Was ist Phishing?
Der Begriff Phishing ist ein Kunstwort, welches sich aus „Password” und „Fishing“ (englisch = Angeln) zusammensetzt. Bei einem Phishing Angriff gibt sich der Angreifer in E-Mails, auf Webseiten, in Social Media oder auch in Kurznachrichten als vertrauenswürdiger Kommunikationspartner aus und versucht, an persönliche Daten des Nutzers zu kommen oder ihn/sie zu einer schädlichen Aktion zu verleiten. Mittlerweile erfolgen Phishing Attacken auch über das Telefon.
Die schädliche Aktion kann ein Identitätsdiebstahl und eine damit einhergehenden Kontoplünderung sein oder es wird Schadsoftware (→ Malware) auf dem Computer des Nutzers installiert. Häufig werden Internetauftritte (Webseiten) von vertrauenswürdigen Firmen nachgeahmt. Dabei wird die Firmenwebseite – oft sind es Banken – so täuschend echt nachgebildet, dass auf den ersten Blick kaum Unterschiede zur echten Website erkennbar sind. Der Kunde wird sodann aufgefordert, sich mit seinen Zugangsdaten in sein Konto einzuloggen und Transaktionsnummern für Online Banking einzugeben. Mit diesen Daten haben die Angreifer Zugriff auf das Konto und können es plündern.
Phishing Nachrichten werden in der Regel über E-Mails oder über Messenger-Dienste (SMS oder Whatsapp) versendet. In diesen Nachrichten soll der Empfänger dazu verleitet werden, auf einen Link zu klicken, der zu einer bestimmte Webseite führt oder aber automatisch beim Klicken ein Schadprogramm ausführt.
Heute sind insbesondere Unternehmen (private und öffentliche) jeder Größe gefährdet, weil häufig ein Großteil der Belegschaft über Firmen-EMail Adressen verfügt und damit Phishing Angriffe systematisch und automatisiert durchgeführt werden können. Phishing Angriffe sind eine Form von Social Engineering.
Arten von Phishing Angriffen
Bei einem Standard Phishing Angriff auf Unternehmen und öffentliche Einrichtungen wirkt das Prinzip “Die Masse macht’s”. Das bedeutet, dass der Phishing-Angriff auf viele oder sogar alle Mitarbeitenden ausgerichtet ist und darauf spekuliert wird, dass mindestens EIN Mitarbeitender der Versuchung nicht widerstehen kann und auf einen Link klickt oder auf einer manipulierten Website vertrauliche Daten eingibt. Wenn das Ziel des Phishing Angriffes ist, im Firmennetzwerk Schadsoftware zu installieren, kann der Schaden schon entstehen, wenn EINE EINZIGE PERSON der Aufforderung Folge leistet.
Die Aufforderung kann als Verlockung gestaltet sein. Es werden dann zum Beispiel kostenlose Gutscheine oder eine kostenlose Teilnahme an einer Verlosung suggeriert. Die Verlockung kann aber auch in der Vermeidung einer unerwünschten Situation bestehen. Vielleicht kennen Sie die “dringende Benachrichtigung”, dass Ihr Paypal Konto gesperrt wurde und eine Entsperrung nur durch SOFORTIGES Einloggen (Klick auf Link plus Eingabe der Nutzerdaten im Konto) möglich ist. Eine weitere Art der Verlockung ist die Verwirrung. Hier wird suggeriert, dass Ihre Bestellung – die Sie natürlich nie getätigt haben – sich auf dem Versandweg befindet. Einem inneren Impuls folgend wollen wir dies schnellstmöglich stornieren und klicken auf den gefährlichen Link.
Spear-Phishing
Wenn ein Phishing Angriff auf eine konkrete, spezifische Person oder Organisation zugeschnitten wird nennt man dies Spear-Phishing (Spear= englisch für Speer, Synonym für “gezielter Angriff”). Dies setzt voraus, dass die Angreifer im Vorwege über das Zielobjekt recherchieren und den Phishing-Angriff damit individualisieren. Je individueller das Angriffsszenario ist, umso plausibler scheint es und und umso schwerer ist es für die Zielperson echte E Mails von Phishing E Mails zu unterscheiden. Im Gegensatz zu Standard Phishing-Angriffen, bei denen es vorrangig darum geht, möglichst viele Zielpersonen zu erreichen, stehen beim Spear-Phishing nur bestimmte Personen oder konkrete Personengruppen (zum Beispiel Abteilungen) im Fokus. Aus vorgenannten Gründen sind insbesondere Firmen von Spear Phishing betroffen.
Die Individualisierung kann darin bestehen, dass Personen in einer E-Mail mit ihrem Namen angesprochen werden. Ebenso ist es möglich, dass in der E Mail suggeriert wird, dass die Nachricht von einer/m KollegIn oder einem Kunden / Lieferanten gesendet wurde. Auch die Inhalte der E-Mail Nachricht sind oft spezifisch auf die Zielgruppe angepasst, während die Nachrichten bei Standard Phishing eher allgemein gehalten sind. Oft werden auch Firmenlogos und kopierte Footer in die Nachrichten integriert, die die Wirkung der Echtheit verstärken sollen.
Stichwort Recherche: Viele Firmen zeigen auf Ihren Firmenwebseiten die Namen und die E-Mail Adressen bestimmter AnsprechpartnerInnen im Unternehmen. Die Namen und die E-Mail Adressen der Geschäftsleitungsmitglieder werden oft publiziert. Wenn der Angreifer erkennen kann, wie die E-Mail Adressen der Firma aufgebaut sind, kann auch über Soziale Netzwerke (insbesondere Xing oder LinkedIn) leicht recherchiert werden. Wenn in diesen Netzwerken über die Eingabe des Firmennamen gefiltert wird, erscheinen die auf diesen Plattformen registrierten MitarbeiterInnen. Und meist ist auch die Abteilung beziehungsweise die Position der Personen leicht erkennbar. Die Namen plus die E-Mail Struktur, so schnell ist eine Empfängerliste für ein Spear-Phishing erstellt. All das macht es den Angreifern leicht und verringert den Rechercheaufwand. Infolgedessen ist es nicht schwer und wenig aufwändig, individualisierte Phishing Attacken zu konfigurieren und zu adressieren. So sind beispielsweise Finanzabteilungen in den Phasen der Steuererklärung oder des Jahresabschlusses beliebte Adressaten von Phishing Betrügern. Dabei werden Spear-Phishing E-Mails mit Mail Anhängen an die Buchhaltungs- /Rechnungswesen MitarbeiterInnen gesendet und dabei den Eindruck erwecken, dass sie von den Firmenchefs oder von den Finanzvorständen gesendet wurden.
Whaling
Wahling ist eine Unterform von Spear Phishing. Whale= englisch Walfang. Der Wal dient hier als Synonym für die Geschäftsleitung oder den Führungsspitze der Unternehmung. Bei solchen Angriffen liegt der Fokus auf spezifischen Aufgaben von Führungskräften. Wenn man bedenkt, dass die leitende Personal in einer Unternehmung üblicherweise sehr weitreichende Rechte in Bezug auf firmenspezifische Daten und umfangreiche Berechtigungen in vom Unternehmen genutzten Software haben, kann der Schaden im Erfolgsfall beträchtlich sein.
CEO-Fraud
Beim CEO-Fraud gibt der Kriminelle vor, der/die GeschäftsführerIn zu sein (CEO = Chief Executive Officer, englisch für das geschäftsführende Vorstandsmitglied und Fraud englisch für Betrug). Er/sie erteilt dann meist per E-Mail den Mitarbeitenden Anweisungen, die diese unverzüglich durchführen sollen. Hier geht es nicht um darum, an Zugangsdaten zu kommen. Hier ist das Ziel, zum Beispiel MitarbeiterInnen in der Buchhaltung zu veranlassen, eine dringende Zahlung sofort zu veranlassen. Kennzeichen von Fraud sind immer, dass es sich um einen angeblich dringenden Vorgang handelt, der mit einer unverzüglichen Zahlungsaufforderung einhergeht.
Clone Phishing
Auch das Clone Phishing ist eine Variante von Spear Phishing. Hier erhält die Zielperson die Kopie (Clone = englisch für Klon) einer Nachricht, die sie bereits erhalten und gelesen hat. In die geklonte Version dieser Nachricht sind entweder böswillige Anhänge oder Links eingefügt. Selbst wenn die Zielperson die ursprüngliche Nachricht mit der gebotenen Vorsicht (→interner Link) behandelt hat, ist das Risikobewusstsein beim “gefühlt” erneuten Öffnen geringer und die Erfolgswahrscheinlichkeit des Clone Phishing Angriffes hoch.
Pharming
Pharming ist eine Wortkombination aus Phishing und Farming (englisch für Ackerbau) und ist eine Weiterentwicklung des klassischen Phishings. Dabei werden die Zielpersonen auf manipulierte Webseiten geleitet, obwohl sie die korrekte URL eingegeben haben. Dazu bedarf es einer Manipulation der DNS Anfragen. Weitere Informationen finden Sie hier.
USB Drop
Das Prinzip des USB Drop basiert auf der Neugier des Menschen. Vielleicht “findet” man einen USB Stick, vielleicht erhalte ich ihn mit der Post. Sofort ist das Interesse geweckt, was wohl drauf ist. In der Vergangenheit hatten Hacker sich dies zunutze gemacht und systematisch infizierte USB Sticks an Mitarbeitende von Firmen “verteilt” und damit Firmennetzwerke infiziert. Allein das Einstöpseln des Sticks reicht schon um Malware zu installieren.
Phishing Methoden
Wie eingangs beschrieben erfolgen Phishing Angriffe über E-Mail, Social Media, Instant Messaging, SMS, infizierte Webseiten und neuerdings auch über das Telefon.
Vishing
Wortkombination aus Voice (englisch für Stimme) und Phishing. Heutzutage nutzen die Kriminellen moderne Voice-over-IP- Systeme und auch das ist dann automatisiert und bei der Zielperson klingelt das ganz normale Telefon (“Hello, this call is from Europol…”).
Link Spoofing
Spoofing = englisch für Manipulation, Verschleiern, Vortäuschen). Hierbei wird eine Website (URL) “maskiert”. Dabei werden einzelne Buchstaben ausgetauscht und darauf spekuliert, dass der Nutzer den Unterschied zur echten Website nicht bemerkt. Ein Beispiel: In einem Link kommt der Buchstabe L (wie Ludwig) vor. Wenn der Angreifer nun eine bösartige Website erstellt und diese in der URL statt des Buchstaben l (hier zur Verdeutlichung klein geschrieben) eine 1 hat, sind die optischen Unterschiede minimal. Hier zur Verdeutlichung l vs 1. Paypal → Paypa1. Andere gern genommene Varianten: 0 vs O (also Null versus Buchstabe O wie Otto. Mit anderen Worten: Man muss auf Ebene bestimmter Buchstaben prüfen, ob es sich um die gewünschte URL handelt oder ob es sich um ein Link Spoofing handelt.
Website Spoofing
Neben den Links können auch ganze Webseiten mittels Flash oder JavaScript so verändert werden, dass sie echt und rechtmäßig erscheinen, also die korrekte URL der Zielperson angezeigt wird, obwohl sie sich tatsächlich auf einer bösartigen Website befindet.
Heimliche und bösartige Umleitungen
In diesen Fällen wurde die Website kompromittiert. Die Angreifer sorgen dafür, dass die Zielperson beim Aufruf der Website mit der Eingabe der korrekten URL auf eine andere Website umgeleitet wird.
Tampering
Beim Tampering verfälschen die Betrüger Daten während der Übertragung. Wenn zum Beispiel im Online-Banking eine Überweisung getätigt wird, wird bei der Manipulation einfach die Bankverbindung des Empfängers geändert.
So schützen Sie sich vor Phishing Angriffen
Phishing Angriffe als Variante von Social Engineering zielen auf die “Schwachstelle Mensch”. Diesem Umstand kann man durch verschiedene Aktivitäten begegnen. Zunächst ist es unverzichtbar, dass die Mitarbeitenden die Risiken kennen und wissen, wie Sie sich zu verhalten haben, was zu tun ist und was auf jeden Fall zu vermeiden ist. Das betrifft sowohl die Vermeidung von Risiken als auch das Verhalten im “Ernstfall”. Und es betrifft alle Ebenen im Unternehmen.
E-Mail Anhänge sollten überprüft werden und bedarfsweise in Quarantäne verschoben werden, bevor sie die Mitarbeitenden erreichen. Das Gleiche gilt für gefährliche Links. Oft tarnen sich gefährliche Links hinter gekürzten Links. Beispiele hierfür sind bit.ly , goo.gl und andere sogenannte Link-Shortener.
Hilfreich kann es sein, wenn ein “Meldesystem” für verdächtige Nachrichten etabliert ist. Hier können und sollen (!) die Mitarbeitenden auffällige E-Mails melden. Das “Meldesystem” kann aus einer spezifischen E-Mail Adresse bestehen, die natürlich allen Mitarbeitenden bekannt gemacht werden muss, zum Beispiel im Intranet. Das ermöglicht der IT-Abteilung, solche Nachrichten abzufangen und die Auslieferung / Zustellung an den Rest der Belegschaft zu verhindern.
Wissen und Kenntnis zum Thema Cyber Sicherheit und Cyber Bedrohungen können durch Schulungen vermittelt werden. Dies ist durch regelmäßige Wiederholungen und Aktualisierungen zu gewährleisten, damit das Wissen “up to date” bleibt.
Wichtig ist auch, dass das Thema Cyber-Bedrohung durch alle Hierarchie-Ebenen als wichtig und relevant verstanden wird und entsprechende Ressourcen für die Schulung und das regelmäßige Auffrischen des Wissens bereitgestellt werden. Das Beispiel Whaling verdeutlicht, dass die Zielgruppe Geschäftsleitung besonders gefährdet ist.
Phishing Simulationen helfen, das Wissen ins Bewusstsein zu rufen. Die Übungen taugen nicht nur als “Brandschutzübung”, sie zeigen auch auf, wie risikobewusst die Belegschaft wirklich ist. Phishing Übungen können flankierend zu den Schulungsmaßnahmen erfolgen und damit einen Vorher-Nachher Vergleich ermöglichen.
Erstellen Sie eine Passwort-Richtlinie, die für die Mitarbeitenden verpflichtend ist. Dazu zählen sichere Passwörter und Automatismen, die eine Aktualisierung von Passwörtern erzwingen. Sie können auch überlegen, einen Passwort Manager in der Unternehmung zu installieren. Dieser löst das Problem, dass sichere Passwörter für eine Vielzahl an Anwendungen eben auch eine Vielzahl an Passwörtern bedeutet. Die Erfahrung zeigt, dass Mitarbeitende diese dann oft auf Papier notieren und unter der Schreibtischunterlage “verstecken”. Das kryptischte Passwort ist nicht sicher, wenn der Zugang dazu so leicht ist. Eine Erhöhung der Sicherheit kann durch eine Zwei-Stufen-Authentifizierung (“2FA”) erreicht werden. Das bedeutet, dass neben der Eingabe von Nutzername und Passwort noch eine zweite, gesonderte Instanz zum Einloggen nötig ist. Das kann über einen Generator wie zum Beispiel den Google Authenticator, über die Zusendung einer SMS an das Smartphone oder die Zusendung einer E-Mail an eine hinterlegte E-Mail Adresse erfolgen.
Zusammenfassung
Die Gefahr durch Phishing Angriffe ist real und relevant. Und zwar für Unternehmen jeder Größe und für öffentliche Einrichtungen sowieso. Die Bedrohungen ändern sich ständig, es ist ein wenig wie mit dem Hasen und dem Igel. Aus diesem Grund muss auch Ihr IT-Sicherheitskonzept ständig aktuell gehalten werden. Die beste Technik beim maschinellen Aufspüren gefährlicher Links, E-Mail Absender und Anhänge allein reichen nicht. Es ist das Zusammenspiel von Hardware, Software, organisatorischen Maßnahmen und Schulung & Training, das maximale Sicherheit ermöglicht.
Weitere Artikel zu Cybersecurity
Was ist eine Phishing Simulation, wie läuft sie ab und was gilt es zu beachten?
Was ist Malware, welche Arten von Malware gibt es und wie läuft die Infektion?