Isolation soll Phishing-Attacken abwehren

Neue Methoden gegen Phishing-Angriffe

| Autor / Redakteur: Alexander Bünning / Peter Schmitz

Phishing-Angriffe werden ständig raffinierter, ohne technische Hilfsmittel ist es also nur eine Frage der Zeit, wann der Angriff auf ein Unternehmen erfolgreich ist.
Phishing-Angriffe werden ständig raffinierter, ohne technische Hilfsmittel ist es also nur eine Frage der Zeit, wann der Angriff auf ein Unternehmen erfolgreich ist. (© Natchapon- stock.adobe.com)

Täuschend echt gestaltete Phishing E-Mails sind für Cyberkriminelle kaum mehr ein Problem. Gefälschte Nachrichten von Banken, Mobilfunkunternehmen und Onlinehändler sind die bevorzugten Vehikel für Keylogger-Malware und Ransomware. Immer öfter setzen die Cyber-Gangster aber auch auf vermeintlich echte E-Mails von Behörden wie BSI oder Finanzamt.

Ein nicht enden wollender Strom von mal mehr, mal weniger gut gemachten Aufforderungen, seine persönlichen Daten unter einem mehr oder weniger glaubhaften Vorwand einem vermeintlich integeren Empfänger zur Verfügung zu stellen, legt die Vermutung nahe, dass diese Methode oft genug zum Erfolg führt. Selbst wenn die E-Mail augenscheinlich vom Finanzamt kommt. „…aber in dieser Welt kann nichts als gewiss bezeichnet werden, außer dem Tod und den Steuern.“ Diese nach wie vor glaubhafte Erkenntnis wird Benjamin Franklin zugeschrieben. Aktualisiert und angepasst auf die gegenwärtige Situation in der IT-Security kann dieser Aufzählung ohne Zweifel auch das Phishing hinzugefügt werden.

Ein Blick in die aktuellen Newsletter des Bundesamtes für Sicherheit in der Informationstechnik (BSI) illustriert, wie sich die Landschaft derzeit darstellt. Da geben sich die Cyber-Kriminellen aktuell etwa als das Bundesamt für Steuern aus und versprechen eine Steuerrückerstattung. Eine andere Spam-Welle setzt auf gefälschte O2-Rechnungen. Die E-Mail beinhaltet eine namentliche Anrede sowie eine Kundennummer und fordert den Ausgleich eines Rechnungsbetrages. Die Rechnung kann vorgeblich über einen Download heruntergeladen werden, der allerdings die Ransomware Cryptolocker installiert. Auch die Deutsche Bank warnt derzeit vor Phishing-Mails und vor der Herausgabe von Zugangsdaten.

Die Masche wird vollends zur Perfidität getrieben, wenn Kriminelle sich hinter der Maske einer Behörde verstecken, die sich mit dem Kampf gegen Cyber-Kriminalität beschäftigt. So sind aktuell Spam-Mails im Umlauf, die im Namen des „Nationalen Cyber-Abwehrzentrums“ bösartige Anhänge distribuieren. Ob es der Inbegriff von Zynismus ist, wenn Hacker selbst die Identität des BSI für ihre Zwecke missbrauchen, oder dies gar einen Funken von Ironie enthält, obliegt dem Auge des Betrachters. Tatsache ist, dass das Bundesamt für Sicherheit in der Informationstechnik vor E-Mails mit möglicherweise schädlichen Anhängen warnt, die unter dem Logo der Institution reisen und dazu animieren, eine Anleitung zur Installation eines Anti-Virenprogrammes zu öffnen.

Bezeichnend für die gesamte Landschaft des Internet-basierten Betruges sind die sowohl im privaten als auch im geschäftlichen Bereich inadäquaten Schutzmaßnahmen, die systematische Unterschätzung des tatsächlichen Schadens sowie die offensichtliche Unmöglichkeit, dem Phänomen mit konventionellen Mitteln der Strafverfolgung zu begegnen. Interessant in diesem Zusammenhang sind etwa die Lagebilder des BKA zum Thema Cyber-Crime oder auch das Crime-Threat-Assessment (IOCTA) von Europol.

Tatsächlich liegt eine Schwierigkeit allein darin, den Umfang des Treibens statistisch zu erfassen. Die schiere Zahl der Empfänger von Betrugsversuchen – sprich Phishing-Mails – ist kaum festzustellen, obschon doch jede einzelne als Straftat zu bewerten wäre. Weil die Mehrzahl der erfahrenen Nutzer entsprechende Versuche etwa durch selbst-entlarvende Fehler in der sprachlichen oder grafischen Gestaltung erkennt und die E-Mails einfach löscht, kommt es gar nicht erst zu einer Anzeige oder Meldung bei entsprechenden Institutionen. Darüber hinaus legen Untersuchungen nahe, dass selbst im Falle eines erfolgreichen Betruges die Opfer kaum geneigt sind, diesen auch anzuzeigen – sei es aus firmenpolitischen Gründen, Scham oder dem Bewusstsein, dass Hilfe sowieso kaum zu erlangen ist. Eine Studie des Deutschen Institutes für Wirtschaftsforschung (DIW) (pdf) geht für das Jahr 2015 von 14,7 Millionen Internetstraftaten in Deutschland aus, wobei Phishing den Anteil von 63 Prozent ausmacht. Das Institut kommt zu dem Schluss, dass Privatpersonen pro Jahr ein Schaden von insgesamt 3,4 Milliarden Euro entsteht. Offiziell angezeigt wurden im Jahr 2013 lediglich 64.000 Online-Straftaten.

Recht aufschlussreich ist der Vergleich der Phishing-Attacken mit dem sogenannten Enkel-Trick, bei dem ältere Menschen telefonisch dazu aufgefordert werden, größere Geldsummen an vermeintliche Freunde eines Familienangehörigen in schwieriger Lage zu übergeben. Auch wenn kaum jemand, der sich bei Verstand wähnt, zugeben würde, auf diesen Trick hereinfallen zu können, so geht doch die Schätzung davon aus, dass mit dieser Masche Schäden in Milliardenhöhe verursacht werden. Angetrieben durch den Erfolg, haben die dunklen Communities die zweite Stufe der Umtriebe gezündet: Mit ausgefeilteren Methoden des Social-Engineering attackieren sie nun die Mitarbeiter in Unternehmen, um deutlich größere Summe zu ergattern. So geben sie sich etwa als Vorgesetzte aus internationalen Abteilungen aus, um Überweisungen oder die Herausgabe von Daten zu verlangen. Aktuell warnt das Bundeskriminalamt vor dieser Methode, auch als CEO-Fraud bekannt. Eben diese Tendenz ist auch beim Internet-Betrug zu registrieren. So richtet sich etwa eine aktuelle Phishing-Masche an Vielflieger, denen ein Flugticket vorgegaukelt wird, wobei im Vorfeld die Art der Kommunikation des Unternehmens sowie mögliche plausible Flugziele aufwändig eruiert wurden. Der Klick auf das entsprechende pdf installiert wiederum eine Malware auf dem Firmennetzwerk.

Unternehmen neigen aus vielfältigen Gründen dazu, diese Art von Angriffen nicht zu publizieren, offenbaren sie doch im günstigsten Falle die Leichtfertigkeit einzelner Mitarbeiter, im schlimmsten Falle jedoch die Unfähigkeit des Unternehmens, ihre Kunden vor Betrugsversuchen bei der Abwicklung von Internetgeschäften zu schützen, die oftmals die Basis des Geschäftsmodells bilden. Tatsache ist, dass Phishing-Methoden offensichtlich weltweit Schäden in kaum schätzbarer Höhe verursachen, sowohl bei Privatpersonen als auch in Unternehmen, und dass die Dunkelziffer kaum hoch genug angesetzt werden kann. Aber gibt es eine Lösung des Problems?

Aufschlussreich genug, dass der Weg zur Polizei nur von den wenigsten Betroffenen eingeschlagen wird, fühlen sie sich doch am Ende beschämt darüber, hereingefallen zu sein (dies gilt noch um einiges mehr beim Betrug mittels Social-Media oder Dating-Plattformen). Von einschlägigen Institutionen kommen immer die gleichen Ratschläge, die sowohl für Unternehmen wie auch für Privatpersonen gelten: An erster Stelle steht die Aktualisierung der eingesetzten Software wie Browser oder Anwendungsprogramme auf den neuesten Stand, um Sicherheitslücken zu schließen. Und zum zweiten wird geraten, generelle Sicherheitsregeln beim Surfen oder der Kommunikation via E-Mail etc zu beachten. Die Erfahrung der letzten Jahre zeigt, dass dies nicht der Weisheit letzter Schluss sein kann.

Frage: „Wie zuversichtlich sind Sie, dass Ihre Mitarbeiter riskante Links oder Seiten erkennen können, die zu Ransomware-Attacken führen könnten?“
Frage: „Wie zuversichtlich sind Sie, dass Ihre Mitarbeiter riskante Links oder Seiten erkennen können, die zu Ransomware-Attacken führen könnten?“ (Bild: Ponemon Institute)

Meist liegt das Problem in der Vertrauensseligkeit der Nutzer, die aus Unerfahrenheit oder unter Stress entsprechende Aufforderungen nicht hinreichend hinterfragen. Es zeigt sich, dass verfügbare E-Mail-Security-Software zwar einige der Phishing-Attacken erkennen kann, aber –basierend auf den eigenen Statistiken der Hersteller – kaum in der Lage ist, Schutz vor ausgereiften Angriffen zu bieten. Und es bedarf lediglich einer einzigen erfolgreichen Attacke, um Zugang zu persönlichen Steuer-, Finanz- oder Personaldaten zu erlangen, um die persönliche Reputation einzelner Menschen oder ganzer Geschäftsaktivitäten zu zerstören. Der derzeit praktischste technische Weg, alle E-Mail basierten Phishing-Attacken zu stoppen bevor sie Schaden anrichten, führt meiner Meinung nach über die Isolationstechnologie.

Das Isolieren jedweden Web-Zugangs stellt sicher, dass alle Angriffe auf Basis des E-Mail- oder Spear-Phishing, die vom Anwender den Klick auf einen infizierten Link erfordern, verhindert werden können. Und zwar deswegen, weil bei jedem Klick auf einen Link oder ein Attachment der Web-Zugang nicht direkt erfolgt. Die gewählte Web-Seite wird innerhalb einer isolierten Plattform ausgeführt und lediglich eine sichere, saubere und Malware-freie Ansicht der Seite wird an den Anwender weitergeleitet. Einige Isolationsplattformen können den Diebstahl von persönlichen Daten auch dadurch ausschließen, dass sie Websites lediglich einen Lesestatus zuweisen, ohne dass der Anwender den eigenen Namen, Passwörter oder andere sensible Informationen in ein Formular eintragen kann.

Der Vorzug der Isolation gegenüber herkömmlichen Methoden der Malware-Erkennung etwa durch Anti-Virus-Programme liegt darin, dass sie nicht erst greift, wenn die erste Welle eines neuen Angriffsmusters bereits gelaufen ist. Vielmehr verhindert der Einsatz einer entsprechenden Lösung jedwede direkte Kommunikation mit infizierten Downloads oder Webseiten und schützt entsprechend nicht nur vor sogenannten Zero-Day-Attacken, also dem erstmaligen Auftreten neuer Bedrohungen, sondern auch vor unbeabsichtigten oder unbedarften Klicks, auch wenn der Absender der E-Mail vermeintlich das Finanzamt oder der Steuerberater ist.

Über den Autor: Alexander Bünning ist Regional Manager DACH bei Menlo Security.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44790038 / DDoS und Spam)