Suchen

Phishing-Angriffe – Teil 1 Wie der Mensch zur IT-Schwachstelle wird

| Autor / Redakteur: Jelle Wieringa / Peter Schmitz

Die Investitionen in Cybersicherheit steigen bei Unternehmen in den letzten Jahren deutlich an. Dennoch steigt auch die Anzahl der Angriffe auf Organisationen. Der menschliche Faktor in der IT stellt eine nicht zu vernachlässigende Gefahrenquelle dar.

Firmen zum Thema

Phishing, Vishing, Smishing, Social Media Phishing und Deepfakes sind Angriffsformen, mit denen Cyberkriminelle versuchen, den Mensch zum Ziel von Cyberangriffen zu machen.
Phishing, Vishing, Smishing, Social Media Phishing und Deepfakes sind Angriffsformen, mit denen Cyberkriminelle versuchen, den Mensch zum Ziel von Cyberangriffen zu machen.
(© MicroOne - stock.adobe.com)

Die Digitalisierung ist in allen Unternehmen, selbstverständlich auch in Deutschland, angekommen. Eine Studie von Cisco weist für die Bundesrepublik gar keine so schlechte Platzierung aus, immerhin auf Platz sechs konnte sie sich verbessern, nur die USA, die Schweiz, Singapur, die Niederlande und Großbritannien sind noch besser. Notwendig macht die digitale Welt die sich immer schneller drehende digitale Globalisierung. Geschäftsbeziehungen entstehen nun für jedes noch so kleine Unternehmen über Ländergrenzen hinweg praktisch über Nacht. Damit einher geht ein zunehmender Wettbewerbsdruck. Die Konkurrenz steigt, vor allem für erfolgreiche Geschäftsmodelle. Der Kosten-Nutzen-Faktor spielte nie eine so gewaltige Rolle wie in der aktuellen Zeit. Die Kommunikation erfolgt via E-Mail, teilweise Social Media. Telefonate werden über den Computer abgewickelt und alle wichtigen Informationen in Datenpaketen, selbstverständlich auf Servern gespeichert. Doch auch dieses Unternehmensnetzwerk wurde zu klein: Ortsunabhängigkeit ist nun unabdingbar. Laut einer im Jahr 2019 veröffentlichten Studie zum Thema „Digitalisierung der Wirtschaft“, geben 65 Prozent der befragten Unternehmen ab 20 Mitarbeitern aus allen Branchen an, dass IT- und Internet-Organisationen in ihren Markt drängen.

Mit der steigenden Digitalisierung wachsen jedoch die Risiken und Gefahren für das Unternehmensnetzwerk. Es gibt einige Möglichkeiten, um jede Firewall, jedes Anti-Virus-Programm zu umgehen. Der Mensch bleibt Schwachstelle Nummer eins. IoT-Geräte bieten besonders in der Anfangsphase einen guten Angriffsvektor. Die Gesellschaft verbringt immer mehr Zeit im Internet, vor allem auf den sozialen Plattformen. „LinkedIn beliebtestes Phishing-Ziel“, so lautet nur eine von zahlreichen Schlagzeilen zu den Aktivitäten der Cyber-Kriminellen.

Der Mensch wird in beinahe jedem Angriff auf Unternehmen als Einfallstor genutzt. Dabei spielen besonders fünf Methoden eine entscheidende, nicht unbedeutende Rolle zum Unglück der Organisationen. Denn hat der Eindringling erst einmal Zugang auf sensible Daten, so wird dies sehr häufig erst dann bemerkt, wenn es bereits zu spät ist. Auch die Tragweite und Dauer der Attacke auf das Netzwerk ist oftmals unbekannt. Das Ergebnis sind Produktionsausfälle, hohe Kosten für den Neuaufbau der IT und OT sowie gewaltige Imageverluste des Unternehmens bei Stakeholdern und schlussendlich existentielle Ängste. Diese fünf zuvor erwähnten Methoden sind Phishing, Vishing, Smishing, Social Media Phishing und immer gefährlicher, weil sie immer besser werden, auch Deepfakes. Sie alle werden im weiteren Verlauf dieses Artikels erklärt. Zunächst soll ein Fallbeispiel angeführt werden, welches das Ausmaß eines Vorfalls aufzeigt, der mit einem vermeidbaren menschlichen Fehler begann.

Das Beispiel aus dem Dezember 2019 zeigt auf, welche lebensbedrohenden Risiken durch Phishing entstehen können. Mit einem Angriff auf die gesundheitliche Versorgung sind viele Leben gefährdet. Zum Nachteil vieler Krankenhäuser sind gerade sie Ziel von vielen Attacken geworden. Die Absicht ist es zumeist, Lösegelder zu erpressen. Die Gefahr, die von einem solchen Angriff ausgeht, scheint logisch, denn ist ein Mitarbeiter der Klinik einen Moment lang unaufmerksam oder ungeschult in Hinsicht auf Phishing, dringen Cyber-Kriminelle mit Leichtigkeit in das klinikeigene Netz ein. Da viele der verwendeten Geräte mit diesem verbunden sind, ist ein Ausfall die Konsequenz. Neben dem wirtschaftlichen ist der mögliche physische Schaden gegenüber den Patienten enorm. Das Klinikum Fürth wurde Opfer von Social-Engineering, am Ende stellte es die Notfallversorgung ein. Die Klinik trennte die Verbindung zum Internet und verschob unkritische Operationen. Die Patienten vor Ort wurden den Umständen entsprechend gut versorgt. Dieses Beispiel verdeutlicht, wie aus einer harmlosen Phishing-Attacke eine hoch kritische Situation entsteht.

Phishing

Handelt es sich also bei Phishing um eine Angriffsmethode, der keine Firewall, kein Antivirus-Programm gewachsen ist? Es gibt eine einfache Chance, einer Krise aus dem Weg zu gehen. Der Aufbau einer menschlichen Firewall hilft. Doch wie funktioniert Phishing? Grundlegend soll ein Mensch dazu bewegt werden, persönliche Informationen wie Login-Informationen für ein Bankkonto mit den Kriminellen zu teilen. Dies geschieht durch Irreführung. Oftmals erhält der Betroffene eine täuschend echte E-Mail, welche ihn auffordert, sich anzumelden, sei es bei PayPal oder ähnlichem. Die verlinkte Seite wirkt ebenfalls echt, weshalb eine Vielzahl der geschädigten Personen auf diese einfache Masche hereinfällt. Was kaum einer weiß, auch Multi-Faktor-Authentifizierungen lassen sich problemlos durch beispielsweise Man-in-the-Middle-Angriffe umgehen. Der Angreifer bleibt oftmals für unbestimmte Zeit im System.

Smishing

Eine abgewandelte Variante des Phishings ist das Smishing, also SMS-Phishing. Dabei werden SMS verschickt, welche im Grunde genommen dasselbe Ziel haben wie Phishing. Hat der Angreifer erst einmal die Tore geöffnet, kann er über das Telefon beispielsweise in das Firmennetz eindringen. Auch wenn sich Messenger-Apps rasant verbreiten und ihre Nutzung stetig steigt, so lebt die SMS, obwohl schon vielfach tot gesagt weiter. Besonders perfide ist, dass SMS vor allem im Notfall genutzt werden, sprich noch immer eine höhere Glaubwürdigkeit vor allem unter älteren Menschen genießen. Dies liegt unter anderem auch daran, dass nur wenige Werbe SMS verschickt werden.

Vishing

Das Voice-Phishing, also Vishing, ist die persönlichste und gezielteste Variante des Phishings. Das bekannteste Beispiel hierzu ist wohl der Enkeltrick bei welchem einer älteren Person ein Problem des bisher unbekannten Enkels geschildert wird und am Ende Geld überwiesen werden soll. Etwas einfacher ist es jedoch, wenn der Betrug schneller erfolgt. Ein Anruf, auf den ersten Blick aus Nordrhein-Westfalen, kommt doch aus dem Land Guinea. Warum Personen darauf reinfallen ist schlicht einfach, die Vorwahl lautet nicht 0224, sondern +224.

Social-Media-Phishing

Social Media ist ein immer beliebter Kanal für Phishing- und Social Engineering-Angriffe. Die Anzahl der Attacken via sozialer Medien oder über E-Mails, die vorgeben, von einem sozialen Netzwerk versandt worden zu sein, stieg in den letzten Jahren rasant an. Die Art und Weise ist dabei ganz unterschiedlich. Beispielsweise gibt sich ein Angel-Phisher als falscher Kundensupport aus und antwortet auf öffentliche Support-Anfragen, während das Account-Hijacking eine deutlich ausgefeiltere Variante darstellt. Meist stillliegende Accounts werden geknackt und deren Passwort geändert. Dann verschickt der Angreifer bösartige Links an Freunde des Account-Eigentümers.

Deepfakes

Bereits 19,6 Millionen Menschen haben auf Youtube das Video „You Won’t Believe What Obama Says In This Video!“ gesehen. Jedem, der diese Aufnahme aus dem Oval Office im Weißen Haus schaut, ist klar, Obama warnt vor täuschend echten Aufnahmen. Das Perfide daran ist jedoch nicht, was er sagt, sondern, dass zur Hälfte des Clips aufgelöst wird: Hier alarmiert nicht der ehemalige US-Präsident. Ganz im Gegenteil, auch er wurde animiert. Genau das ist ein Deepfake. Es wird der Anschein hergestellt, es spreche tatsächlich die zu sehende Person.

Aufbau der menschlichen Firewall

Um zu verstehen, warum der Aufbau einer menschlichen Firewall so effektiv gegen diese Angriffe ist, ist es wichtig zu verstehen, warum Social Engineering überhaupt funktioniert. Diese Angriffe sind darauf ausgerichtet, menschliche Eigenschaften und Interessen zu nutzen, um ihre Ziele zu erreichen. Viele dieser Eigenschaften sind tief verwurzelt und wenn man diese Eigenschaften und Interessen triggert, kann man das menschliche Verhalten steuern. Ein Beispiel für diese Art der Manipulation findet sich im CEO-Fraud. Hier erstellen Angreifer eine E-Mail, die aussieht, als käme sie vom CEO (oder einer anderen Person mit Autorität) und fordern eine Überweisung von jemandem in finanzieller Position in der Organisation. Das Ziele ist es zu erreichen, dass die betroffenen Mitarbeiter denken, dass die E-Mail von ihrem Chef oder einer anderen Autoritätsperson stammt und dadurch Angst hat, den Job zu verlieren, wenn sie sich nicht daranhalten. Sie sollen dadurch eingeschüchtert werden, um nicht auf die Idee zu kommen, Rückfragen zu stellen und die Aktion durchzuführen, was sie sonst bei einem Mitarbeiter, der auf der gleichen Ebene ist, nicht tun.

In den weiteren Beiträgen der Serie werden wir Beispiele der hier eingeführten Techniken erläutern und Hinweise geben, wie sich die Betrugsmaschen erkennen lassen.

Über den Autor: Jelle Wieringa ist Security Awareness Advocate bei KnowBe4.

(ID:46669812)