Haustürkamera als Phishing-Falle

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Anfang März veröffentlichte der E-Mail-Security-Anbieter Inky einen Blog über eine Phishing-Kampagne, die das IoT-System Amazon „Ring“ als Falle nutzte. Das Türklingel-Sicherheitssystem wird normalerweise von Verbrauchern dafür genutzt, um die eigene Haustür via Smartphone zu überwachen. Dieses IoT-System ist nun selbst zu einer möglichen Schwachstelle für seine Nutzer geworden. In einer angeblich vom Anbieter versendeten E-Mail versteckte sich eine Phishing-Kampagne, mit dem Ziel, an die Kreditkarteninformationen und Sozialversicherungsnummer seiner Opfer zu gelangen und diese dann zu missbrauchen.

In der Phishing-E-Mail werden die Betroffenen darüber informiert, dass sie von ihrem Service getrennt werden und ihr Abonnement verlängern müssen. Sie wurden aufgefordert eine HTML-Datei zu öffnen, welche zu einer vom Angreifer gehosteten Website führt, die die Anbieterwebsite nachahmt. Nachdem der Nutzer sich dort angemeldet hat, wird er dazu aufgefordert seine Kreditkarteninformation und Sozialversicherungsnummer anzugeben, um das Abonnement zu erneuern. Danach folgt eine weitere Weiterleitung, diesmal zur echten Website, während die eingegebenen Daten ihren Weg zum Server des Angreifers finden und dieser sich in die geöffnete Session einklinkt.

Wenn diese Schritte erfolgt sind, kann das Opfer nichts mehr unternehmen, um das Entblößen der eigenen Daten rückgängig zu machen. Die zuständigen Behörden und im Falle der Weitergabe der eigenen Kreditkarteninformationen auch die eigene Bank sollten umgehend informiert werden, um den Fall zu melden und den finanziellen Schaden zu begrenzen.

Das IoT-Systeme von Cyberkriminellen kompromittiert werden, ist nicht neu, genauso wenig, dass ihre Rechenkapazitäten für das Versenden von Phishing-E-Mails genutzt werden. Angreifer suchen immer wieder nach neuen Wegen, um an Bankinformationen zu gelangen.

Letztlich können diese Phishing-Versuche jedoch mit etwas Übung und im besten Falle kontinuierlicher Schulungen erkannt werden. Zuerst einmal sind es Rechtschreibfehler, die in einer vermeintlich offiziellen E-Mail, wie von der Bank, oder in diesem Fall von dem Anbieter eines Geräts, sofort auf eine mögliche Phishing-Bedrohung hindeuten. Außerdem sollten Links und HTML-Dateien, die per E-Mail gesendet wurden, nicht zu voreilig geöffnet werden.

#KnowBe4