Was ist Phishing & wie schützt man sich vor Phishing Mails
Gerade gegenüber Unternehmen haben sich Phishing-Angriffe in der Vergangenheit als besonders lohnenswert herausgestellt. Hierbei setzen die Angreifer zunehmend auf E-Mail-Anlagen. Die Opfer – häufig einzelne Mitarbeiter – schöpfen nur sehr selten Verdacht. In Unternehmen ist es schließlich üblich, dass täglich E-Mails eingehen, die über Anhänge in verschiedensten Formaten verfügen, wie beispielsweise *.xls, *.doc, *.pdf.
Hierbei handelt es sich z.B. um angebliche Rechnungen, Kontoauszüge oder Geschäftsbriefe. Sofern der Absender Ihnen unbekannt erscheint oder der Schreibstil in der E-Mail selbst von bisherigen E-Mail-Verkehr abweicht, kann dieser Umstand darauf hindeuten, dass es sich um eine Phishing-Mail handelt. Hinter dem Anhang selbst verbirgt sich zumeist eine getarnte Malware, beispielsweise in Form von Trojanern, die entsprechende Dateneingaben protokollieren und letztlich vom Angreifer eingesehen werden kann.
Insgesamt sind die Angreifer äußerst einfallsreich, wenn es darum geht, die Opfer dazu zu bewegen, die beigefügten Inhalte zu öffnen. So wird seitens der Angreifer z.B. darauf hingewiesen, dass es sich bei der angehängten Datei um eine angebliche „Letzte Mahnung“ handelt, sodass natürlich bei einigen Empfängern ein Level an Stress erzeugt wird. Hier sollten sich Betroffene nicht beirren lassen und zunächst einmal die E-Mail in Ruhe auf mögliche Phishing-Merkmale überprüfen.
Was ist Phishing? Phishing-Angriffe erklären
Arten von Phishing-Angriffen
In seiner Basisdefinition bezeichnet der Begriff Phishing-Angriff häufig einen breit ausgelegten Angriff, der auf eine große Anzahl von Benutzern (oder „Zielpersonen“) abzielt. Dieser Ansatz verfolgt das Prinzip „die Menge macht's“ und bedarf nur minimaler Vorbereitung durch den Angreifer unter der Annahme, dass mindestens einige der Zielpersonen ihm zum Opfer fallen (weshalb sich die minimale Vorbereitung anbietet, auch wenn der erwartete Gewinn für den Angreifer in der Regel nicht groß sein wird).
Phishing-Angriffe erwecken in der Regel die Aufmerksamkeit des Benutzers über eine Nachricht, die mit einem Appell an die Emotionen oder Wünsche eine bestimmte Reaktion hervorrufen soll (normalerweise einem Mausklick). Hier ein paar Beispiele:
„Gewinnen Sie einen Gutschein in Höhe von 50 $ für das Restaurant X“ (Gier)
„Ihre Bestellung wurde genehmigt“ (Verwirrung)
„Ihr Konto wird storniert, wenn Sie sich nicht sofort anmelden“ (Sorge, Dringlichkeit)
Beispiel einer E-Mail eines Phishing-Angriffs:
Wie die Infografik oben zeigt, gibt es viele Möglichkeiten, über die Angreifer versuchen, mithilfe einer einzigen E-Mail an Ihre Informationen zu gelangen. Es gibt jedoch häufig Indikatoren, die Ihnen helfen, zu erkennen, ob es sich um eine rechtmäßige E-Mail handelt.
Im Laufe der Jahre haben Angreifer Phishing-Angriffe weiterentwickelt und Varianten geschaffen, die mehr Vorbereitung seitens des Angreifers erfordern, aber entweder eine höhere Anzahl von Opfern oder eine höhere „Auszahlung“ pro Opfer (oder beides!) ergeben.
Spear-Phishing
Wenn ein Phishing-Angriff auf eine Organisation oder bestimmte Einzelpersonen zugeschnitten wurde, wird er als Spear-Phishing bezeichnet (engl. für Speer). Bei diesen Angriffen geht es darum, im Vorfeld zusätzliche Informationen zu sammeln oder andere Elemente einzubauen – wie beispielsweise Firmenlogos, E-Mail- und Webadressen des Unternehmens oder anderer Unternehmen, mit denen es zusammenarbeitet, sowie ggf. auch professionelle oder persönliche Daten einer Einzelperson – um so authentisch wie möglich zu erscheinen. Der zusätzliche Aufwand des Angreifers zahlt sich in der Regel durch eine hohe Anzahl von Zielpersonen aus, die auf den Trick hereinfallen.
Erfahren Sie mehr über Spear-Phishing-Angriffe.
Whaling
Eine Variante des Spear-Phishing-Angriffs ist das Whaling (Walfang), das auf die oberste Geschäftsleitung oder Unternehmensspitze abzielt. Whaling-Angriffe berücksichtigen in der Regel spezifische Aufgaben dieser Führungskräfte, um sie mit fokussierten Mitteilungen aus der Reserve zu locken. Wenn ein Whaling-Angriff zum Erfolg führt, kann die Beute für den Angreifer mitunter beträchtlich sein (z. B. hochrangige Zugangsdaten zu Firmenkonten, Geschäftsgeheimnisse usw.).
Erfahren Sie mehr über Whaling-Angriffe.
Clone-Phishing
Eine weitere Variante der Spear-Phishing-Angriffe ist das Clone-Phishing. Bei diesem Angriff wird Zielpersonen eine Kopie (ein „Klon“) einer legitimen, bereits erhaltenen Nachricht gezeigt, in der der Angreifer jedoch spezifische Angaben geändert hat, um das Opfer so zu überlisten (z. B. böswillige Anhänge, ungültige URL-Links usw.). Da dieser Angriff auf einer bereits gelesenen, rechtmäßigen Nachricht beruht, kann er die Zielperson sehr effektiv täuschen.
Und mehr
Angreifer suchen nach immer neuen, kreativen Wegen, um ahnungslose Benutzer zu betrügen. Bei einem kürzlichen Phishing-Angriff wurde ein Google-Doc eingesetzt, das der Zielperson per E-Mail von einem ihr bekannten Benutzer zugesandt worden war, aber dann jedoch versuchte, die Google-Zugangsdaten der Zielperson abzurufen und sich gleichzeitig an alle E-Mail-Adressen im Adressbuch der Zielperson zu versenden. Eher passive Angriffsarten wie Pharming bewirken Verluste von gleichem Ausmaß wie Phishing-Angriffe.
Phishing-Methoden
Angreifer verwenden eine Reihe von Mechanismen, um ihre Zielpersonen zu erreichen, einschließlich E-Mail, Social Media, Instant Messaging, SMS und infizierte Websites – einige Angriffe werden sogar per Telefon durchgeführt. Unabhängig von ihrer Durchführung setzen Phishing-Angriffe bestimmte Methoden ein.
Link-Spoofing
Eine häufig verwendete Täuschung ist die Maskierung einer bösartigen URL als authentisch, was die Wahrscheinlichkeit erhöht, dass der Benutzer die kleinen Unterschiede nicht bemerkt und die schadhafte URL anklickt. Während einige dieser manipulierten Links von Zielpersonen, die das Prinzip „Check before they click“ (Vorm Klicken prüfen) befolgen (z. B. authentische URL im Vergleich zur dubiosen leicht als suspekt erkannt werden, können Dinge wie Homegrafie-Angriffe, bei denen ähnlich aussehende Buchstaben vertauscht werden, die Reichweite der visuellen Erkennung mindern.
Website-Spoofing
Es sind nicht nur Links, die Angreifer betrügerisch verändern. Ganze Websites können mit Flash oder JavaScript so verändert werden, dass sie authentisch und rechtmäßig erscheinen, was es dem Angreifer ermöglicht, selbst festzulegen, wie der Zielperson die URL angezeigt wird. Das bedeutet, dass die Website die rechtmäßige URL aufzeigen könnte, auch wenn der Benutzer tatsächlich die bösartige Website besucht. Cross-Site Scripting (XSS) geht in diesem Angriff noch einen Schritt weiter: XSS-Angriffe nutzen die Schwachstellen einer rechtmäßigen Website aus, was es dem Angreifer ermöglicht, die eigentliche Website anzuzeigen (mit der rechtmäßigen URL, den passenden legitimen Sicherheitszertifikaten usw.) und dann im Hintergrund die vom Benutzer eingegebenen Zugangsdaten zu stehlen.
Bösartige und heimliche Umleitungen
Umleitungen geben dem Angreifer Gelegenheit, eine Interaktivität des Browsers des Benutzers mit einer unerwarteten Website zu erzwingen. Bösartige Umleitungen beinhalten in der Regel eine Website, die der betroffene Benutzer normalerweise oder bewusst besucht, über die dann alle Besucher auf eine nicht gewünschte, vom Angreifer gesteuerte Website umgeleitet werden. Das erzielt der Angreifer, indem er eine Website mit ihrem eigenen Umleitungscode versieht oder indem er einen vorhandenen Bug auf der Website entdeckt, der es ihm ermöglicht, eine erzwungene Umleitung über beispielsweise speziell bearbeitete URLs herbeizuführen.
Wie der Begriff besagt, sorgen heimliche Umleitungen dafür, dass der Zielbenutzer nur schwer erkennen kann, dass er mit einer Angreifer-Website in Verbindung steht. Ein geläufiges Szenario einer heimlichen Umleitung wäre es, wenn ein Angreifer eine bestehende Website kompromittiert, indem er einer vorhandenen Schaltfläche „Anmeldung bei Ihrem Social-Media-Konto“ eine neue Aktion hinzufügt, die der Benutzer anklickt, um einen Kommentar zu hinterlassen. Diese neue Aktion erfasst die Zugangsdaten zu den Social Media und sendet sie an die Angreiferwebsite, bevor er zur eigentlichen Social-Media-Website zurückkehrt. Die Zielperson merkt nichts von diesem Umweg.
So vermeiden Sie Phishing-Angriffe
Die folgenden Empfehlungen wurden entwickelt, um Phishing-Angriffe zu verhindern bzw. deren Auswirkungen zu mindern:
Kontinuierliche Benutzerschulungen und Übungen
In dieser Reihe von Whiteboard Wednesday diskutiert der Senior Product Marketing Manager Justin Buchanan, wie Mitarbeiter potenzielle Phishing-Bedrohungen am Arbeitsplatz erkennen können.
Machen Sie aus allen Benutzern (vom Vorstand oder Geschäftsführer abwärts) die besten Ressourcen Ihres Unternehmens im Kampf gegen Phishing-Angriffe. Beteiligung der Benutzer an regelmäßigen Schulungen für die IT-Sicherheit und an Fortbildungen (sowie Umlernen), damit sie erfahren, wie Phishing-Betrugsversuche erkannt und vermieden werden können, die durch regelmäßige, spontane Übungen ergänzt werden, um das Gelernte zu stärken und anzuwenden. Auf diese Weise sorgen Sie dafür, dass die Benutzer über die neuesten Phishing-Angriffe informiert sind und tatsächlich das umsetzen, was gefragt ist, wenn sie einem Angriff ausgesetzt sind.
Filtern verdächtiger Anhänge
Entfernen und setzen Sie eingehende Anhänge, bevor sie Ihre Benutzer erreichen, in Quarantäne, wenn Sie wissen, dass diese zu betrügerischen Zwecken verwendet werden.
Filtern auf bösartige URLs
Setzen Sie Nachrichten in Quarantäne, die bösartige URLs enthalten. Sorgen Sie ebenso dafür, dass Sie gekürzte Links (z. B. bit.ly, goo.gl, usw.) sicher auflösen können, um sich zu vergewissern, dass sie nicht bösartige URLs ergeben.
Zur Umgehung von Filtern senden einige Angreifer eine Phishing-Nachricht, die keinen Fließtext, aber ein großes Bild enthält (hier enthält das Bild selbst Text, der von einiger Filtertechnologie jedoch ignoriert wird). Eine neuere Filtertechnik, die „Zeichenerkennung“ verwendet, kann diese Nachrichten erkennen und filtern.
Förderung guten Verhaltens mit den Zugangsdaten
Verbieten Sie schwache Passwörter. Es werden Passwörter empfohlen, die mindestens 10 Zeichen enthalten, darunter Buchstaben, Zahlen und Symbole.
Fordern Sie die Benutzer zur regelmäßigen Passwortänderung auf.
Wenn Ihre Benutzer derzeit nur eine einzige Authentifizierungsstufe verwenden, überlegen Sie sich, ob Sie eine Zwei-Stufen-Verifizierungs- (2SV) oder Zwei-Faktor-Authentifizierungslösung (2FA, noch besser als 2SV) übernehmen wollen.
Zudem ist es immer sinnvoll, die Benutzer- und Infrastruktursysteme regelmäßig auf Malware zu scannen und diese mit Software-Updates/Patches auf dem neuesten Stand zu halten.
Die Breite der Phishing-Angriffe und Angriffsmethoden mag beunruhigend sein, aber eine geeignete Schulung über Phishing-Angriffe, deren Funktion und potenzielle Schäden für Benutzer und deren Organisation kann dazu beitragen, dass Sie so gut wie möglich vorbereitet sind, um Bedrohungen zu erkennen und diese entsprechend zu mindern.
Achtung, Phishing! 5 Anzeichen für Ihre IT-Sicherheit
Sie erhalten eine neue E-Mail. Worauf achten Sie als erstes?
Schauen Sie sich erstmal den Absendernamen an. Steht dort Amazon, PayPal oder Deutsche Bank, sieht der Absender auf den ersten Blick vertrauenswürdig aus. Aber genau hier ist Vorsicht geboten! Im zweiten Schritt lassen Sie sich am besten die Details des Absenders anzeigen. Somit können Sie seine komplette E-Mail-Adresse sehen.
Hierbei kann Ihnen die Absender-Adresse bereits einiges verraten. Sieht diese ungewöhnlich aus, ist Vorsicht geboten. Dies kann schon das erste Phishing-Anzeichen sein. Vor allem, wenn diese kryptische Zahlen oder exzentrische Buchstabenkombinationen enthält, lassen Sie sofort die Finger davon.
Vielmehr werden von Cyberkriminellen oft Pseudo-Adressen von populären Unternehmen wie Amazon, PayPal oder eBay gewählt. Das soll Vertrauen schaffen. Obendrein sehen diese immer wahrhaftiger aus. Dennoch können hier Nuancen entscheidend sein. Beispielsweise erhalten Sie eine E-Mail vom Absender und eben nicht von Löschen Sie diese E-Mail sofort.
Noch gefährlicher wird es, wenn der Firmenname korrekt geschrieben ist, aber eben die Endung keine gewöhnliche Top-Level-Domain-Endung wie oder .de ist, sondern .icu, .link, etc.. Das sollte Sie zumindest stutzig machen.
Zu guter Letzt und auch wenn es merkwürdig klingt, überprüfen Sie sowohl die Empfänger-E-Mail-Adresse, als auch mögliche CC-Empfänger. Ergibt das Ganze für Sie weiterhin Sinn oder sind Sie und andere Empfänger potenzielle Opfer einer Phishing-Kampagne? Beispielsweise ist eine PayPal-Rechnung in Ihrer Karriere-E-Mail-Firmenadresse wahrscheinlich fehl am Platz.
