Suchen

Phishing-Angriffe – Teil 2 Phishing setzt auf den Leichtsinn der Opfer

| Autor / Redakteur: Jelle Wieringa / Peter Schmitz

Die Cyberkriminellen werden immer besser darin, E-Mails zu fälschen und damit Anwender auf manipulierte, vertrauenswürdig wirkende Webseiten zu locken. Dort angekommen gibt das ahnungslose Opfer meist personenbezogene Informationen preis, die die Angreifer zum Identitätsdiebstahl nutzen können.

Firma zum Thema

Beim Phishing nutzen täuschend echt nachgemachte Betrugsmails den Leichtsinn der Opfer gnadenlos aus.
Beim Phishing nutzen täuschend echt nachgemachte Betrugsmails den Leichtsinn der Opfer gnadenlos aus.
(© MicroOne - stock.adobe.com)

Eine aktuelle Untersuchung aus dem Januar 2020 zeigt, dass die E-Mail das wichtigste Kommunikationsmittel, besonders in Deutschland ist. Der Anteil der Bevölkerung in der Bundesrepublik, die das Internet für das Versenden und Empfangen von E-Mails nutzen ist im Jahr 2019 auf 86 Prozent gestiegen. Kein Wunder also, dass gerade das Umfeld von E-Mails Betrüger reizt und Türen öffnet. Heutzutage bietet sie als Trojanisches Pferd ein einfaches Einfallstor, welches jede Art von Dieben anzieht, via Phishing an die Informationen zu gelangen, welche sie für beispielsweise Identitätsdiebstahl benötigen. Ähnlich dem Unternehmensumfeld interessieren sie sich oftmals für Leads.

Ein Cyberkrimineller zu sein, erfordert heute keine ausgefuchsten IT-Skills mehr. Natürlich ist ein Grundverständnis von Nöten. Dennoch befinden wir uns in einer Zeit, in der sich ein potenzieller Cyberkrimineller auf einen höchst professionellen Schwarzmarkt mit zahlreichen Dienstleistungen begibt. Egal, ob Bankingtrojaner, Ransomware oder ganze Botnetze, alles lässt sich im Darknet mieten und steht damit jedermann zur Verfügung.

Wie eine Phishing-Kampagne funktioniert

Bei der Planung einer Phishing-Kampagne stehen die Cyberkriminellen vor einer Vielzahl von Herausforderungen. Das Social Engineering bildet das Herzstück einer guten Phishing-Kampagne: Einfach, unkompliziert und überzeugend schafft es Vertrauen beim Opfer. Es muss darüber hinaus potenzielle Ziele mit einer Reihe von Aktionen erreichen, die sie mit einem Minimum an Aufwand ausführen können. Hand in Hand mit dieser Anforderung ist die Notwendigkeit, die Online-Infrastruktur, die zur Unterstützung der Kampagne verwendet wird, einfach und robust zu halten. Letztlich wird diese Infrastruktur sobald die bösartigen E-Mails der Kampagne in den Posteingang der Benutzer gelangen, einer Überprüfung und einem direkten Angriff durch die Verteidiger ausgesetzt sein.

Außerdem müssen die Cyberkriminellen vorsichtig sein, wenn sie die so genannten beweglichen Teile der Phishing-E-Mail zusammenstellen - die Links, Zielseiten und Anhänge, die es den ahnungslosen Mitarbeitern tatsächlich ermöglichen, die Arbeitsplätze und Netzwerke ihrer eigenen Arbeitgeber zu gefährden. Diese Komponenten müssen nicht nur verlockend, überzeugend und für die Opfer nutzbar, sondern auch so gebaut sein, dass sie einer einfachen Analyse und Zielgruppenansprache durch Sicherheitsunternehmen und ihren Sicherheitsforschern widerstehen. Schließlich soll die Kampagne lange Bestand haben, um so viele Opfer wie möglich zu treffen, bevor Antivirenanwendungen und andere Sicherheitsprogramme und -dienste beginnen, die E-Mails der Kampagne zu blockieren.

Wie eine Phishing-Mail erkannt werden kann

Es gibt verschiedene Signale, sogenannte Red Flags, die Phishing-Mails kennzeichnen:

Bildergalerie

Bildergalerie mit 12 Bildern

1. Die getarnte Rechnung

Ohne Zweifel ist diese Art das häufigste Phishing-Genre in den E-Mails und fügt sich leicht in die Flut von E-Mails ein, mit denen Mitarbeiter in vielen Positionen täglich zu tun haben.

Angestellte, die routinemäßig Bestellungen und Rechnungen bearbeiten, sollten darin geschult werden, zu erkennen, wenn sie irrtümlich aufgefordert werden, auf Links und Anhänge zu klicken, die ihnen in solchen E-Mails präsentiert werden.

2. Die Paketzustellung

Paketzusteller senden heute täglich E-Mails an ihre Kunden. Angreifer versuchen regelmäßig diese Art von B2B-Kommunikation zu nutzen, indem sie Phishing-E-Mails erstellen, die denen ähneln, die von anerkannten Organisationen wie DHL versendet werden.

3. Die Dokument- oder Dateianlieferung / Phishing-Freigabe

Wie im vorherigen Fall existieren von gemeinsam genutzten Sharing-Diensten wie Dropbox zugestellte Dateien. Benutzer, die unüberlegt auf die Links oder Anhänge in scheinbar harmlosen File-Sharing-E-Mails klicken, könnten eine böse Überraschung erleben.

4. Das gefälschte Fax

Mitarbeiter in einem Unternehmen sollten mit dem Erscheinungsbild von E-Mails vertraut sein, die intern von der Fax-Softwarelösung eines Unternehmens generiert werden, damit sie eine Fälschung sofort erkennen können, wenn sie erscheint.

5. Die gefälschte Sprachnachricht

Ebenso müssen die Angestellten einer Organisation legitime Sprachnachrichten-Hinweise erkennen, damit sie eine Täuschung leichter identifizieren können.

6. Die Online-Kontoüberprüfung/Aktualisierung

Wahrscheinlich der Großvater aller Phishing-Genres, dieses ist nach mehr als einem Jahrzehnt intensiver Nutzung durch Cyberkriminelle immer noch weit verbreitet. Allzu viele Mitarbeiter klicken sich immer noch durch bösartige E-Mails, die sie darüber informieren, dass es ein Problem mit einem ihrer Online-Konten (oft ein Online-Banking-Konto) gibt und dass sie ihre Identität überprüfen oder die Informationen über dieses Konto bestätigen müssen, um es aktiviert zu halten.

Bildergalerie

Bildergalerie mit 12 Bildern

7. Der E-Mail-Speicher Limitierungs-Phishing-Angriff

Die meisten Mitarbeiter achten auf den Status ihrer E-Mail-Konten und reagieren auf E-Mails, die sie über Probleme mit diesen Konten informieren.

8. Das E-Mail-Upgrade/-Update

Mitarbeiter in einem Unternehmen sind vermutlich so vertraut mit dem regelmäßigen Zyklus von Software-Updates und -Upgrades, der von der IT-Abteilung vorangetrieben wird, dass viele von ihnen nicht einmal blinzeln werden, wenn sie auf eine solche E-Mail treffen:

Auch hier gilt: Wenn Unternehmen ihren Mitarbeitern zeigen, wie legitime E-Mails ihrer IT-Abteilung oder ihres Helpdesks aussehen, können sie solche Fälschungen erkennen.

9. Der E-Mail-Passwort-Ablauf Phishing-Angriff

Ein weiterer regelmäßiger Zyklus, an den sich Mitarbeiter gewöhnt haben, sind die regelmäßigen Benachrichtigungen, die sie erhalten, wenn ihre E-Mail-Passwörter ablaufen.

Wenn Mitarbeiter eine legitime E-Mail mit Ablaufdatum für Passwörter nicht von einer bösartigen E-Mail unterscheiden können, ist die IT-Abteilung viel beschäftigter als notwendig.

10. Der Phishing-Angriff zur Deaktivierung des E-Mail-Kontos

Trotz des schieren Elends, das die regelmäßige Flut von Büro-E-Mails von so vielen Mitarbeitern verursacht, sind sich die meisten bewusst, dass ihre E-Mail-Konten für ihre Arbeit unerlässlich sind und reagieren mit hoher Wahrscheinlichkeit auf Nachrichten dieser Art:

Bildergalerie

Bildergalerie mit 12 Bildern

PDFs mit eingebetteten Links

Angreifer sind dafür bekannt, Exploits in Anhängen zu verwenden, die über Phishing-E-Mails versendet werden. Es ist jedoch nach wie vor erforderlich, dass die überwiegende Mehrheit der bösartigen Anhänge, von Mitarbeitern geklickt werden müssen. Das werden sie machen und damit ihre Konten oder ihre Workstation gefährden.

Auch wenn IT-Sicherheitsexperten sich wünschen, dass Mitarbeiter von Unternehmen solche Anhänge niemals öffnen, ist die Realität, dass es viele machen. Wenn Organisationen ihre Mitarbeiter geschult haben, die beiden häufigsten bösartigen Anhänge zu erkennen - und sie sind überraschend leicht zu erkennen - kann die Firma einen Großteil des Schadens eindämmen und seine Gefährdung durch gefährdete Benutzerkonten und Ransomware-Ausbrüche drastisch reduzieren.

Die bei weitem häufigsten kritischen Anhänge, sind PDFs mit eingebetteten Links, die auf Webseiten verweisen. Diese verleiten dazu die Zugangsdaten zu ihren Benutzerkonten abzufragen oder den direkten Download von Malware zu starten.

Jede einfache PDF-Datei, die einen eingebetteten Link enthält, auf den Mitarbeiter zum Klicken aufgefordert werden, sollte bis zum Beweis des Gegenteils als bösartig angesehen werden. Die Angestellten müssen geschult werden, um sie als solche zu erkennen beziehungsweise zu behandeln.

Office-Dokumente mit Makro-Warnbildschirmen

Der zweithäufigste bösartige Anhang ist noch einfacher zu erkennen: das Office-Dokument mit eingebettetem Makro. Während die Verwendung von Makros in legitimen Geschäftsdokumenten nicht ungewöhnlich ist, ist es die Verwendung von aufwendigen und hochglanzpolierten Grafiken, beispielsweise mit Markierungen mit Sicherheit. Sie führen teilweise sogar animiert durch den Prozess der Aktivierung von Makros in Office-Dokumenten. Diese Art von Makro-Warnbildschirmen ist ziemlich einzigartig für bösartige Dokumente und stellt ein eindeutiges Zeichen dafür dar, dass etwas nicht stimmt.

Aufbau der menschlichen Firewall

Um zu verstehen, warum der Aufbau einer menschlichen Firewall so effektiv gegen diese Angriffe ist, ist es wichtig zu verstehen, warum Social Engineering überhaupt funktioniert. Diese Angriffe sind darauf ausgerichtet, menschliche Eigenschaften und Interessen zu nutzen, um ihre Ziele zu erreichen. Viele dieser Eigenschaften sind tief verwurzelt und wenn man diese Eigenschaften und Interessen triggert, kann man das menschliche Verhalten steuern. Ein Beispiel für diese Art der Manipulation findet sich im CEO-Fraud. Hier erstellen Angreifer eine E-Mail, die aussieht, als käme sie vom CEO (oder einer anderen Person mit Autorität) und fordern eine Überweisung von jemandem in finanzieller Position in der Organisation. Das Ziel dieser Art von Angriff ist es, dass die betroffenen Mitarbeiter denken, dass die E-Mail von ihrem Chef oder einer anderen Autoritätsperson stammt und dadurch Angst hat, den Job zu verlieren, wenn sie die Aktion nicht ausführen. Sie sollen dadurch eingeschüchtert werden, um nicht auf die Idee zu kommen, die Anweisung in Frage zu stellen. Diese Angriffe in Unternehmen aller Größen sind immer wieder erfolgreich. Da diese Angriffe auf Menschen abzielen und Emotionen gegen diese verwenden. Wenn die Benutzer mit den Informationen geschult werden, wie diese Angriffe gestaltet sind, sind sie in der Lage, diese Angriffe zu identifizieren und entsprechende Vorsichtsmaßnahmen zu ergreifen. Manchmal ist es genauso einfach, die Anfrage mit einem Telefonanruf bestätigen zu lassen oder sie an jemanden in einer Sicherheits- oder Führungsrolle weiter zu melden. Trotz der deutlich gestiegenen Fähigkeit der Mitarbeiter, diese Täuschung zu erkennen, ist es wichtig zu verstehen, dass dies keine anderen technischen Sicherheitskontrollen ersetzt. Um Unternehmen effektiv zu schützen, müssen sie über mehrere Sicherheitsebenen verfügen.

Kein erfolgreiches Phishing ohne Social Engineering

E-Mail-Gateways und Spamfilter reduzieren das schiere Volumen von Phishing-Angriffen. Die bösartigen E-Mails, die die Mitarbeiter dennoch erhalten, überschreiten jedoch immer noch 10-15 Prozent des Volumens. Der Endpunktschutz, der nicht allein auf der Suche nach bekannten Virensignaturen basiert, kann helfen, verdächtige Malware zu erkennen. Teilweise kann diese Software sogar Viren, Trojaner und ähnliches stoppen, beispielsweise wenn jemand versucht, diese auszuführen. Gut gestaltete und getestete Backup-Systeme können außerdem dabei helfen, den Schaden durch Ransomware oder andere Malware-Infektionen zu verringern.

Diese Technologien müssen allesamt eingesetzt werden, doch darf der menschliche Faktor nicht vergessen werden. Er kann durch den Einsatz gut geschriebener, klarer und präziser Richtlinien und Verfahren sowie durch kontinuierliche Schulungen zur Sensibilisierung für Sicherheit seinen Beitrag leisten. Nur dann gelingt es diese menschliche Firewall gegenüber Angriffen aufzubauen und zu härten. Bei der Schulung gibt es einige Dinge zu beachten, wenn sie so erfolgreich wie möglich gestaltet werden soll. Zunächst ist es wichtig zu verstehen, wo diese überhaupt ansetzen müssen, deshalb sollten Mitarbeiter einen Phishing-Basistest durchführen. Dies gibt den Schulungsleitern eine Vorstellung davon, wie anfällig die Mitarbeiter für Phishing-Angriffe sind. Gleichzeitig ist er nützlich, wenn weitere simulierte Phishing-Angriffe in den Unternehmen eingesetzt werden sollen.

Als nächstes werden die Mitarbeiter geschult. Das Training sollte Online und On-Demand sein und nicht nur die Phishing-Sicherheit, sondern auch wichtige Themen wie Passwort-Hygiene, sichere WiFi-Konnektivität und den sensiblen Umgang mit Daten behandeln. In den meisten Fällen sollte jedem, der ein E-Mail-Konto hat, eine detaillierte jährliche Schulung zugewiesen werden, aber es können auch die Mitarbeiter in Betracht gezogen werden, die zwar keine E-Mail-Adresse haben, aber mit PCs arbeiten müssen. Diese Mitarbeiter müssen möglicherweise außerdem wissen und verstehen, wie sie mit den sensiblen Daten des Unternehmens umgehen und ihre Passwörter schützen. Zusätzlich zum jährlichen Training sollten die Schulungsleiter in Betracht ziehen, kleinere Trainingseinheiten, vielleicht drei- bis fünfminütige Videomodule oder Spiele mindestens vierteljährlich an die Mitarbeiter zu schicken.

Drittens sollten Unternehmen zufällig simulierte Phishing-Angriffe durchführen. Diese helfen den Mitarbeitern, das im Training Gelernte so zu üben, dass es sich nicht auf das Netzwerk ihres Unternehmens auswirkt, wenn es scheitert. Es hilft auch, die Mitarbeiter auf verdächtige E-Mails aufmerksam zu machen, ob diese simuliert sind oder nicht. Wenn Unternehmen diese simulierten Angriffe starten, sollte dabei herauskommen, wie gut die Mitarbeiter derzeit in der Erkennung dieser E-Mails sind. Wenn es darüber hinaus viele Mitarbeiter gibt, die sich noch im höheren Klickbereich befinden, also 30 Prozent oder mehr, sollten die Angriffe einfacher gestaltet und Dinge wie falsch geschriebene Wörter und schlechte Grammatik verwendet werden. Dies wird den Mitarbeitern dabei helfen, Vertrauen in sich selbst aufzubauen. Wenn sie bereits ziemlich geschickt sind, kann mit ausgefeilten E-Mails begonnen werden. In jedem Fall ist es wichtig, zufällige E-Mails an zufällige Mitarbeiter zu versenden, und zwar zu beliebigen Zeiten. Dies hält andere Mitarbeiter davon ab, die Kollegen vor einer bestimmten E-Mail zu warnen. Denn dann würde das Testszenario und der erhoffte Lernerfolg ins Leere führen. Diese simulierten Angriffe sollten mindestens einmal im Monat durchgeführt werden, um die Ergebnisse langsam zu verbessern.

Fazit

Phishing ist und bleibt ein aktuelles Thema für Unternehmen und Privatpersonen. Cyberkriminelle bedienen sich mehr und mehr der leichtsinnigen Eigenschaft von Menschen. Dabei wirken Verlustängste zumeist am besten. Auch ausgeübter Druck ist erfolgreich. Geschulte Mitarbeiter können mit ein paar einfachen Informationen bereits eine Vielzahl an Täuschungsversuchen identifizieren und damit Schaden verhindern. Die Investition in eine menschliche Firewall ist damit unumgänglich, wenngleich diese alleine nicht ausreicht, um das Netzwerk ganzheitlich zu schützen. Deshalb sollte zusätzlich in Endpunktsicherheit investiert werden.

In den weiteren Beiträgen der Serie werden wir Beispiele weiterer Phishing-Techniken erläutern und Hinweise geben, wie sich diese Betrugsmaschen erkennen lassen.

Über den Autor: Jelle Wieringa ist Security Awareness Advocate bei KnowBe4.

(ID:46669884)