Mit Sicherheit ist Ihnen Phishing ein Begriff; sei es aus den Medien, oder aber auch, weil Sie selber ab und an fragwürdige E-Mails erhalten. Das Wort Phishing setzt sich aus «password» und «fishing» zusammen und bezeichnet das Ergaunern von schützenswerten Informationen, wie beispielsweise Anmeldedaten oder das Ausführen einer bestimmten Aktion. Es handelt sich dabei um eine Form von Social Engineering, bei der sich der Angreifer als vertrauenswürdige Firma oder Person ausgibt. Oftmals werden dabei gefälschte E-Mails und/oder betrügerische Webseiten für Phishing-Angriffe verwendet. Kommt Ihnen das bekannt vor? Dann lesen Sie weiter! In diesem Blogbeitrag erklären wir Ihnen das Vorgehen der Angreifer, die unterschiedlichen Attacken, weshalb Phishing so erfolgreich ist und vor allem, wie Sie sich schützen können!
Die Königsdisziplinen des Phishing
Nun wissen Sie, was eine Phishing-Attacke ist – oder vielleicht doch nicht? Denn Angreifer sind clever – sehr clever! Die Cyber-Welt ist enorm dynamisch und so entstehen laufend neue Formen von Attacken. Wir erklären Ihnen die wichtigsten.
Der Klassiker: Massen-Phishing
Die bekannteste Form ist das sogenannte «Massen-Phishing», bei welchem kein spezifisches Angriffsziel besteht. Wahllos werden E-Mails an eine grosse Anzahl Empfänger verschickt in der Hoffnung, potentielle Opfer mithilfe von gefälschten E-Mails auf präparierte Webseiten zu locken und schliesslich dazu zu bringen, sensitive Informationen preiszugeben, beispielsweise Kreditkartennummern oder Passwörter. Daher enthalten solche E-Mails auch keine auf die Empfänger bezogenen Informationen. Häufig werden auch bekannte Marken oder Firmen imitiert. In den letzten Monaten wurden viele solcher Attacken publik – die meisten davon waren leider erfolgreich…
Treffsicher: Spear Phishing
Spear Phishing kann als fortgeschrittene Form des klassischen Phishings betrachtet werden. Der Angreifer gibt sich dabei als Geschäftspartner, Bekannter oder Dienstleister des Opfers aus und erweckt so dessen Vertrauen. Das verfolgte Ziel ist das gleiche – der Empfänger wird aufgefordert, vertrauliche Informationen preiszugeben oder einen infizierten Anhang (z.B. ein Word-Makro) auszuführen. Die Empfänger werden dabei nicht wahllos angeschrieben; der Angriff richtet sich ganz gezielt an eine bestimmte Person oder Unternehmen. Vorgängig werden Informationen gesammelt, zum Beispiel aus sozialen Netzwerken oder der Firmenwebseite, die gezielt genutzt werden. Nicht umsonst wird immer wieder davor gewarnt, zu viele persönliche Informationen im Netz preiszugeben!
Für die grossen Fische: Whaling
Whaling ist eine Unterform von Spear Phishing, bei welchem der Angriff meist auf hohe Führungskräfte, Politiker oder Prominente abzielt. Die Empfänger werden ganz gezielt ausgewählt und mittels stark personalisierten E-Mails bzw. Webseiten getäuscht. Auch hier ist das Ziel, persönliche oder sensitive Informationen des Opfers abzugreifen. Gibt sich der Angreifer als Führungskraft im eigenen Unternehmen aus und versucht sein Opfer zum Transfer eines Geldbetrages auf ein ausländisches Konto zu bringen, spricht man auch von CEO-Fraud.
Auf leisen (Phishing-)Sohlen…
Hacker sind nicht nur clever, sondern auch kreativ. Obwohl E-Mails immer noch sehr beliebt – und leider auch erfolgreich – sind, haben Angreifer erkannt, dass noch mehr Potenzial in Phishing steckt. Daher gibt es inzwischen weit mehr Angriffs-Formen als nur E-Mails. Welche, erfahren Sie hier.
Immer wieder gut: E-Mail
Der Grossteil der Angriffe geschieht immer noch mittels E-Mail. Dabei bedienen sich der Angreifer verschiedener Techniken, um den Empfänger zu täuschen. Das kann beispielsweise mit der Verschleierung des Absenders geschehen, mittels gefälschtem Anzeigename, oder dem Registrieren eines ähnlichen Domainnamens (Typosquatting). Weiter werden präparierte Links verwendet, um das Opfer zu täuschen.
Auf persönlicher Ebene: Smishing
Der Begriff «Smishing» setzt sich zusammen aus SMS und Phishing. Sprich, die Attacke geschieht über eine betrügerische Textnachricht, die versucht, dem Empfänger persönliche Informationen zu entlocken oder das Telefon mit Malware zu infizieren. Der Angreifer kann dabei als Absender auch eine bekannte Telefonnummer aus dem Umfeld des Opfers missbrauchen.
Noch persönlicher: Vishing
Vishing steht für «voice phishing». Durch einen Anruf wird versucht, dem nichtsahnenden Gesprächspartner sensitive Informationen abzuschwatzen oder eine ungewollte Handlung auszuführen.
Die unkonventionelle Art: QR-Phishing
Beim QR-Phishing werden bestehende QR-Codes modifiziert oder gefälschte Codes verschickt, um so auf eine falsche URL leiten zu können. Dadurch können beispielsweise auf mobilen Geräten Downloads gestartet, Scripts ausgeführt oder gefälschte Webseiten angezeigt werden.
Pharming: Phishing mit Schleppnetz
Eine weiterentwickelte Form des klassischen Phishings ist das Pharming. Diese basiert auf einer Manipulation der DNS-Anfragen von Webbrowsern (beispielsweise durch DNS-Spoofing), um den Benutzer auf gefälschte Webseiten umzuleiten. Eine Methode dabei ist auch die lokale Manipulation der Host-Datei. Dabei wird unter Zuhilfenahme eines Trojanischen Pferdes oder eines Virus eine gezielte Mani-pulation des Systems vorgenommen mit der Konsequenz, dass von diesem System gezielt gefälschte Websites angezeigt werden, obwohl die Adresse korrekt eingegeben wurde.
Wieso Phishing so erfolgreich ist
Sie denken, dass Sie sicherlich nicht auf ein Phishing-Mail hereinfallen würden? Unsere Erfahrung aus zahlreichen Phishing-Audits zeigt immer wieder, dass gut präparierte E-Mails erfolgreich sind – oft sogar erfolgreicher als Marketing-Mailings!
Wie bereits erwähnt, handelt es ich bei Phishing um eine Art des Social Engineerings; eine Spionageattacke auf sozialer Ebene. Das Opfer wird mit psychologischen Tricks oder zwischenmenschlicher Inter-aktion so manipuliert, dass es sich zu einer ungewollten Handlung, wie etwa die Preisgabe von sensiti-ven Informationen, bewegen lässt. Für einen erfolgreichen Angriff von zentraler Bedeutung ist der Vertrauensaufbau zum Opfer. Hier hilft es dem Angreifer, möglichst viele Informationen über die Zielperson bzw. das Unternehmen zu sammeln, um diese dann in einem personalisierten Angriff gezielt auszunützen. Das Ausnützen menschlicher «Schwächen», wie beispielsweise das Erwecken von Neu-gierde oder Hilfsbereitschaft, können genügen, damit ein Angriff erfolgreich ist. Diese beiden Faktoren sind allerdings naturgegeben und nur schwer änderbar. Ebenfalls oft verwendet werden finanzielle Anreize oder das Ausüben von Druck durch die Androhung von Konsequenzen, wenn nicht rechtzeitig gehandelt wird. Auch das «Vorspielen» von Autorität ist ein häufig eingesetztes Mittel. Dabei wird das Opfer beispielsweise zu einer Handlung vom vermeintlichen Vorgesetzten aufgefordert.
Die Herausforderung für Hacker ist es, den Kontext und Inhalt so zu gestalten, dass dieser legitim ist – und das ist unter anderem dank Onlinerecherchen einfacher denn je… Unser Wissen und die langjährige Erfahrung zeigen, dass (fast) jede Person dazu gebracht werden kann, einen Link anzuklicken oder sensitive Daten herauszugeben, wenn man sich nur lang genug mit dem «Opfer» beschäftigt.
Die Erfolgsformel für Phishing-Attacken setzt sich somit zusammen aus psychologischen Tricks und dem Einsatz von gezielten Informationen. Technische Vorkehrungen schützen hier leider nur bedingt. Das schwächste Glied in der Sicherheitskette ist und bleibt der Mensch. Gerade weniger technisch versierte Mitarbeitende sind ein grosser Risikofaktor. Umso mehr ist die Sensibilisierung die wichtigste und effektivste Methode, um Ihr Unternehmen vor Phishing-Angriffen zu schützen.
Überprüfen Sie das Sicherheitsbewusstsein Ihrer Mitarbeitenden!
Mittels einer gezielten Überprüfung Ihrer Mitarbeitenden, als einmaliger Audit oder als kontinuierlicher Service, kann InfoGuard das Sicherheitsbewusstsein verifizieren. Dabei kann eine Simulation von Phishing- und Malware-Angriffen anhand vordefinierten oder individuellen Szenarien getestet und detailliert ausgewertet werden. Die Erfassung des Awareness-Niveaus ist aber nur eine Seite der Me-daille. Noch wichtiger ist es, allfällige Wissenslücken der Mitarbeitenden zu schliessen. Deshalb soll das Ziel sein, Fehlverhalten zu erkennen und unmittelbar zu korrigieren.
Um Phishing-Angriffe wirkungsvoll bekämpfen zu können, müssen sich Ihre Mitarbeitenden der Bedrohung bewusst sein. Das heisst sie sollten Phishing-Angriffe erkennen können und wissen, mit wel-chen Social Engineering-Methoden sie ausgetrickst werden könnten. Unternehmen sollten daher ihre Mitarbeitenden gezielt darauf sensibilisieren und gut überlegen, welche Informationen sie im Internet veröffentlichen. In einem früheren Blogbeitrag haben wir für Sie die wichtigsten Verhaltensregeln im Umgang mit E-Mails und Social Media zusammengefasst. Ausserdem haben wir für Sie eine kostenlose Checkliste mit 15 praktischen Tipps zum Schutz vor Social Engineering zusammengestellt. Hier geht's zum Download!
Ein wirkungsvoller Informationsschutz steht und fällt mit der aktiven Unterstützung Ihrer Mitarbeitenden – inklusive dem Management! Durch geeignete Security Awareness-Massnahmen können sowohl das erforderliche Grundwissen vermittelt und die Sensibilität der Mitarbeitenden für Informationssicherheit erhöht, als auch Einstellungen und Verhaltensweisen nachhaltig verändert werden.
Mehr Informationen rund um Security Awareness, Phising, Social Engineering & Co. sowie ein Quiz, um Ihr neues Wissen zu testen, finden Sie übrigens auf unserer Webseite «Know-how Security Awareness»!
