Wikileaks im Oktober 2016 veröffentlichten E-Mails. Dabei handelt es sich hauptsächlich um tausende E-Mails, welche sich die Kandidatin Hillary Clinton und ihr Wahlkampfleiter John Podesta geschickt hatten. Es sind auch weitere Mitarbeiter betroffen gewesen.

Wikileaks Clinton E-Mails
Das E-Mail Archiv von Wikileaks.

Davor wurden mehrere Server und E-Mail-Konten der DNC (Democratic National Committee) gehackt und auch hier tausende E-Mails auf Wikileaks veröffentlicht.

Da der dafür verantwortliche Hacker Guccifer 2.0 beging einen kritischen Fehler. Er vergaß ein einziges Mal seinen VPN Dienst für den Login in seine Social Media Accounts zu verwenden. Dadurch hat er sich mit seiner richtigen IP-Adresse eingeloggt.

Diese IP wurde zu einem Moskauer Büro von Russlands Militärnachrichtendienst GRU zurückverfolgt und konnte sogar einem bestimmten Mitarbeiter zugeordnet werden. Der damalige stellvertretende Justizminister Rod Rosenstein gab am 13.07.2018 bekannt, dass man gegen zwölf russische Staatsbürger Anklage erhebt.

Ebenfalls wurden diverse Betriebsprogramme der Wahlsysteme ausgespäht. Die Angriffe seien auf Server zurückverfolgt worden, die von einer russischen Firma betrieben werden. Allerdings lässt es sich nicht mit Sicherheit sagen, dass dies ein staatlicher Angriff war.

Ein NSA Bericht beleuchtet einen Teil des Angriffskonzeptes auf russischer Seite. Ich erkläre zwar jetzt das Prinzip der beiden Varianten, binde aber trotzdem diverse Auszüge aus dem Bericht mit ein.

Mehrere Hacker haben im August 2016 eine US-Firma ausspioniert, um Informationen über Wahlsoftware sowie Wahlhardware zu erhalten. Laut dem NSA-Bericht nutzten sie diese Informationen, um ein neues E-Mail-Konto zu erstellen und eine Spear-Phishing-Kampagne zum Thema Wählerregistrierung zu starten, die sich gegen US-amerikanische lokale Regierungsorganisationen richtete.

Es wurden diverse E-Mails verschickt, welche mit einem Microsoft Word Dokument versehen waren. In diesem Word Dokument war ein Visual Basic Script eingebaut welches, sobald das Dokument geöffnet wurde, eine PowerShell Sitzung öffnet.

Diese PowerShell Sitzung hat verdeckt mit einem oder mehreren Servern kommuniziert die als „bösartig“ eingestuft und von den Hackern kontrolliert wurden. Über diese Verbindung wurde dann weitere Schadsoftware nachgeladen.

NSA Bericht Teil 1

Im nächsten Schritt (Oktober 2016) erstellten die Hacker eine neue E-Mail-Adresse, die möglicherweise verwendet wurde, um für vermutlich US-basierte Ziele wahlbezogene Produkte und Dienstleistungen anzubieten.

Anschließend schickten sie Test-E-Mails an zwei nicht existierende Konten, die angeblich mit Briefwahl in Verbindung gebracht wurden, vermutlich mit dem Ziel, diese Konten zu erstellen, um legitime Dienste nachzuahmen.

Bei einer weiteren Firma führten sie am 24.08.2016 ebenfalls einen Spear-Phishing Angriff auf Mitarbeiter der Firma durch. Von der E-Mail-Adresse noreplyautomaticservice@gmail.com wurden diverse E-Mails verschickt.

Ziel war es, dass die Mitarbeiter auf einen präparierten Link klicken, der in einer gefälschten Google Alert E-Mail eingearbeitet wurde. Dieser Link leitete die Mitarbeiter auf eine weitere Website um, welche leider durch die NSA geschwärzt wurde.

NSA Bericht Teil 2

Wie auch im ersten Fall wurde über diese präparierte Website ein Virus auf dem PC des Mitarbeiters platziert. Über diesen wurde dann weitere Schadsoftware nachgeladen.

Laut der NSA ist der Command-and-Control-Server ein Server (wahrscheinlich Microsoft-IIS/7.5 Server) mit einer amerikanischen IP-Adresse gewesen, welcher über den Port 8080 mit den PCs der Mitarbeiter kommuniziert und somit keinen Alarm ausgelöst hat.

Paket-SMS 2021

Im letzten Beispiel stelle ich euch ein Smishing-Angriff vor. Das Wort Smishing wurde aus den Wörtern SMS und Phishing zusammengesetzt.

Ziel bei solchen Attacken ist es Malware auf dem Smartphone des Opfers zu platzieren, umso möglichst viele Informationen über das Opfer zu sammeln.

Gerade in Zeiten des BYOD oder auch Bring your own device erhoffen sich Hacker dadurch besonders sensible Daten, unter anderem auch von den betroffenen Unternehmen.

Die Paket-SMS Welle im aktuellen Jahr 2021 ist dabei ein extrem gravierendes Beispiel. Laut einem Bericht der Nachrichtenseite DER SPIEGEL haben die verantwortlichen Hacker innerhalb von 3 Monaten in Deutschland über 200.000 Smartphones unter ihre Kontrolle gebracht.

Paketnachrichten

Die Masche hat folgendermaßen funktioniert. Das Opfer erhält eine SMS Benachrichtigung über eine angebliche Paketlieferung. In dieser SMS ist ein Link beigefügt, über den man die Lieferung angeblich verfolgen kann.

Sobald ihr auf den Link klickt werdet ihr auf eine Website geleitet, welche mit einer Schadsoftware präpariert wurde. Diese wird bei einem Besuch automatisch auf dem Smartphone des Opfers platziert.

Es gibt diverse Varianten der SMS von unterschiedlichen Hackern mit verschiedener Schadsoftware.

Hier klicken, um den Inhalt von Twitter anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von Twitter.

Da generell auch sehr viele Personen über ihre privaten Smartphones betroffen waren, ist diese Masche über die Medien sehr stark thematisiert worden. Was insgesamt für ein Schaden entstanden ist, kann man leider noch nicht sagen.

Allerdings kann man bei 200.000 infizierten Smartphones innerhalb von 3 Monaten von großflächigem Schaden sprechen, der meiner Meinung nach bis dato unbekannte Ausmaße angenommen hat. Generell hatte ich das Gefühl, dass das ganze Land mit den Paket-SMS überflutet wurde.

Ich bin gespannt wie sich diese besondere Phishing Variante noch entwickelt und was man in den nächsten Jahren noch alles Neues sieht.

Fazit

Das waren 4 kritische Beispiele für ausgereiftes und erfolgreiches Phishing. Fakt ist leider, dass solche Angriffe von Jahr zu Jahr immer ausgereifter und damit immer erfolgreicher werden. Ich war über die Arbeit selber schon bei dem ein oder anderen IT-Seminar.

Allerdings ging es dort eher um Passwortsicherheit, als das mir mal jemand erklärt hat, was Phishing ist. Ich denke, dass sich in dieser Richtung noch einiges tun muss, damit Leute viel wachsamer sind.

Ich danke euch wie immer für eure Aufmerksamkeit und hoffe, dass euch der Beitrag zu dem Thema Phishing gefallen hat. Bis zum nächsten Mal!

Möchtest du immer aktuell bleiben und automatisch über neue Beiträge informiert werden? Dann melde dich doch für meinen kostenfreien Newsletter an!

DSGVO (Pflichtfeld) *

Categorized in: