Derzeit finden wieder besonders perfide Phishing-Attacken statt – im Visier von Cyberkriminellen dieses Mal: die Internetriesen Ebay und Word Press. Die Betrüger versuchen mit gefälschten E-Mails Anmeldedaten abzugreifen. „Firmenlogos, Layouts und Schriftarten der gefälschten E-Mails sehen täuschend echt aus, sodass sie beim Opfer keinen Verdacht auslösen. Klickt das Opfer jedoch auf den darin enthaltenen, präparierten Link, wird es zu einer gefälschten Login-Seite geführt. Gibt man dort persönliche oder finanzielle Daten ein, landen diese direkt bei den Betrügern. Und dann sind Kontoplünderungen genauso denkbar wie anderweitiger Schaden“, warnt Christian Heutger, CTO der PSW Group (www.psw-group.de).

Phishing-Alarm bei Ebay

Im Falle von Ebay erhalten die Opfer eine Mail, aus der hervorgeht, Kunden hätten den Artikel bezahlt oder wollten eine Rückabwicklung. Nutzer, die den Link klicken, landen jedoch nicht etwa bei Ebay, sondern auf einer gefälschten Anmeldeseite. Das Perfide: Sie liegt unter der Ebay-Domain “ebaydesc.com”. „Zum Teil ist diese Site mit HTTPS und einem gültigen SSL-Zertifikat geladen. Jedoch sendet das auszufüllende Formular die Daten keinesfalls an Ebay, sondern an einen Server. Hier brauchen die Betrüger die Daten nur noch entgegenzunehmen“, informiert der IT-Sicherheitsexperte.

An diesen typischen Merkmalen erkennen Nutzer einen Betrug: – Betreffzeile: Häufig sind die Nachrichten mit Betreffzeilen wie “Ihr Handeln ist erforderlich: Datenschutz-Aktualisierung” oder “Ihre Mithilfe ist erforderlich: Neuer Ebay-Datenschutz” versehen. – Absender: Die E-Mails stammen oft von der Mail-Adresse “Ebay Kundenservice ”. – Inhalt: Im Text der E-Mail wird das Opfer aufgefordert, seine Daten aufgrund von neuen Datenschutzrechten aktuell zu halten. Dafür soll es einen Link anklicken, der zum Verifizierungsprozess führen würde. Es wird noch darauf hingewiesen, dass der Kunde ausgeschlossen wird, falls er mit dieser Prozedur nicht einverstanden sei. Ebay-Kunden müssen und können sich vor dieser neuen Phishing Attacke schützen, wenn sie aufmerksam sind. „Das Wichtigste ist, sich ausschließlich über die Domain “signin.ebay.de” anmelden. Keinesfalls sollte man einen Link aus einer E-Mail anklicken, sondern die Login-Site nur über die Lesezeichen im Web-Browser öffnen“, rät Heutger und ergänzt: „Alle E-Mails, die Ebay tatsächlich versendet hat, finden sich außerdem im Nachrichten-Bereich.“

Wer eine Phishing-Mail erhalten hat oder ein Artikel verdächtig erscheint, sollte es direkt an den Online-Händler melden. Dafür steht die E-Mail-Adresse spoof@eBay.de zur Verfügung. Wer befürchtet, dass seine Daten bereits abgegriffen wurden, sollte umgehend sein Passwort ändern.

Word Press: Phishing durch die Hintertür

In den vergangenen Monaten wurden zudem mehrere hunderte Seiten entdeckt, die auf die Content-Management-Systeme (CMS) Word Press und Joomla setzen. Auf den Sites wurden Ransomware, Redirectors und Backdoors entdeckt, die wiederum auf verschiedene Phishing-Seiten umleiten. „Zustandekommen kann dies durch Schwachstellen in den CMS, die durch Plugins, aber auch Erweiterungen und Themes ausgenutzt werden können“, erklärt Heutger. Er ergänzt: „Kompromittierte Word-Press-Seiten basieren auf den Versionen 4.8.9 bis 5.1.1. Meist sind sie durch SSL-Zertifikate geschützt. Es ist davon auszugehen, dass betroffene Seiten veraltete Plugins oder Themes nutzen oder aber Server-seitig Software enthalten, die die Kompromittierung möglich gemacht hat.“

Auch Word-Press-Phishing können Anwender anhand verschiedener Kriterien erkennen: Zahlen oder andere Seltsamkeiten in der URL der Site weisen auf eine Phishing-Site hin. Auf die Eingabe der persönlichen Daten sollte man verzichten. Zwar werden Phishing-Mails und -Sites immer perfekter, dennoch finden sich viele Rechtschreibfehler in entsprechenden E-Mails oder auf den gefälschten Websites.

Auch bei WordPress-Phishing-Mails ist der Betreff oft auffällig und fordert das Opfer zu einer aktiven Handlung auf. Angreifer verwenden beispielsweise den Betreff “Wordpress database upgrade required!”. „Auf alle Fälle sollte man die Empfänger-Adresse der E-Mail prüfen. Wer beispielsweise mit einer Gmail-Adresse bei WordPress angemeldet ist, die E-Mail jedoch auf eine andere E-Mail-Adresse erhält, muss schon skeptisch sein.“ Wer zudem nicht der alleinige Empfänger der Mail ist, solle diese erst gar nicht öffnen, mahnt Heutger.

Administratoren können zudem aktiv Word-Press-Phishing verhindern und die Betrugsmasche auf ihrem CMS unterbinden. Dazu sollten sie etwa nicht mehr benötigte Verzeichnisse löschen, um Angreifern die Möglichkeit zu nehmen, darin Schadcode oder Phishing-Seiten zu verstecken. Insbesondere sollte das Verzeichnis “/.well-known/” geprüft werden, denn dieses nutzen Angreifer gern, um darin Ransomware oder Phishing-Seiten zu verstecken.

Dieses Verzeichnis dient eigentlich dazu, den Domain-Besitz nachzuweisen. „Websites lassen sich auf verschiedenen Ebenen angreifen – auch auf Server-Ebene. Fast die Hälfte aller Hacks geschehen durch unsichere Server, weshalb auch dieser rundum abgesichert sein muss“, erklärt Heutger und mahnt, Sicherheits-Updates grundsätzlich zügig einspielen, nicht nur von Word Press selbst, sondern auch von PHP, MySQL und Apache/Ngnix

„Anstelle Dateien einfach per FTP auf den Server zu schieben, sollten Administratoren auf SFTP setzen. Das FTP-Passwort lässt sich bei einer unverschlüsselten FTP-Verbindung abhören“, lautet ein weiterer Tipp des IT-Sicherheitsexperten.

Weitere Informationen gibt es unter www.psw-group.de/blog/wordpress-ebay-phishing-attacken-machen-vor-internetriesen-nicht-halt/694.

Dr. Jörg Schröper ist Chefredakteur der LANline.