Immer mehr Cyberkriminelle nutzen die Kommunikationsplattformen der nächsten Generation für ihre Phishing-Angriffe – Social Media. Während bei einem «regulären» Phishing der Angriff über E-Mail erfolgt, wird bei Social Media Phishing der Angriff über die Social Media Kanäle durchgeführt. Die Methoden sind oft gleich. Doch was macht Social Media Phishing so attraktiv? Und wie sieht ein Phishing-Angriff auf Facebook, LinkedIn und Co. aus? Das erfahren Sie in diesem Blogartikel.
Phishing goes Social
Eine von 99 E-Mails ist ein Phishing-Angriff* bei dem schädliche Links und Anhänge verwendet werden. Die Methoden sind unterschiedlich von Identitätsdiebstahl, Ausnutzen von impliziertem Vertrauen und Weitergabe von schädlichen Links oder Malware – zum Beispiel Ransomware. Bei einem Phishing E-Mail werden E-Mails gefälscht oder von seriösen Absendern nachgeahmt, sodass sie nur schwer als «Fake» erkannt werden. Die Ziele sind unterschiedlich: Der Klick auf einen Link und Aufforderung auf der gefälschten Website vertrauliche Informationen einzugeben oder eine Handlung wie zum Beispiel öffnen einer Datei, wodurch Malware auf dem Computer installiert wird. Die Kommunikationsplattformen der nächsten Generation werden bei Cyberkriminellen immer beliebter und so nimmt Social Media Phishing jährlich zu. Oft werden dabei die gleichen Methoden, wie beim E-Mail Phishing eingesetzt nur eben auf Facebook, LinkedIn und Co.
Was macht Social Media Phishing so attraktiv?
Alle Social Media Netzwerke haben sich in den letzten Jahren stark entwickelt und bieten neben einer Vielzahl von erweiterten Funktionen auch die Integration von Drittanbieter Apps. Für Cyberkriminelle bietet dies neue Angriffspunkte und einen enormen Pool von potenziellen Opfern. Sie nutzen Social Engineering für die psychologische Manipulation, um Nutzer dazu zu bringen, vertrauliche Informationen preiszugeben. Soziale Netzwerke basieren auf Vertrauen und die Nutzer vertrauen den sozialen Netzwerken. Dies macht sie zu idealen Angriffsplattformen. Nutzer veröffentlichen viele persönliche (und teils vertrauliche) Informationen, wie zum Beispiel: Standort, Wohnort, Beruf, Geburtstag, Hobbies und nicht zuletzt Freunde. Diese Informationen stehen für Cyberkriminelle ohne grossen Aufwand zur Verfügung und vereinfacht ihnen gezielte Angriffe. Unsere Cyber Security Experten haben Ihnen 15 Tipps zusammenstellt, wie Sie sich vor Social Engineering schützen können.
Haben Cyberkriminelle erstmal genug Informationen zusammen, starten sie ihren (Spear-)Phishing-Angriff über den Social Media Kanal. Dabei wird der Nutzer zum Beispiel dazu gebracht, einen schädlichen Link auf einer gefälschten Website in seinen sozialen Netzwerken zu teilen. Da der Link von einem seriösen oder bekannten Kontakt stammt, fallen die sozialen Kontakte des Nutzers sehr einfach auf den Betrug herein. Sehr effizient sind dabei auch Phishing-Kampagnen mit der «Verified»-Kennzeichnung. Das kleine blaue «Verified»-Kästchen bestätigt die Echtheit des Kontos einer Person des öffentlichen Lebens, des Influencers oder einer Marke. Cyberkriminelle geben sich als Facebook oder Instagram aus und schicken Phishing-Mails an Nutzer mit der Bitte sich bei der Plattform anzumelden, um ihr «Verified»-Kästchen zu aktivieren. Gleichzeitig werden ihre Anmeldedaten abgegriffen. Mit dem kompromittierten Konto können sie dann auf Millionen von Nutzer zugreifen.
Phishing auf Facebook, LinkedIn und Co.
Phishing auf Facebook
Facebook ist der grösste und einflussreichste Social Media Kanal und wird am häufigsten von Cyberkriminellen für Betrügereien verwendet. Facebook ist inzwischen die am dritthäufigste genutzte Marke bei Phishing-Angriffen. Einerseits erwerben Cyberkriminelle im Darknet illegale Nutzerdaten, welche sie dann für ihre Zwecke einsetzen. In anderen Fällen nutzen sie die Verbindung mit einer Drittanbieter-App, um an Nutzerdaten zu gelangen. Mit Hilfe der universellen Anmelde-API können sich Nutzer direkt mit Facebook bei unzähligen Apps anmelden. Cyberkriminelle können einfach eine Phishing-Seite bauen, welche die Facebook Anmeldeseite vortäuscht. Ein Nutzer meldet sich bei einer App an, gibt aber tatsächlich seine Anmeldedaten an den Cyberkriminellen weiter und dieser kann das Konto übernehmen. Mit dem kompromittierten Konto kann dann mit dem sozialen Netzwerk des Kontoinhabers in Kontakt getreten werden.
Hinzu kommt, dass sich Nutzer immer mehr gewohnt sind Datenschutzaktualisierungen vorzunehmen. In einigen Fällen ist dann aber nicht Facebook der Absender, sondern eben die Cyberkriminellen, welche sich als Facebook ausgeben.
Phishing auf LinkedIn
Viele Headhunter kontaktieren LinkedIn-Nutzer über InMail. Cyberkriminelle mischen sich ebenfalls unter die «Headhunter». Sie nutzen Arbeitssuchende aus, damit sie entweder an persönliche Informationen auf einer Phishing Seite kommen oder, dass diese Stellenbeschreibungen herunterladen. Diese PDF- oder Word-Dokumente sind dann mit Makros versetzt, welche Malware loslassen. In anderen Fällen führt der Link auf eine Website, welche die Malware freisetzt.
Ein neuer Trend sind Betrügereien mit gefälschten Kontaktanfragen. Cyberkriminelle erstellen gefälschte LinkedIn-Mails, in denen sie den Nutzer um Annahme einer Kontaktanfrage bitten. Wenn sich der Nutzer bei LinkedIn anmeldet, um diese anzunehmen, werden seine Anmeldedaten abgegriffen und das LinkedIn-Konto vom Cyberkriminellen übernommen. Cyberkriminelle können so mit anderen Nutzern über InMail in Kontakt treten, sei es um Phishing oder Spear-Phishing zu betreiben. Sie können ungehemmt Inhalte teilen und mit Millionen anderen LinkedIn-Nutzern interagieren.
Phishing auf Instagram
Instagram – die Selfie-Datenbank, ist zu einer riesigen Werbeplattform und Karrieresprungbrett für Influencer geworden und Instagram-Phishing ist deshalb auch auf dieser Plattform attraktiv geworden. Die Angriffe reichen von Anfragen zur Passwortzurücksetzung über Phishing-Mails bis zu mehrstufigen Angriffen, die mit Phishing beginnen und in Spear Phishing-Angriffe übergehen. Auch hier lesen Cyberkriminelle die Instagram-Anmeldedaten eines Nutzers auf einer gefälschten Instagram Anmeldeseite aus und übernehmen das Konto. Sie betreiben dann mit dem kompromittierten Konto bei den Followern des Nutzers Phishing und Spear Phishing oder verlangen ein Lösegeld, damit keine vertraulichen Informationen und persönlichen Bilder des Opfers veröffentlicht werden.
Schutz vor Social Media Phishing
Die meisten Phishing-Mails auf Social Media werden eher an einzelne Personen als an Firmen-Mailkonten gesendet, auch wenn es die Cyberkriminellen primär auf das Firmen-Konto abgesehen haben. Seien Sie also in sozialen Netzwerken misstrauisch bei Kontaktanfragen, Profilansichten oder Verifikationsanfragen und prüfen Sie den Absender genau.
Unternehmen können ihre Mitarbeitenden zudem mit gezielten Schulungen gegen Phishing und Social Engineering schützen. Geschulte Nutzer fallen weniger auf Angriffe herein, als ungeschulte. Unsere Cyber Security Experten haben Ihnen die wichtigsten Tricks, um Phishing-Mails zu erkennen, in einem kostenlosen Poster zusammengestellt. Jetzt downloaden!
(*) Quelle: Global Phish Report 2019 von Avanan, https://www.avanan.com/global-phish-report