Cyberkriminalität

Konzepte gegen Spear-Phishing

| Autor / Redakteur: Alan Zeichick* / Peter Schmitz

Phishing oder Spear-Phishing entwickeln sich zu einer wahren Pest und sind für Cyberkriminelle die Methode der Wahl für den Diebstahl von persönlichen Daten und Unternehmensspionage.
Phishing oder Spear-Phishing entwickeln sich zu einer wahren Pest und sind für Cyberkriminelle die Methode der Wahl für den Diebstahl von persönlichen Daten und Unternehmensspionage. (Bild: ©artinspiring - stock.adobe.com)

E-Mail ist ein wichtiger Bestandteil unserer Geschäftskommunikation und damit auch ein zuverlässiges „Liefermedium“ für Cyberkriminelle. Sicherheitstechnik kann gegen gezielte Phishing-Angriffe (Spear-Phishing) nur zum Teil schützen. Menschen sind in der Sicherheitskette aus verschiedenen Gründen die Schwachstelle und wichtigster Ansatzpunkt für Gegenmaßnahmen.

Mit dem gewohnten Ton meldet sich die E-Mail-Software: 15 neue Mitteilungen, eine vom Chef, namentlich adressiert, die nach einer Rückantwort hinsichtlich des neuen Budgets verlangt und einen Anhang mit sich trägt. Ein Klick. Der Beitrag sieht zwar merkwürdig aus, aber der CEO empfiehlt einen Artikel aus einer Zeitschrift. Ein weiterer Klick auf den Link, und der Browser scheint irgendwo anders zu landen, kommt dann aber zu dem Artikel zurück. Sie wurden mit Malware infiziert, ohne es zu bemerken.

Dies ist heute tagtägliche Praxis. Wir alle werden durch bösartige E-Mails getäuscht. Einige sind derart schlecht gemacht, dass wir sie als Spam-Mails erkennen und sofort löschen. Das ist Phishing. Gefährlicher sind E-Mails, die einzelne Mitarbeiter in der Organisation ansprechen und dabei ein legitimes Ansinnen vorgaukeln. Das nennt sich heute Spear-Phishing. Sie stammen vermeintlich von dem wirklichen Vorgesetzten mit einer verfälschten E-Mail-Adresse und enthalten Details Ihres Unternehmens, Ihrer Familie, Ihrer Arbeit oder Ihrer persönlichen Interessen. Sobald Sie reagieren, wird ein weiterer Computer infiziert oder ein anderer Anwender dazu aufgefordert, Namen, Passwörter, Buchungsnummern oder Schlimmeres zu verraten.

Phishing oder Spear-Phishing entwickeln sich zu einer wahren Pest und sind die Lieferanten der Wahl für den Diebstahl von persönlichen Daten und Unternehmensspionage. Sobald ein Anwender auf die Nachricht hereinfällt, ist der eigenen Computer potenziell kompromittiert. Er kann nun verschlüsselt werden und Ziel von Erpressungsversuchen, integriert in ein Botnet oder zum Zwecke des Stehlens weitere Daten.

Phishing ist eine Frage des Vertrauens

„Phishing ist ein Problem, weil die Leute der E-Mail vertrauen“, erklärt Ed Amoroso, CEO von TAG Cyber, einem weltweit tätigen Sicherheitsberater. „Wir lieben E-Mail, und sie ist ein wichtiger Bestandteil unserer Geschäftskommunikation.“ Dem stimmt auch Roark Pollock zu, Senior Vice President von Ziften Technologies: „Phishing ist nach wie vor ein Problem, weil wir ein Problem sind. Menschen sind in der Sicherheitskette aus verschiedenen Gründen die Schwachstelle. Also gewinnt die Ausbildung an Bedeutung. Viele Leute kommen in ihrer beruflichen Umgebung in Situationen, denen sie nicht gewachsen sind, weil Phishing-Attacken immer ausgefeilter werden. Selbst Sicherheitsexperten fallen gelegentlich drauf herein. Wir neigen dazu, Fehler zu machen.“

Das ist insbesondere beim Spear-Phishing der Fall, weil es einfach ist, vielfältige Informationen über das gewählte Opfer zu ermitteln, erklärt John Weinschenk, zuständig für die Security Unit beim Testunternehmen Spirent: „Die Angreifer durchforsten die sozialen Medien. Wenn sie Spear-Phishing-Attacken versenden, sind diese sehr gezielt. Sie stammen vermeintlich von bekannten Personen, weil auch die Header verfälscht sind. Mehr und mehr Attacken beruhen darauf, den Eindruck zu vermitteln, dass die Empfänger diese Person kennen.“

Unternehmensinformationen sind eine weitere Quelle für Spear-Phishing, fügt Kowsik Guruswamy, Chief Technology Officer von Menlo Security hinzu: „Es geht dabei um privilegierte Informationen basierend auf der eigenen Rolle im Unternehmen. Erhalte ich also eine E-Mail von meinem Boss oder dem Finanzvorstand, die gewisse Worte oder Begriffe enthalten, mit denen ausschließlich ich vertraut bin, so ist die Bereitschaft groß, diesen Vertrauen zu schenken. Das ist sehr ausgefeilt und sehr speziell auf bestimmte Personen zugeschnitten. Daher auch der Begriff des Spear-Phishing.“

Den schlimmsten Fall im Blick

Ein Anwender hat auf eine Spear-Phishing E-Mail geklickt oder vielleicht sogar der Finanzvorstand selbst, dessen Laptop Geschäftspläne, Verträge oder Finanzierungsentwürfe enthält? Vielleicht hat sogar der IT-Administrator darauf reagiert, der über vollständige Sicherheitsprivilegien verfügt? Das ist allgemein schlecht. Im schlimmsten Falle sehr schlecht. Was ist der aber der Worst-Case? „Im schlimmsten Falle haben Sie nun Ransomware eingefangen, weil sie sich sehr schnell auswirkt“, erläutert Frank Wiener, Vice President von Wedge Networks. „Der schlimmste Fall ist irgendetwas von der Störung des Geschäftsbetriebes bis hin zum Verlust der gesamten Reputation, die Kunden dazu veranlasst, den Kontakt einzustellen.“

So auch John Weinschenk: „Das Schlimmste, das passieren kann, ist ausführbarer Code, der den eigenen Rechner zukünftig kompromittiert, so dass alles, was auf dem Computer getan wird, als Einfallsvektor dient, um Informationen wie Kreditkartendetails, Passwörter oder Anwendernamen zu stehlen. Das kann bis in die internen Systeme reichen. Wenn ein sicherer Login in die internen Systeme gestartet wird, können auch diese infiziert werden.“ Mike Spanbauer, Vice President des Sicherheitsberaters NSS-Labs, kommentiert: „Es hängt davon ab, wie gut der Schutz der jeweiligen Maschine wirklich ist. Entscheidend ist, ob Sie über die Kontrolle verfügen, um den Ziellink zu unterbrechen oder das was das Paket am anderen Ende zu tun versucht. Wenn diese Attacken Ihre Schutzmechanismen umgehen können, dann ist das Spiel verloren, und Sie sind in den Händen der Hacker.“ Daran können sich unmittelbare Aktionen anschließen oder auch längerfristige Aktivitäten zur Kompromittierung der lokalen Ressourcen, Dokumente oder Daten. Worst-Case ist dann die Löschung aller Daten.

Oder das Entwenden der Daten, wie Scott Scheferman, Consulting-Director bei Cylance, ergänzt. Insbesondere, wenn das Unternehmen ein Windows-Domain-Netzwerk nutzt, das auf Active Directory zur Verwaltung des Netzwerkes beruht. „Im schlimmsten Falle wird das Active Directory selbst kompromittiert. Angreifer können an dieser Stelle vielfältige Dinge unternehmen. Sie können Daten exfiltrieren, persönliche Informationen stehlen und später über andere Verbindungen wie VPN- oder Remote-Connections zurückkehren, ohne dazu Malware zu benötigen. Es ist nur ein kurzer Schritt zu den Schlüsseln für das gesamte Reich.“

„Alles kann dann passieren“, warnt Stefan Lager, Vice President Service von SecureLink, einem europäischen Managed Security Service Provider. „Sie können mit irgendeiner Malware infiziert werden, die alle Ihre Berichte stiehlt, bevor sie veröffentlicht werden, ebenso wie die Daten von Investoren. Diese Malware kann wichtige Daten verschlüsseln, ohne die Möglichkeit zur Restaurierung. Phishing ist heute der am weitesten verbreitete Weg dazu.“

Kann Phishing auf dem E-Mail-Server unterbunden werden?

Phishing und Spear-Phishing wird zumeist über E-Mail geliefert. Es scheint, dass E-Mail-Server wie der Microsoft Exchange Server oder Google Gmail die geeigneten Orte wären, um bösartige Software zu erkennen und zu blockieren. Das ist allerdings nicht einfach, erklärt Roy Abutul, Mitbegründer und CEO von Javelin Networks. „Selbst wenn der E-Mail Gateway-Server gesichert ist, werden schließlich die Hacker einen Weg finden, diesen zu hintergehen. Es gibt buchstäblich keine Technologie, die für sich reklamieren kann, alle E-Mails davon abzuhalten, im eigenen Postfach zu landen.“

Das gilt vor allem, wenn die E-Mail selbst keine maliziösen Anhänge enthält, weil die Endgeräte-Produkte und die Netzwerksicherheit danach suchen können. Aber eine E-Mail, die dazu verleitet, auf eine Website zu gehen und Einwahldaten zu übermitteln, ist nicht einfach zu blockieren.

„Der Grund, warum das Stoppen derartiger Angriffe auf dem E-Mail-Server nicht effizient ist, liegt darin, dass diese Gateways nicht über die vollständige Transparenz verfügen und nach wie vor auf Signatur-basierten Technologien beruhen“, ergänzt Scott Scheferman von Cylance. Es gibt einige jüngere Technologien wie die Isolation und andere Ansätze zur Überwindung des Problems mit den Signaturen. Schließlich enden alle Malware-Attacken auf dem Endgerät.“

Dem stimmt Stefan Lager von SecureLink zu: „Eine gut geschriebene Phishing-E-Mail ist schwer von einer legitimen E-Mail zu unterscheiden. Also kommt es darauf an, die Auswirkungen zu begrenzen, falls jemand auf einen infizierten Link klickt. Zudem wird erforderlich, die entsprechenden Effekte zu erkennen und zu beheben.“ In den vergangenen 20 Jahren ging es bei der IT-Security immer darum herauszufinden, ob der Link, das Attachment oder die besuchte Website gut oder böse waren. „Auch nach zwanzig Jahren“, so Kowsik Guruswamy von Menlo Security, gibt es keine Technologie, die Gut von Böse unterscheiden kann. Deshalb können Angriffe nicht auf dem E-Mail-Server verhindert werden.“

Training ist nicht genug

Es ist klar, dass Endanwender immer wieder dahingehend geschult werden müssen, nicht auf verdächtige Links zu klicken oder nicht vertrauenswürdige Dokumente zu öffnen. Klar ist aber auch, dass sie immer wieder durch neue und ausreichend realistische Attacken getäuscht werden, so Roy Abutbul von Javelin. Das Unternehmen bietet eine Technologie, die die Auswirkungen eines kompromittierten Endgerätes in einem Windows-Domain-Netzwerk durch den Schutz des Active Directory begrenzt.

„Zunächst muss erkannt werden, dass dies eines der größten Problem der Gegenwart ist. Wir müssen davon ausgehen, dass ein Mitarbeiter gehackt wird und auf eine Phishing-Attacke reagiert. Dann allerdings müssen wir entscheiden, was der nächste Schritt ist, als CISO. Wir müssen die internen Netze in einer Weise schützen, die den nächsten Schritt verhindert.“

Auch Frank Wiener von Wedge Networks sieht das Training als unzureichend an. Sein Unternehmen untersucht den Netzwerk-Traffic nach Malware und Phishing-E-Mails „Alle wollen das Verhalten der Anwender verändern, und das ist sicher notwendig. Aber das Wichtigste ist zu verhindern, dass die Bedrohungen in das Unternehmen gelangen und Computer infizieren. Es ist die Netzwerkebene der Sicherheit, auf der wir die Angriffe stoppen können, noch bevor sie in das Unternehmen eindringen.“

Spirent ist mehr auf den Prozess fokussiert. „Unsere Hacking-Gruppe nutzt Phishing, um CISOs zu demonstrieren, welches Risiko für ihr Unternehmen besteht. Ein möglicher Weg ist die andauernde Aufmerksamkeit der Mitarbeiter sicherzustellen. IT-Abteilungen könnten regelmäßig Phishing-E-Mails generieren und an Mitarbeiter versenden, um die Reaktionen zu überprüfen. Dies ist ein fortwährender Prozess.“

Viele Optionen, einschließlich Isolation

Es ist immer ein guter Ratschlag, jemanden mit Erfahrung zu konsultieren: „Es handelt sich letztendlich um ein komplexes Problem. Bei NSS Labs kümmern wir uns darum, für unsere Kunden eine intelligente Wahl zu treffen“, erläutert Mike Spanbauer. „Es sind sichere Lösungen verfügbar, entweder Cloud- oder anwendungsbasiert, für lokalen Schutz oder den Client. Die Optionen sind vielfältig. Es gibt kein Allheilmittel.“

Offensichtlich geht es um einen vielschichtigen Ansatz, so Stefan Lager von SecureLink: „Eine gute E-Mail-Security beseitigt so viel Bedrohungen wie möglich. Der nächste Schritt ist eine gute Protektion der Endgeräte. Die nächste Stufe ist das Training der Endanwender, so dass diese nicht mehr auf alles klicken. Und wenn alle diese Mechanismen versagt haben, dann muss sichergestellt werden, dass der Schaden begrenzt wird, wenn jemand einem speziellen Link gefolgt ist.“

Isolation ist demgegenüber ein einfaches Konzept. Dabei geht es darum, alles öffnen zu können, von der Website bis zum Attachment, allerdings in einer sicheren und Cloud-basierten Umgebung, die keinen Schaden anrichten kann. Und wenn eine Seite nach Anwendereingaben fragt, so warnt die Plattform vor dem Risiko. Guruswamy erklärt: „Das, was an einer Website riskant ist, ist der aktive Code und Content. Anstatt das alte Spiel von Gut und Böse zu spielen, nehmen wir allen aktiven Content und verlagern ihn irgendwo in die Cloud.“

Und weiter: „Kein Code, kein Content erreicht jemals das Endgerät oder den eigenen Browser. Deshalb ist Isolation so besonders, weil zum ersten Mal Sicherheit erreicht wird, ohne zuvor zwischen Gut und Böse unterschieden zu müssen. Dem stimmt auch Ed Amoroso von TAG zu: „Isolation ist ein perfekter Weg sicherzustellen, dass die Angriffe keine Gefahren für die Ressourcen darstellen.“

Ein immerwährendes aber lösbares Problem

Es ist kein Ende in Sicht für Phishing. Und jeden Tag erscheinen neue Typen des Spear-Phishing, die Individuen, Geschäftsleute oder Behördenmitarbeiter täuschen. Es gibt keine einfache Kur und keinen sicheren Weg um sicherzustellen, dass Anwender keine bösartige E-Mail mehr erhalten. Die wichtigste Schutzmaßnahme ist die Aufmerksamkeit entsprechend geschulter Mitarbeiter. Allerdings bieten viele Anbieter Lösungen und Beratung für den Fall, dass der Endanwender oder gar der Geschäftsführer doch einen schädlichen Anhang öffnen.

* Alan Zeichick ist Tech Analyst für Camden Associates.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44756762 / Mitarbeiter-Management)