Dieser Beitrag ist auch verfügbar auf: Englisch, Französisch, Spanisch

Warum Dashlane Sie niemals in einer E-Mail nach Anmeldedaten fragen wird (denn so funktioniert Phishing)

Dieser Beitrag ist auch verfügbar auf: Englisch, Französisch, Spanisch
""

Beginnen wir mit einigen intergrundinformationen 

Sie haben bestimmt schon von Phishing gehört, vielleicht sogar von uns. Und alle, die eine aktive E-Mail haben (oder ein Mobiltelefon oder ein Festnetztelefon), waren schon einmal Ziel einer Phishing-Kampagne. Selbst wenn Sie denken, dass Sie es nicht waren: Sie waren es. Denn während unzählige Leute immer wieder versuchen, unvorsichtige Personen zur Preisgabe wichtiger Informationen zu verleiten, arbeiten Sicherheitsteams rund um die Uhr daran, diese Angriffe zu erkennen und zu stoppen. Ein großer Teil dieser Arbeit bleibt unbemerkt:

  • E-Mail-Anbieter ermitteln ständig verdächtige Konten und sperren diese. 
  • Bei Domain-Hosting-Unternehmen gibt es ganze Abteilungen, die sich darum kümmern, dass böswillige Akteure ihre Dienste nicht nutzen (und sie abschalten, wenn sie es tun). 
  • Spam-Filter isolieren verdächtige Nachrichten. 
  • Unternehmen scannen Anhänge und Links, um ihre kritischen Systeme zu schützen.  

Leider sind die Kosten für eine Phishing-Kampagne so niedrig und die potenziellen Gewinne so hoch, dass Phishing ein fester Bestandteil unseres digitalen Lebens ist. Aber einen Schutzmechanismus kann kein Hacker überwinden: Personen, die nicht auf solche Angriffe eingehen. Wenn Sie den Anruf von „Vermutlicher Betrugsversuch“ nicht entgegennehmen, werden Sie kein Opfer von (derlei) Betrug. Sie verhindern, das der Virus auf Ihrem Computer installiert wird, indem Sie ganz einfach nicht auf die E-Mail klicken, die nur einen Link enthält, der Ihnen angeblich von Ihrem ehemaligen WG-Mitbewohner geschickt wurde, mit dem Sie seit drei Jahren nicht mehr gesprochen haben.  

Aber das sind offensichtliche Beispiele – die meisten Phishing-Kampagnen sind ausgefeilter. Zwar richten sich viele davon an Unternehmen (wenn eine Phishing-E-Mail die unternehmenseigene Abwehr überwindet und auch nur ein Angestellter darauf klickt, könnte das gesamte Netzwerk des Unternehmens gefährdet sein), aber einige richten sich auch an Privatpersonen. Häufig handelt es sich dabei angeblich um E-Mails von Unternehmen, in denen die Benutzer aufgefordert werden, „ihre Kontoinformationen zu überprüfen“ oder Ähnliches.  Diese enthalten oft einen Link zu einer Seite, die der Anmeldeseite des Unternehmens, von dem die E-Mail angeblich stammt, sehr ähnlich (oder sogar identisch) ist. Aber das ist nicht der Fall. Es handelt sich um eine Kopie, die darauf abzielt, Sie dazu zu bringen, Ihre Anmeldedaten freiwillig an Kriminelle weiterzugeben, die diese Informationen entweder selbst ausnutzen oder im Dark Web verkaufen – oder beides.  

Dashlane-Nutzer im Visier 

Phishing-Kampagnen konzentrieren sich oft auf „hochwertige“ Ziele. So sind z. B. die Zugangsdaten für eine Bank offensichtlich mehr wert als die für einen Streaming-Dienst.  Offensichtlich sind die Zugangsdaten für einen Passwort-Manager von sehr hohem Wert. Mit einer einzigen Zugangsberechtigung kann ein Angreifer theoretisch auf alle Passwörter einer Zielperson zugreifen. Deshalb verwenden wir (und die meisten Websites, die Zugang zu jeglicher Art von sensiblen Daten gewähren) eine E-Mail-Verifizierung, authentifizierte Geräte und andere Mittel, um sicherzustellen, dass jemand, der Zugang zu einem bestimmten Konto beantragt, dazu berechtigt ist.  Selbst wenn ein Angreifer in den Besitz Ihrer Dashlane ID und Ihres Master-Passworts käme, müsste er auch Zugang zu Ihrem E-Mail-Posteingang haben, um auf die von Ihnen bei uns gespeicherten Informationen zuzugreifen.   

Am Morgen des 5. November 2021 erhielt unser Benutzer-Support Berichte über eine E-Mail, die angeblich „wir“ verschickt hatten und in der Benutzer aufgefordert wurden, ihre Anmeldedaten zu überprüfen, um „die Deaktivierung bestimmter Funktionen zu vermeiden“: 

Screenshot einer fingierten E-Mail, angeblich von Dashlane, in der Benutzer aufgefordert wurden, „ihre Informationen zu verifizieren“.

Dies ist eine ziemlich raffinierte Phishing-E-Mail. Die Leute, die dahinter stecken, haben Grafiken von unserer Website kopiert und den Ton unserer Kundenkommunikation nachgeahmt.  Die Verwendung von „Informations“ auf der Schaltfläche ist so ziemlich die einzige klare rote Flagge in der Nachricht selbst. Hätten Sie auf diese Schaltfläche geklickt, wären Sie – zumindest bis wir diese Versuche aktiv blockierten, die Angreifer frustriert waren und die Leute auf eine Pornoseite umleiteten – auf die folgende Seite weitergeleitet worden, zumindest wenn Sie in Frankreich waren:   

Ein Screenshot der gefälschten Seite, die Hacker erstellt haben, um sich als Dashlane-Website auszugeben.

Auch hier handelt es sich um einen guten Abklatsch unserer eigentlichen Website und ein kurzer Blick auf die URL zeigt, dass sie von einer Adresse stammt, die zumindest mit uns verbunden zu sein scheint: app.auth-dashlane.com.  Aber wir besitzen weder diese Website noch eine der anderen rund ein Dutzend Websites mit dem Wort „Dashlane“, die kurz vor dem Versand dieser E-Mails registriert wurden. Und es gibt keine Möglichkeit für uns, jeden Domänennamen, der „Dashlane“ enthält, zu erwerben oder andere daran zu hindern, dies zu tun. Wir überwachen alle Registrierungen von Domainnamen, die „Dashlane“ enthalten – eine Tatsache, die uns auch auf diese Kampagne aufmerksam gemacht hat. 

Also, wer hat diese E-Mail bekommen?  Bisher haben nur einige Dutzend Dashlane-Nutzer berichtet, dass sie diese oder ähnliche Mitteilungen erhalten haben – und wir haben keinen Hinweis darauf, dass ein Konto kompromittiert wurde.  Das liegt zum Teil daran, dass sie – wie viele Phishing-Kampagnen – mit einer zufälligen Liste von E-Mails begann und nicht mit einer Sammlung bekannter Dashlane-Nutzer.  Es gab keine Sicherheitslücke, die es den Angreifern ermöglichte, an die E-Mails zu gelangen. Stattdessen durchforsteten sie große Listen mit zufälligen Adressen in der Hoffnung, bei Dashlane-Benutzern zu landen. 

Wir haben auch frühzeitig von dem Angriff erfahren und uns sofort an die Domain-Registrierungsstellen, Hosting-Unternehmen und andere Firmen gewandt, deren Dienste die Angreifer genutzt haben, um diese abzuschalten. Aber es gibt Hunderte solcher Dienstleister und wird so zu einer Art „Katz-und-Maus-Spiel“. Deshalb haben wir auch einen Hinweis auf das Ereignis auf unserer Statusseite veröffentlicht und unser Kundensupport-Team informiert, damit die Mitarbeiter alle Dashlane-Nutzer, die sich an uns wenden, beraten können.  Natürlich überprüfen wir weiterhin jeden auftauchenden Fall. Zum Zeitpunkt der Erstellung dieses Artikels scheint der Angriff weitgehend abgeklungen zu sein. Es ist zu hoffen, dass sich die Angreifer irgendwann einem anderen Ziel zuwenden, aber es gibt immer andere Angreifer, die bereit sind, ihre Chance zu nutzen. 

Phishing-Versuche in Schach halten

Wie auch im aktuellen Fall werden wir verdächtige Aktivitäten, die sich auf Dashlane und unsere Nutzer auswirken könnten, weiter beobachten. Darüber hinaus werden wir energische Schritte unternehmen, um jeden Vorfall zu unterbinden, der uns bekannt wird. Wir arbeiten auch weiterhin daran, unseren Service sicherer und widerstandsfähiger zu machen. Aber wenn es um Phishing geht, ist es das Wichtigste, nicht darauf hereinzufallen. Auch wenn die Integrität Ihres Dashlane-, Bank- oder anderen Kontos durch eine 2-Faktor-Authentifizierung oder andere Mittel geschützt ist, wollen Sie den Bösewichten keinerlei Informationen geben.  Nicht umsonst steht in fast jeder E-Mail, die Sie von Ihrer Bank, Ihrem Mobilfunkanbieter und unzähligen anderen Unternehmen erhalten, etwas wie „Wir werden Sie in unseren E-Mails niemals nach Ihrem Passwort oder Ihren Kontodaten fragen“. Der Grund dafür ist einfach: Wenn Sie verhindern wollen, dass Ihre Kunden Opfer von Phishing werden, sollten Sie sich nicht wie Phishing-Betrüger verhalten. Denken Sie also bitte daran:  

Dashlane wird Sie niemals in einer E-Mail nach Ihren Anmeldedaten oder Kontoinformationen fragen. 

Der einzige Ort, an dem Sie jemals Ihr Master-Passwort oder Ihre Anmeldeinformationen eingeben sollten, ist die Anmeldeseite oder der Bildschirm unserer Dienste, zu denen Sie selbst navigiert haben. Als Reaktion auf eine Anfrage Ihrerseits an das Support-Team kann es vorkommen, dass unsere Mitarbeiter nach bestimmten Informationen fragen (z. B. nach einer E-Mail oder den letzten vier Ziffern einer Kreditkarte). Aber bei Dashlane wird Sie niemand jemals nach Ihrem Hauptpasswort fragen.  

Lesen Sie mehr darüber, wie ein Passwort-Manager Ihnen hilft, Phishing zu erkennen.