Phishing ist der Versuch, sensible Daten zu stehlen, indem man eine Person dazu bringt, Passwörter oder Kreditkartendaten preiszugeben oder einen Computervirus herunterzuladen. In einem besonders unglücklichen Szenario kann Phishing zu einem dreifachen Verlust führen, da die Opfer ihre Daten, ihr Geld und möglicherweise den Zugriff auf Geräte und Anwendungen verlieren.
Der Begriff „Phishing“ kommt von „Passwort“ und „Fishing“ (Angeln). Phishing kann viele Formen annehmen: Sie können betrügerische E-Mails erhalten, die täuschend echt aussehen, oder einen Anruf von jemandem, der versucht, sich als jemand anderes auszugeben. Diese letztere Form wird „Vishing“ („Voice“ + „Phishing“) genannt. Und es gibt auch Spear-Phishing, das Kronjuwel der Cyberkriminellen. Dabei werden Informationen über eine Person oder Organisation verwendet, um sehr authentisch aussehende E-Mails zu erstellen.
Phishing-Präventionsmaßnahmen
Phishing-Angriffe sind laut IBM X-Force die häufigste Ursache für eine böswillige Verletzung der Sicherheit. Trotz vieler Bemühungen ist es immer noch ein Haupteinfallstor, um RATS (Remote Access Trojans), andere Malware oder schadhafte Links an Empfänger zu senden.
Organisationen müssen wachsam und aufmerksam sein. Aber was genau können Unternehmen tun, um nicht in die allgegenwärtigen Phisher-Fallen zu tappen?
1. Schulen Sie Ihre Mitarbeiter, um ihre Anti-Phishing-Fähigkeiten zu verbessern
Übung macht den Meister. Sie können ein Unternehmen oder einen Sicherheitsberater beauftragen, um Ihren Mitarbeitern eine Sicherheitsschulung zu geben. Eine günstige Option für diejenigen ohne IT-Schulungsbudgets wäre ein kostenloser Online-Phishing-Test. Viele IT-Unternehmen und Universitäten, die IT-Studiengänge anbieten machen Phishing-Tests einem breiteren Publikum zugänglich.
Wie können Ihnen solche Online-Tests helfen, Phishing-Kenntnisse zu erwerben?
Sie lernen, indem Sie ein Quiz machen, um zu entscheiden, ob eine E-Mail (z. B. eine Konto-Zugriffsanfrage von einer App) legitim oder ein Phishing-Versuch ist. Sie haben die Möglichkeit, mit der Maus über die E-Mail-Adresse des Absenders und des Empfängers, die URLs und andere Elemente zu fahren, um die Daten zu analysieren. Dann entscheiden Sie, ob es sich um korrekte, legitime Nachrichten handelt oder ob es sich um komplizierte Phishing-Versuche mit ähnlich aussehenden URLs handelt (z. B. eine gefälschte Anmeldeseite).
Wenn Sie falsch geraten haben, können Sie sich erklären lassen, was die untersuchte E-Mail als Phishing-Nachricht kennzeichnet.
Das Erkennen einer Bedrohung ist ein erster nützlicher Schritt. Was tun Sie mit diesem Wissen? Es reicht nicht aus, den Phishing-Versuch zu löschen. Sie können mehr tun…
2. Analysieren Sie Phishing-Versuche, um sie zu verhindern
Header-Analyse: MX Toolbox
In den meisten Fällen werden Sie feststellen, dass bereits die E-Mail-Adresse des Absenders seltsam aussieht. Sie ist nicht einmal annähernd eine legitime Adresse, die ein Unternehmen verwenden würde.
Außerdem müssen wir den Header analysieren. Er liefert wertvolle Details über den Ursprung der E-Mail.
Die genauen Schritte hängen von der E-Mail-Anwendung ab, die Sie verwenden. In Gmail können Sie beispielsweise auf die drei Punkte in der oberen rechten Ecke klicken und dann auf „Original anzeigen“. Sobald sich Ihre E-Mail in einem neuen Fenster öffnet, können Sie versuchen, die Fülle der Rohdaten zu verstehen.
Um unsere Analyse zu erleichtern, können wir ein kostenloses Online-Tool verwenden, das für die E-Mail-Analyse sehr praktisch ist: MX Toolbox, insbesondere das Tool namens „Analyze Headers“. Sie finden es auf der Homepage der Website als die äußerste rechte Option. Sie müssen lediglich den vollständigen Header in das leere Fenster kopieren und einfügen, damit das Tool die Daten in besser lesbare Felder unterteilt.
Wir müssen zwei Arten von Ergebnissen unter der Überschrift x-dmarc-info überprüfen:
- SPF (Sender Policy Framework)
- DKIM (Domain Keys Identified Mails)
Wenn beide Einträge im Header als fehlgeschlagen angezeigt werden, ist die Wahrscheinlichkeit groß, dass es sich um einen Phishing-Versuch handelt. Das bedeutet, dass ein Angreifer versucht, eine bekannte Ressource nachzuahmen, aber seine IP-Adresse die Prüfungen nicht bestanden hat.
Weitere Einzelheiten finden Sie in Kapitel 3 von Sam Grubbs „How cybersecurity really works“.
URL-Analyse: VirusTotal und Joe Sandbox
VirusTotal
Sobald Sie die Header analysiert haben, ist es an der Zeit, die URL selbst zu überprüfen. Um festzustellen, ob sie bösartig ist, können wir das Tool VirusTotal verwenden. Wenn eine der Antiviren-Engines des Tools sie als schadhaft kennzeichnet, ist es ziemlich sicher, dass Ihr Link bösartig ist. Aber wir als Cybersicherheitsexperten wollen unsere Neugier befriedigen: Was würde passieren, wenn wir auf den verdächtigen Link klicken würden? Ein weiteres Tool kommt uns zu Hilfe.
Joe Sandbox
Mit diesem Tool können Sie simulierte Computer verwenden, die wie physische Maschinen fungieren. Diese sind unabdingbar für das Testen von Malware, da Ihre echte Maschine isoliert und vollständig vor dem Cyber-Ärgernis geschützt bleibt.
Sobald Sie ein Konto bei Joe Sandbox erstellt haben, können Sie Ihren Link einfach in die Sandbox kopieren und einfügen. Es ist wichtig, dass Sie keine persönlichen Daten übermitteln, da die Ergebnisse öffentlich gemacht werden, es sei denn, Sie erwerben ein privates Konto. Nachdem der Bericht fertig ist, werden Sie wahrscheinlich viel über die Pläne der Black Hats erfahren. Sie können möglicherweise die Art des Angriffs bestimmen – z. B. einen Angriff zur Übernahme von Anmeldedaten.
Der Abschnitt „Screenshots“ ist besonders interessant. Jeder Cyber-Experte wird begeistert sein, die gesamte dokumentierte Aktion zu sehen: was geöffnet, ausgeführt, umgeleitet, installiert usw. wurde, als die Sandbox Ihren Link ausführte. Sie können auch die Animationsfunktion verwenden und die Cyber-Ereignisse in Echtzeit beobachten.
Darüber hinaus zeigt das Verhaltensdiagramm alle Prozesse an, die ablaufen, wenn jemand auf den bösartigen Link klickt, wie z. B. Webseiten, die sich öffnen, oder Umleitungen, die stattfinden. Und Sie können sich entspannen und die Daten für Ihren Systemadministrator oder Cybersicherheitsexperten vorbereiten, um ihm zu helfen, die Malware-Infektion einzudämmen. Das bringt uns zum nächsten Punkt.
3. Wie Sie basierend auf Ihrer Analyse handeln: Konfigurieren Sie Ihre Software und informieren Sie die zuständigen Fachleute
Wie wir sehen können, hat uns unsere Recherche in Abschnitt 2 einige wertvolle Erkenntnisse gebracht. Wir haben Folgendes entdeckt:
- Die E-Mail war ein Phishing-Versuch
- Sie kam von jemandem, der eine bekannte Ressource nachahmte
- Es wurde versucht, unsere Anmeldedaten zu stehlen
Was machen wir mit diesen Informationen? Es stellt sich heraus, dass wir einige Optionen haben:
- Wir können unser E-Mail-Programm so konfigurieren, dass es alle anderen Nachrichten von demselben bösartigen Absender in den Junk-Ordner verschiebt
- Wir können unseren Systemadministrator oder andere zuständige Mitarbeiter informieren, um ihre Abwehrbemühungen zu verstärken.
4. Spear-Phishing bleibt unabhängig von Sicherheitsschulungen ein Haupteinfallstor
Auch wenn Sie Vorsichtsmaßnahmen treffen, wird es Zeiten geben, in denen Angreifer Phishing-Angriffe einsetzen, die extrem schwer zu erkennen sind.
Spear-Phishing verwendet sachliche Informationen über eine Person oder Organisation, um sehr authentisch aussehende E-Mails zu erstellen. Stellen Sie sich vor, Sie erhalten eine E-Mail von Ihrem IT-Administrator, der Sie mit Ihrem Vornamen anspricht und behauptet, er benötige dringend einige Daten von Ihnen. Da er mit einigen Cybersicherheitsroutinen überfordert ist, findet er keine Zeit, Sie persönlich zu besuchen, daher würde er es vorziehen, wenn Sie per E-Mail antworten könnten. Was würden Sie in diesem Fall tun? Greifen Sie zum Telefon und klären Sie die Sache. Hut ab für Ihre Wachsamkeit! Andere Kollegen könnten jedoch den Köder schlucken…
Wussten Sie, dass 90 % aller Datenlecks mit einem erfolgreichen Spear-Phishing-Angriff beginnen?
IBM X-Force IRIS hat festgestellt, dass 84 Prozent der APT-Gruppen, die es verfolgt, Spear-Phishing als primären Infektionsvektor verwenden. Davon verwenden es 68 Prozent als ihren einzigen Infektionsvektor.
Business Email Compromise (BEC) ist eine Art von Spear-Phishing, bei dem Angreifer ein geschäftliches E-Mail-Konto kapern und diesen Zugriff nutzen, um Mitarbeiter zu überreden, ihnen Geld oder Informationen zu senden. BEC ist einer der folgenschwersten Spear-Phishing-Angriffe, die eine Organisation erleben kann und der Unternehmen bis September 2019 weltweit insgesamt mehr als 26 Milliarden US-Dollar gekostet hat.
Von allen Phishing-Angriffen auf Organisationen, die X-Force IRIS seit Juni 2018 beobachtet hat, beinhalteten 42 Prozent BEC-Betrug.
Hier sind einige praktische Ratschläge, um nicht in die Fallen zu tappen, die Hacker für uns aufstellen.
Hören Sie auf Ihre innere Stimme und verwenden Sie gesunden Menschenverstand
- Klingt es zu dringend, um wahr zu sein?
- Versuchen sie, Emotionen auszunutzen?
- Handelt es sich um unaufgeforderte Kommunikation?
- Wenn Sie nicht darum gebeten haben, ist es sicher, es zu ignorieren.
Verwenden Sie immer einen anderen Weg, um es zu bestätigen
5. Führen Sie Red-Teaming-Übungen durch, um zu sehen, ob Ihre Organisation leichtgläubig ist
Es ist extrem einfach herauszufinden, wie viele Ihrer Mitarbeiter auf diesen bösartigen Link klicken oder einem Betrüger glauben, der versucht, ihre Anmeldedaten zu stehlen. Test-Phishing-Kampagnen sind eine beliebte Bewertung der Cyber-Resilienz einer Organisation. Wer würde bestreiten, dass es besser ist, die Schwächen Ihrer Organisation im Rahmen einer Sicherheitsschulung zu entdecken als in einem echten Angriff?
So funktioniert es. Sie beauftragen ein Team von White-Hat-Hackern, um zu testen, wie schnell sie einen Weg in Ihre Organisation finden können. Interessanterweise verbringen solche Teams oft mehr Zeit mit dem Sammeln von Open-Source-Intelligence (OSINT) als mit dem Hacken. Um effektiv in eine Organisation einzudringen, müssen sie nur verstehen, was den Mitarbeitern des Ziels in einer E-Mail-Nachricht glaubwürdig erscheinen könnte. Der Rest ist ein Kinderspiel: Die Hacker können einen überzeugenden Phishing-Versuch erstellen, der hohe Chancen hat, geöffnet zu werden.
Teilen Ihre Mitarbeiter zu viele Informationen online? Hacker sind dankbar. Sie können immer den Online-Fußabdruck eines Unternehmens untersuchen und diese Informationen dann verwenden, um diese hochgradig personalisierten, authentisch aussehenden Nachrichten zu erstellen.
Statistisch gesehen klickt etwa ein Viertel der Empfänger auf den betrügerischen Link, der in einem Phishing-Versuch enthalten ist. Noch beunruhigender ist, dass praktisch ausnahmslos mindestens ein Empfänger jedes Mal mit der Test-Phishing-Kampagne interagiert (Quelle: X-Force Red-Einsätze von September 2018 bis September 2019, https://securityintelligence.com).
Das bedeutet, dass Unternehmen über die Mitarbeiterschulung hinaus auch auf die Reaktion achten sollten.
In diesem Zusammenhang ist es eine bewährte Methode, einen mehrschichtigen Ansatz für die Cybersicherheit zu verwenden, der eine fortschrittliche Lösung für die Analyse des Benutzerverhaltens (UBA) umfasst, um verdächtige, interne Aktivitäten über die Security Information and Event Management (SIEM)-Lösung Ihres Unternehmens zu erkennen. Weitere Cybersicherheitstipps finden Sie in unseren Blogs.
Referenzen
- Grubb, Sam. How cybersecurity really works: A hands-on guide for total beginners, San Francisco: No Starch Press, 2021.
- X-Force Red-Einsätze von September 2018 bis September 2019, https://securityintelligence.com
Shares to Social Media
