Pishermen’s Friend: KI

Phishing

Die Veröffentlichung der privaten Daten von Prominenten sollte uns eine gute Erinnerung an die Vorsätze sein, die wir alle zum Jahreswechsel hatten. Aber nicht das hat mich motiviert diesen Beitrag zu schreiben, sondern einige Phishing-Mails die ich -vermutlich- von Euch bekommen habe. Auch Ihr seid prominent!

Ich, prominent? Von mir will keiner was.

Das ist leider zu kurz gedacht. In nahezu Allem, was durch Eure Mailboxen oder Facebooknachrichten geht, sind auch Informationen über andere dabei – und wenn es nur die Email-Adresse ist. Viele von Euch Lesern betreuen auch Kunden – da gehört der Schutz dieser Daten nicht nur zum Anstand, sondern ist auch fürs Geschäft lebensnotwendig.

Na dann erfährt der Bösewicht eben die Emailadressen der anderen. Was kann er schon damit anstellen?

Na er kann sie schon mal anschreiben! In der Email standen Namen, ging es um Bestellungen, war eine Rechnung enthalten? Alles wunderbare Anknüpfungspunkte für Phishing.

Phishing?

Damit ist -sehr verkürzt- das Ausnehmen von Dummen gemeint.

Ähem, ich? Was will der eigentlich, wenn er mich abgephisht hat?

Am Ende immer Geld. Und dazu braucht der Phisher Zugang zum Computer oder dem Handy. Den hat er wenn er dich dazu bringt, das Du ihm ein Programm installierst. Für den Fernzugriff sozusagen.

Klar, um meine Banking-App zu verwenden!

Das wäre eine Idee – aber das ist eher aufwändig und hinterlässt zu viele Spuren. Leichter ist es die Festplatte zu verschlüsseln um Lösegeld zu erpressen. Es muss aber gar nicht dieser sofortige Super-Gau sein – naheliegend ist, den Computer nach weiteren Email-Adressen und damit neuen potentiellen Opfern auszuspähen. Dazu kann man ein Progrämmchen hinzuinstallieren, was Passwörter von Tastatureingaben mitschreibt. Gern werden gekaperte Computer auch weiter vermietet – gegen Geld.

Wer mietet denn sowas?

Wenn man viele neue Phishing Emails versenden will (sagen wir paar 10000), und das so tun möchte, dass die Spuren nicht nachvollziehbar sind, der braucht viele Computer. Einen Angriff auf große Institutionen macht man besser auch nicht mit dem eigenen Computer. Oder sich Bitcoins berechnen zu lassen…Ist Dein Computer auch manchmal so seltsam beschäftigt, wenn Du gerade nichts dran tust?

Hm ja, weiß nicht. Was muss ich denn tun, um nicht zu den Dummen zu gehören?

Regel 1: Halte all Deine Software aktuell! Auf allen Computern oder Handies! Auch vermeintlich nie ins Internet kommende Computer, wenn da ein Netzwerkkabel dran ist oder es einen USB Anschluss gibt. Wenn die Software diese Update-Kontrolle nicht selber macht (wie moderne Browser oder MS-Office) – kontrolliere es täglich.

Regel 2: Klick niemals unbedacht auf Email-Anhänge sofern Du nicht genau weißt was dann passieren wird. Am besten öffne nur Anhänge wie Bilder oder PDF’s.

Aber das mach ich doch bereits!

Sehr gut. Nun Regel 3: Vertraue auch Emails von Bekannten nicht per se! Sind da neuerdings Anhänge dran? Ist da ein seltsamer Link drin? Frage eventuell zurück. Und nehme die Fragen Deines Computers ernst („Sollen Scripte in diesem Word Dokument ausgeführt werden?“)!

Ist das nicht übertrieben?

Vielleicht, aber es kann viel Ärger ersparen. Zudem werden wir in Zukunft viel mehr sehr richtig gute Fake Mails sehen.

Also gefälschte Emails? Wer schreibt die denn alle?

Ein Computerprogramm, vermutlich sogar auf einem bereits gekaperten Computer. Und es wird sich des neuesten Tricks der Programmierer bedienen: Künstliche Intelligenz.

Boah!

Naja, das klingt etwas dramatisch. Meist meint man damit aber nur „maschinelles Lernen“ und das ist wiederum nur gut gemachte Statistik und Mathematik. Phishing Mails zu machen ist sozusagen das, was man mit KI besonders gut kann: Man entwirft mithilfe der Zusatzinformationen sagen wir 10 Varianten und sendet sie an 10000 Opfer. Die Varianten die besonders gut funktionieren werden dann (automatisiert) weiter entwickelt (das ist der Lerneffekt)…

..und irgendwann ist das Resultat so perfekt, dass auch ich reinfalle.

Genau. Aber wenn Dein Mail-Programm gut gepflegt und aktuell ist, warnt es Dich bestimmt – die gute Seite kennt die Tricks hoffentlich auch.

Na dann, 3 Regeln, das klingt ja überschaubar. Jetzt bin ich sicher.

Regel 4: Wachsam und diszipliniert bleiben, ehrlich bei eigenen Fehlern sein. Computer werden besser neu installiert wenn mal was dubioses passiert ist. Das geht am Besten mit einem Backup, hauptsächlich der Daten. Auf einem Medium, was nicht immer verbunden ist.

Ups, erwischt 🙁

Regel 5: Nicht paranoid werden, wir müssen ja weiterhin unseren Geschäften nachgehen, und wollen das auch unsere Kunden ihre Computer verwenden. Deshalb hilft es jeden Monat 15 Minuten zu investieren, um sich schlau zu machen, was es so alles Neues gibt beim Datenschutz und der Computersicherheit. Und kontrollieren, dass die Mitarbeiter diese Regeln nicht schon wieder vergessen haben. Und über den Fall der Fälle mal nachzudenken…aber das verlangt ja eh die DSGVO.


Es sind natürlich nicht nur diese 5 Regeln, aber es sind einige der wichtigsten. Sorry, wenn dies alles etwas lehrmeisterlich rüberkommt. Aber wir alle hängen am Medium Internet und müssen dafür sorgen, dass es weiter funktioniert. – Bob

15 Gedanken zu „Pishermen’s Friend: KI“

  1. Steffen fragte, warum ich nicht „lange komplizierte Passwörter“ als wichtige Regel mit aufgenommen habe. Ein zu kurzes Passwort ist nicht so gut….aber warum?

    Das Erraten auf den Web-Oberflächen funktioniert meist nirgendwo mehr, da alle besseren Systeme genau aufpassen, wie oft ein Anmeldeversuch scheitert und im Zweifelsfall das Konto oder den Aufrufer einfach ausbremsen oder sperren. So kann man nicht mehr effektiv automatisiert mit Wörterbüchern probieren.

    Ein weiteres Risiko ist ein Einbruch in die Online-Systeme, verbunden mit einem Diebstahl der Datenbank, in dem die Passwörter -typischerweise „gehasht“- stehen. Dann kann ein Bösewicht in Ruhe versuchen Passwörter zu knacken, z.B. durch massives ausprobieren. Aber auch hier gibt es Techniken damit auch ein Passwort „123secret“ nicht mehr so einfach zu finden ist.

    Gute (insbesondere lange) Passwörter sind nach wie vor sinnvoll – aber die im Text genannten Regeln erscheinen mir aktuell viel wichtiger.

  2. Steffen fragte, warum ich nicht „lange komplizierte Passwörter“ als wichtige Regel mit aufgenommen habe. Ein zu kurzes Passwort ist nicht so gut….aber warum?

    Das Erraten auf den Web-Oberflächen funktioniert meist nirgendwo mehr, da alle besseren Systeme genau aufpassen, wie oft ein Anmeldeversuch scheitert und im Zweifelsfall das Konto oder den Aufrufer einfach ausbremsen oder sperren. So kann man nicht mehr effektiv automatisiert mit Wörterbüchern probieren.

    Ein weiteres Risiko ist ein Einbruch in die Online-Systeme, verbunden mit einem Diebstahl der Datenbank, in dem die Passwörter -typischerweise „gehasht“- stehen. Dann kann ein Bösewicht in Ruhe versuchen Passwörter zu knacken, z.B. durch massives ausprobieren. Aber auch hier gibt es Techniken damit auch ein Passwort „123secret“ nicht mehr so einfach zu finden ist.

    Gute (insbesondere lange) Passwörter sind nach wie vor sinnvoll – aber die im Text genannten Regeln erscheinen mir aktuell viel wichtiger.

  3. Steffen fragte, warum ich nicht „lange komplizierte Passwörter“ als wichtige Regel mit aufgenommen habe. Ein zu kurzes Passwort ist nicht so gut….aber warum?

    Das Erraten auf den Web-Oberflächen funktioniert meist nirgendwo mehr, da alle besseren Systeme genau aufpassen, wie oft ein Anmeldeversuch scheitert und im Zweifelsfall das Konto oder den Aufrufer einfach ausbremsen oder sperren. So kann man nicht mehr effektiv automatisiert mit Wörterbüchern probieren.

    Ein weiteres Risiko ist ein Einbruch in die Online-Systeme, verbunden mit einem Diebstahl der Datenbank, in dem die Passwörter -typischerweise „gehasht“- stehen. Dann kann ein Bösewicht in Ruhe versuchen Passwörter zu knacken, z.B. durch massives ausprobieren. Aber auch hier gibt es Techniken damit auch ein Passwort „123secret“ nicht mehr so einfach zu finden ist.

    Gute (insbesondere lange) Passwörter sind nach wie vor sinnvoll – aber die im Text genannten Regeln erscheinen mir aktuell viel wichtiger.

  4. Gerade ging eine schöne Phishing Mail -angeblich vom Support- bei uns ein:

    Phishing angeblich vom Support

    Da fehlt es zwar noch etwas an der Kreativität der KI (oder besser an der des Programmierers). Ich habe in einer geschützten Umgebung mal auf den Link geklickt. Alle getesteten Browser laden das dann erscheinende Windows-Word-Dokument anstandslos runter.

    Screenshot vom Download der Datei

    Nun muss man das nur noch öffnen und die Rückfrage „Sollen Scripts ausgeführt werden?“ mit Ja beantworten. Ausser auf Windows 7 – da kann es sein es kommt keine Rückfrage… Dieses Script installiert dann einen Virus.

    Die Mail wurde von einem „gekaperten“ Mailserver versendet – man kann an dieser Mail und auch an dem Quellcode nicht mehr herausfinden wo diese Informationen herkamen – wir können also nicht sagen wessen Computer oder Mailbox ursprünglich gekapert wurde – einer der mit support@.. kommuniziert, vielleicht auch wir selber.

    Zur Übung nun an Euch die Aufgabe herauszufinden, was alles an der Mail (auf dem Bild oben) unstimmig ist. Ich habe -in meinem aktuellen Thunderbird Mailprogramm- 4 leicht sichtbare Gründe gefunden, warum ich diese Mail nicht öffnen würde. Welche? Eine Flasche Wein für den Ersten!

  5. Gerade ging eine schöne Phishing Mail -angeblich vom Support- bei uns ein:

    Phishing angeblich vom Support

    Da fehlt es zwar noch etwas an der Kreativität der KI (oder besser an der des Programmierers). Ich habe in einer geschützten Umgebung mal auf den Link geklickt. Alle getesteten Browser laden das dann erscheinende Windows-Word-Dokument anstandslos runter.

    Screenshot vom Download der Datei

    Nun muss man das nur noch öffnen und die Rückfrage „Sollen Scripts ausgeführt werden?“ mit Ja beantworten. Ausser auf Windows 7 – da kann es sein es kommt keine Rückfrage… Dieses Script installiert dann einen Virus.

    Die Mail wurde von einem „gekaperten“ Mailserver versendet – man kann an dieser Mail und auch an dem Quellcode nicht mehr herausfinden wo diese Informationen herkamen – wir können also nicht sagen wessen Computer oder Mailbox ursprünglich gekapert wurde – einer der mit support@.. kommuniziert, vielleicht auch wir selber.

    Zur Übung nun an Euch die Aufgabe herauszufinden, was alles an der Mail (auf dem Bild oben) unstimmig ist. Ich habe -in meinem aktuellen Thunderbird Mailprogramm- 4 leicht sichtbare Gründe gefunden, warum ich diese Mail nicht öffnen würde. Welche? Eine Flasche Wein für den Ersten!

  6. Gerade ging eine schöne Phishing Mail -angeblich vom Support- bei uns ein:

    Phishing angeblich vom Support

    Da fehlt es zwar noch etwas an der Kreativität der KI (oder besser an der des Programmierers). Ich habe in einer geschützten Umgebung mal auf den Link geklickt. Alle getesteten Browser laden das dann erscheinende Windows-Word-Dokument anstandslos runter.

    Screenshot vom Download der Datei

    Nun muss man das nur noch öffnen und die Rückfrage „Sollen Scripts ausgeführt werden?“ mit Ja beantworten. Ausser auf Windows 7 – da kann es sein es kommt keine Rückfrage… Dieses Script installiert dann einen Virus.

    Die Mail wurde von einem „gekaperten“ Mailserver versendet – man kann an dieser Mail und auch an dem Quellcode nicht mehr herausfinden wo diese Informationen herkamen – wir können also nicht sagen wessen Computer oder Mailbox ursprünglich gekapert wurde – einer der mit support@.. kommuniziert, vielleicht auch wir selber.

    Zur Übung nun an Euch die Aufgabe herauszufinden, was alles an der Mail (auf dem Bild oben) unstimmig ist. Ich habe -in meinem aktuellen Thunderbird Mailprogramm- 4 leicht sichtbare Gründe gefunden, warum ich diese Mail nicht öffnen würde. Welche? Eine Flasche Wein für den Ersten!

  7. Tja, interessant Bob!
    Heute kam hier auch eine PCG gefälschte Email an. Wurde hier erkannt. Wenn die aber immer besser werden, wie beschrieben?
    Ich hoffe, ich habe meinen MA das Problem gut beschrieben, sodaß sie vorsichtig damit umgehen.
    Absender mit png zu Anfang und deventas hidasa am Ende sind ja eigentlich erkennbar, wenn man genau hinschaut.

  8. Tja, interessant Bob!
    Heute kam hier auch eine PCG gefälschte Email an. Wurde hier erkannt. Wenn die aber immer besser werden, wie beschrieben?
    Ich hoffe, ich habe meinen MA das Problem gut beschrieben, sodaß sie vorsichtig damit umgehen.
    Absender mit png zu Anfang und deventas hidasa am Ende sind ja eigentlich erkennbar, wenn man genau hinschaut.

  9. Tja, interessant Bob!
    Heute kam hier auch eine PCG gefälschte Email an. Wurde hier erkannt. Wenn die aber immer besser werden, wie beschrieben?
    Ich hoffe, ich habe meinen MA das Problem gut beschrieben, sodaß sie vorsichtig damit umgehen.
    Absender mit png zu Anfang und deventas hidasa am Ende sind ja eigentlich erkennbar, wenn man genau hinschaut.

  10. Hi Bob,
    pcgärtner.deventas@hidasa ist mal der offensichtlichste Hinweis
    dass der support von einem iphone sendet, der zweite
    ein Rechnungs-download-link (!) der dritte
    und
    eine Rechnung über einen noch anstehenden Monat der vierte?

    richtig?

    1. Richtig!

      Die Mail wúrde übrigens deshalb so klaglos zugestellt (und nicht schon als Spam aussortiert/markiert), weil sie über einen speziellen „sauberen“ Email-Dienstleister versand wurde. Aber mit den gestohlenen Zugangsdaten der Hisida-Firma. Ich habe den Dienstleister informiert.

  11. Hi Bob,
    pcgärtner.deventas@hidasa ist mal der offensichtlichste Hinweis
    dass der support von einem iphone sendet, der zweite
    ein Rechnungs-download-link (!) der dritte
    und
    eine Rechnung über einen noch anstehenden Monat der vierte?

    richtig?

    1. Richtig!

      Die Mail wúrde übrigens deshalb so klaglos zugestellt (und nicht schon als Spam aussortiert/markiert), weil sie über einen speziellen „sauberen“ Email-Dienstleister versand wurde. Aber mit den gestohlenen Zugangsdaten der Hisida-Firma. Ich habe den Dienstleister informiert.

  12. Hi Bob,
    pcgärtner.deventas@hidasa ist mal der offensichtlichste Hinweis
    dass der support von einem iphone sendet, der zweite
    ein Rechnungs-download-link (!) der dritte
    und
    eine Rechnung über einen noch anstehenden Monat der vierte?

    richtig?

    1. Richtig!

      Die Mail wúrde übrigens deshalb so klaglos zugestellt (und nicht schon als Spam aussortiert/markiert), weil sie über einen speziellen „sauberen“ Email-Dienstleister versand wurde. Aber mit den gestohlenen Zugangsdaten der Hisida-Firma. Ich habe den Dienstleister informiert.

Kommentare sind geschlossen.