Cybercrime
01.10.2017, 08:24 Uhr
Wenn Online-Shops Opfer von Phishing-Attacken werden
Über Phishing versuchen Cyber-Kriminelle persönliche Daten wie Passwörter von Shop-Kunden abzugreifen. Doch auch Shop-Betreiber selbst werden zu Opfern solch dreister Attacken.
Von Thomas Hafen
"Letzte Mahnung", "Ihre Bestellung über 3.000 Euro", "Ihr Konto wurde gesperrt" - solch erschreckende E-Mail-Betreffzeilen sollen Online-Shopper in die Falle von Cyber-Kriminellen locken. Ihr Ziel ist immer dasselbe: Der Adressat der Mail soll auf einen in der Nachricht enthaltenen Link klicken, der ihn auf eine mehr oder weniger gut als Online-Shop oder Banking-Portal getarnte betrügerische Webseite leitet. Dort soll er dann seine Login-Daten eingeben, Transaktionen bestätigen oder seine Kreditkarteninformationen verraten.
Oft verstecken sich Trojaner oder andere Schadsoftware auch in den getarnten Anhängen. Diese Schadprogramme senden dann beispielsweise regelmäßig Screenshots des Bildschirms an die Verbrecher, schneiden Tastatureingaben mit oder machen den Computer zum Teil eines Botnetzes, das seinerseits für den Spam-Versand oder das Knacken von Passwörtern verwendet wird.
Trend zum Phising ist ungebrochen
Der Trend zu diesen als Phishing bezeichneten Attacken ist ungebrochen. "Seit Jahren erreichen uns täglich neue Meldungen von Verbrauchern zu Phishing-Versuchen", sagt Tatjana Halm, Referatsleiterin Markt und Recht bei der Verbraucherzentrale Bayern. Waren noch bis vor wenigen Jahren exotische Zeichensätze, krude Übersetzungen und Rechtschreibfehler typische Kennzeichen solcher Betrugsversuche, muss man mittlerweile genauer hinschauen. "Phishing-Mails sind sehr viel professioneller geworden, häufig übernehmen die Kriminellen sogar direkt das Originaldesign des betroffenen Anbieters", beobachtet Christian Funk, Leiter des deutschen Forschungs- und Analyseteams beim Sicherheitsexperten Kaspersky Lab.Selbst die namentliche Ansprache ist keine Seltenheit mehr: "Oft sind Phishing-Mails heute mit vollem Namen adressiert, zum Teil sogar mit der richtigen Postanschrift. Das sieht natürlich gleich viel legitimer aus", sagt Funk.
Die meisten Phishing-Attacken richten sich gegen die Kunden von Banken und Zahlungsdienstleistern. Auf Platz drei der am meisten betroffenen Branchen finden sich Online-Shops. Ihr Anteil an den Unternehmen in Deutschland, in deren Namen Phishing-Mails verschickt wurden, betrug im ersten Halbjahr 2017 über 12 %, wie eine Erhebung von Kaspersky Lab ergab.
Shops selbst geraten ins Visier
Aber nicht nur die Kunden von Webshops geraten zunehmend ins Visier, auch die Shops selbst sind immer häufiger Leidtragende. "Wir hatten in diesem Jahr bereits vier solcher Vorfälle", sagt Björn Blatt, Geschäftsführer beim Hosting-Anbieter Readypartner, der rund 1.300 Online-Shops zu seinen Kunden zählt.
Um an Login-Daten zu gelangen, drohen Phisher zum Beispiel Marketplace-Händlern mit der Sperrung ihre Shops, bieten Sonderkonditionen für neue Shop-Features und verbilligte Versandkontingente beim Logistikpartner an oder locken mit kostenfreien Verkaufsseminaren. Haben die Angreifer den Shop-Mitarbeiter so auf eine gefälschte Seite gelockt und sich die Zugangsdaten zum Shop verschafft, können sie Finanzdaten der Shop-Kunden ergaunern oder die Kundendatenbank für weitere Angriffe plündern. Im schlimmsten Fall übernehmen sie den ganzen Shop, indem sie die Zugangsdaten ändern und so den Shop-Betreiber aus seinem eigenen Shop aussperren.
Datentrennung und Authentifizierung helfen
Es gibt eine ganze Reihe von technischen und organisatorischen Maßnahmen, mit denen Shops sich vor solchen Angriffen schützen können. Wichtig ist beispielsweise, Mitarbeitern nur so viele Rechte wie nötig und so wenige wie möglich einzuräumen. Ein Kundenberater benötigt beispielsweise keinen Zugang zu den Finanzdaten, ebenso wenig wie ein Controller die Kundendatenbank einsehen können muss. So lässt sich der Schaden leichter eindämmen, wenn ein Mitarbeiterzugang kompromittiert wird.
Ein wesentlicher Schritt, den Zugang zu einem Mitarbeiterkonto zu erschweren, ist die Nutzung der Zwei-Faktoren-Authentifizierung. Der Mitarbeiter benötigt dafür neben seinem Passwort einen temporär erzeugten Code, um sich anmelden zu können. Dieser wird über eine App wie beispielsweise den "Google Authenticator" auf seinem Smartphone angezeigt. "Richtig umgesetzt, erhöht die Zwei-Faktoren-Authentifizierung die Sicherheit deutlich", sagt Security-Experte Funk. Zusätzlich lässt sich ein unautorisiertes Eindringen erschweren, indem man nur bestimmte IP-Adressen oder Rechner für den Zugang freischaltet.
Daneben kann eine räumliche Trennung von Online-Systemen und Datenbanken zur Schadensbegrenzung beitragen. "Sensible Daten werden bei uns sofort verschlüsselt auf einem gesonderten, nicht mit dem Internet verbundenen Rechner gespeichert. Selbst unseren Kundenservice-Mitarbeiterinnen und -Mitarbeitern ist es zum Beispiel nicht möglich, Zahlungsdaten zu ändern oder einzusehen", erklärt Ralf Kleber, Countrymanager bei Amazon Deutschland.