Umgang mit Phishing, Spam und Cyber Crime

WARNUNG

Cyber Crime Aktivitäten sind zumeist Teil eines organisierten Verbrechens und die Menschen dahinter nicht zimperlich wenn ihr Geschäftsmodell in Gefahr gerät. Die Gefahren und Angriffspunkte zu kennen, um sich davon fern zu halten, ist die sicherste Art des Umgangs.

Worum geht es

Es scheint normal geworden zu sein, das man täglich mit ungewollter Werbung überhäuft wird und die Tendenz der versuchten Datendiebstähle geht steil nach oben.

Die Aufgabe des Arbeitgebers und Grenzen der Verantwortung

Als Arbeitgeber trägt man die Verantwortung dafür, dass die eigenen Mitarbeiter weder zu Schaden kommen, noch selbst Schaden beim Kunden verursachen. Auch wenn es oft lästig klingt, aber an regelmäßigen Trainings zur gezielten, bewussten Wahrnehmung der Angriffspunkte führt kein Weg vorbei.

Eine Geschichte aus dem wahren Leben

Vor einiger Zeit erhielt ich eine SMS, angeblich von einer Bank, mit dem Hinweis auf ein Sicherheitsproblem und der Bitte mein Photo TAN Verfahren zu überprüfen. Zum Einen war ich kein Kunde dieser Bank, zum Anderen war es anhand der URL eindeutig, daß es sich nicht um eine Seite der benannten Bank handelt:

https://<BANKNAME>-photoTAN<cryptische ID>.web.app/

Achtung

Bitte nicht nachmachen, da selbst der Aufruf der Seite bereits bestehende Sicherheitslücken am eigenen System ausnutzen kann.

Aus Neugier habe ich mir die Seite über eine sichere Umgebung angeschaut und war von der Machart und Fehlerfreiheit positiv überrascht. Auch war ich mir sicher das viele Menschen darauf reinfallen würden. Also, was tun?

Kunden Support der Bank via Chat

Die Bank hatte keine extra Kontaktkategorie zum Melden von Phishing Attacken, also versuchte ich den normalen Chat Support zu verwenden. Die Kommunikation lief in etwa so ab:

Ich: Hallo, ich bin kein Kunde ihrer Bank und habe heute eine eindeutige Phishing SMS erhalten. Kann ich Ihnen die Absender Telefonnummer und Phishing URL zukommen lassen, so dass Sie mit den Informationen die Strafverfolgungsbehörden informieren.
Support: Vielen Dank für Ihre Anfrage. Es gibt derzeit viele Phishing Angriffe, bitte klicken Sie nicht auf den Link und geben Ihre Zugangsdaten dort nicht ein.
Ich: Ja, ich weiss und ich bin ja auch kein Kunde ihrer Bank. Möchten Sie die Daten haben?
Support: Normalerweise bringt das nichts und die Ermittlungen laufen ins Leere.
Ich: Und wie geht es hier weiter?
Support: Wenn Sie auf fremden Seiten ihre Zugangsdaten Preis geben sind wir nicht für den Schaden verantwortlich.
Ich: Ist mir klar. Möchten Sie die Daten haben um Ihre Kunden aktiv zu schützen?
Support: Schön das ich Ihnen helfen konnte. Auf Wiedersehen.

An der Stelle war ich entsetzt und fragte mich, ob alle Banken so agieren.

Bundesnetzagentur

Da die SMS von einer Handynummer kam, wollte ich einen Mißbrauch der Nummer melden, um weitere Phishing Versuche zu unterbinden. Das Formularopen in new window hatte zwar keine Phishing Kategorie, aber ich versuchte mein Glück. Ca. 2 Stunden später erhielt ich eine Mail mit folgendem Inhalt:

Aus Ihrer Sachverhaltsschilderung ist kein von der Bundesnetzagentur zu verfolgender Verstoß zum Rufnummernmissbrauch oder zu unerlaubter Telefonwerbung erkennbar. Unter den konkreten Umständen besteht daher für die Bundesnetzagentur keine Möglichkeit einzuschreiten. (Es ist keine Werbung erkennbar. Phishing oder ein Straftatverdacht ist kein Rufnummernmissbrauch)

Hinweis: Die Bundesnetzagentur ist anders als die Polizei nicht dazu berechtigt, dem Verdacht von Straftaten nachzugehen oder Strafanzeigen entgegen zu nehmen. Unsere Aufgabe ist es vielmehr, gegen Anrufe/Nachrichten vorzugehen, bei denen Verbraucher z. B. mit unerlaubter Werbung belästigt werden.

Online Strafanzeige bei der Polizei

Eine Strafanzeige kann man heutzutage recht einfach online stellen, allerdings gibt es hier eine eindeutige Warnung, daß wenn man jemand einer Straftat bezichtigt und sich das als unwahr herausstellt, können daraus Schadensersatzansprüche resultieren. In dem konkreten Fall ist mir kein Schaden entstanden und ich konnte auch nicht sicher bestimmen, ob hier tatsächlich ein Straftatverdacht vorliegt.

Prüfung des Sachverhalts durch den Hosting Anbieter

Wie an der domain unschwer zu erkennen war, wurde die Applikation bei Google GCP betrieben. Alle großen Public Cloud Anbieter bieten ein sehr unkomplizierte Verfahren um verdächtige Angebote zu melden und gehen diesen Meldungen mit einem dedizierten Team für gewöhnlich super schnell nach.

Um herauszufinden, wo die Phishing Seite betrieben wird, kann man sich der öffentlichen whois Datenbank:

Link

AWS
GCP
Azure

Gewonnene Erkenntnisse

Als Empfänger eines Phishing-Versuchs

  • keine Bank, egal welche, wird jemals via SMS oder Email um Login bitten
  • bei Phishing-Versuchen im Handy die Nummer blockieren
  • niemals den Link aufrufen, auch nicht zum Testen, da dies direkt Sicherheitslücken ausnutzen kann

Als Arbeitgeber

  • Das Unternehmen trägt die Verantwortung, die eigenen Mitarbeiter regelmäßig zu schulen, so dass diese während der Arbeit nicht Opfer solcher Angriffe werden
  • Der Kundensupport muss explizit geschult sein um deratige Meldungen von Kunden und Nicht-Kunden zu behandeln. Alles andere ist fahrlässig.
  • Auf der Webseite ein Formular oder einen email Kontakt anbieten, bei dem verdächtige Aktivtäten gemeldet werden können und zeitnah Feedback liefern, siehe On Promise Cloud - Report Abuse
  • Bereitstellung einer security.txt

über Deutschland

Die verschienden Behörden haben jeweils einen lokalen Fokus und sind offensichtlich nicht vernetzt, um solche Themen übergreifend zu behandeln. Die organisierte Kriminalität nutzt dies aus, indem die einzelnen Themen über verschiedenen Rechtszonen, Länder und Kontinente verteilt werden.

Last Updated: