Unter Phishing versteht man den Versuch, sensible Daten zu stehlen, indem man eine Person dazu verleitet, Passwörter oder Kreditkartendaten preiszugeben oder einen Computervirus herunterlädt. In einem besonders unglücklichen Szenario kann Phishing zu einem dreifachen Verlust führen, da die Opfer ihre Daten, ihr Geld und möglicherweise den Zugriff auf Geräte und Anwendungen verlieren.
Der Begriff „Phishing“ kommt von „Passwort“ und „Angeln“. Der Hauptunterschied zum Fischen besteht darin, dass Phisher nicht nach Fisch fischen, sondern nach sensiblen Daten wie Kreditkartennummern, Benutzernamen oder Passwörtern.
Phishing kann viele Formen annehmen: Du erhältst möglicherweise betrügerische E-Mails, die täuschend echt aussehen, oder einen Anruf von jemandem, der versucht, sich als jemand anderes auszugeben. Diese letztere Form wird „Vishing“ („Voice“ + „Phishing“) genannt. Und es gibt auch Spear-Phishing, das Kronjuwel der Welt der Cyberkriminellen. Dabei werden Informationen über eine Person oder Organisation verwendet, um sehr authentisch aussehende E-Mails zu erstellen. Sie sehen so echt aus, dass sogar ethische Hacker gelegentlich den Köder schlucken!
Maßnahmen zur Phishing-Prävention
Laut IBM X-Force sind Phishing-Angriffe die häufigste Ursache für böswillige Sicherheitsverletzungen. Trotz vieler Schwierigkeiten ist es immer noch ein wichtiger Einstiegspunkt für die Bereitstellung von RATS (Remote Access Trojans), anderer Malware oder bösartigen Links an Empfänger.
Ja, Organisationen müssen wachsam sein. Doch was genau können Unternehmen tun, um nicht in die allgegenwärtigen Phisher-Fallen zu tappen?
- Schule deine Mitarbeiter, um ihre Anti-Phishing-Fähigkeiten zu verbessern
Übung macht den Meister. Du kannst ein Unternehmen oder einen Sicherheitsberater damit beauftragen, deine Mitarbeitern eine Sicherheitsschulung zu geben. Eine schonendere Option für diejenigen ohne IT-Schulungsbudget wäre die Durchführung eines kostenlosen Online-Phishing-Tests. Viele IT-Unternehmen und Universitäten, die IT-Abschlüsse anbieten, verdienen Dank dafür, dass sie Phishing-Tests einem breiteren Publikum zugänglich machen.
Wie können solche Online-Tests helfen, Phishing-erfahren zu werden?
Sie sind normalerweise ihre Zeit wert. Du lernst, indem du an einem Quiz teilnimmst, bei dem du entscheidest, ob eine E-Mail (z. B. eine Kontozugriffsanfrage von einer App) legitim oder ein Phishing ist. Du hast die Möglichkeit, mit der Maus über die E-Mail-Adresse des Absenders und des Empfängers, die URLs und andere Elemente zu fahren, um die Daten zu analysieren. Dann entscheidest du, ob es sich dabei um korrekte, legitime Nachrichten handelt oder ob es sich um komplizierte Phishing-Mails mit ähnlichen URLs handelt, die versuchen, dich auf z. B. eine gefälschte Anmeldeseite zu lotsen.
Wenn du falsch geraten hast und die harte Wahrheit wissen möchtest, kannst du dir erklären lassen, was die untersuchte E-Mail als Phishing-Nachricht charakterisiert.
Das Erkennen einer Bedrohung ist ein erster sinnvoller Schritt. Was machst du mit diesem Wissen? Es reicht nicht aus, den Phish zu löschen. Du kannst mehr tun …
- Analysiere Phishing-Angriffe, um sie zu verhindern
Header-Analyse: MX Toolbox
In den meisten Fällen wirst du feststellen, dass bereits die E-Mail-Adresse des Absenders seltsam aussieht. Es handelt sich nicht einmal annähernd um eine legitime Adresse, die ein Unternehmen verwenden würde. Außerdem müssen wir den Header analysieren. Es liefert wertvolle Details über den Ursprung der E-Mail.
Die genauen Schritte hängen von der E-Mail-Anwendung ab, die du verwendest. In Gmail kannst du beispielsweise auf die drei Punkte in der oberen rechten Ecke klicken und dann auf Original anzeigen klicken. Sobald deine E-Mail in einem neuen Fenster geöffnet wird, kannst du versuchen, die Fülle der Rohdaten zu verstehen.
Um unsere Analyse zu vereinfachen, können wir ein kostenloses Online-Tool verwenden, das für die E-Mail-Analyse sehr praktisch ist: MX Toolbox, insbesondere das Tool namens Analyze Headers. Du findest es auf der Homepage der Website ganz rechts. Du musst lediglich die vollständige Kopfzeile kopieren und in das leere Fenster einfügen, damit das Tool die Daten in besser lesbare Felder aufteilen kann.
Wir müssen zwei Arten von Ergebnissen unter der Überschrift x-dmarc-info überprüfen:
- SPF (Sender Policy Framework)
- DKIM (Domain Keys Identified Mails)
Wenn beide Datensätze in der Kopfzeile als fehlgeschlagen angezeigt werden, ist die Wahrscheinlichkeit groß, dass es sich um einen Phishing-Angriff handelt. Das bedeutet, dass ein Angreifer versucht, sich als eine bekannte Ressource auszugeben, seine IP-Adresse jedoch die Prüfungen nicht bestanden hat.
Weitere Einzelheiten findest du in Kapitel 3 von Sam Grubbs „Wie Cybersicherheit wirklich funktioniert“.
URL-Analyse: VirusTotal und Joe Sandbox
VirusTool
Nachdem du die Header analysiert hast, ist es an der Zeit, die URL selbst zu überprüfen. Um festzustellen, ob es bösartig ist, können wir das Virus Total-Tool verwenden. Wenn eine der Antiviren-Engines des Tools es als bösartig markiert, ist dein Link mit Sicherheit bösartig. Jetzt bist du noch mehr davon überzeugt, dass du nicht darauf klicken solltest. Aber wir als Cybersicherheitsexperten wollen unsere Neugier befriedigen: Was würde passieren, wenn wir auf den verdächtigen Link klicken würden? Ein weiteres Tool kommt uns zu Hilfe.
Joe Sandbox
Mit diesem Tool kannst du simulierte Computer verwenden, die sich wie physische Maschinen verhalten. Diese sind zum Testen von Malware optimal, da dein realer Computer isoliert und vollständig vor der Cyber-Seuche geschützt bleibt.
Sobald du ein Konto bei Joe Sandbox erstellt hast, kannst du einfach deinen Link kopieren und in die Sandbox einfügen. Es ist wichtig, dass du keine persönlichen Daten angibst, da die Ergebnisse veröffentlicht werden, es sei denn, du erwirbst ein privates Konto. Nachdem der Bericht fertig ist, wirst du wahrscheinlich viel über die Pläne der Black Hats erfahren. Möglicherweise kannst du die Art des Angriffs bestimmen – beispielsweise einen Angriff zum Raub von Anmeldeinformationen.
Besonders interessant ist der Abschnitt „Screenshots“. Jeder Cyber-erfahrene Mensch wird begeistert sein, alle diese Aktionen dokumentiert zu sehen: was geöffnet, ausgeführt, umgeleitet, installiert wurde usw., als die Sandbox deinen Link ausführte. Du kannst auch die Animationsfunktion nutzen und die Cyber-Ereignisse in Echtzeit verfolgen.
Darüber hinaus zeigt das Verhaltensdiagramm alle Prozesse an, die ablaufen, wenn jemand auf den bösartigen Link klickt, z. B. das Öffnen von Webseiten oder stattfindende Weiterleitungen. Und du kannst dich zurücklehnen, genießen und die Daten für deine Systemadministrator oder Cybersicherheitsexperten bereitstellen, um ihn bei der Eindämmung der Malware-Infektion zu unterstützen. Das bringt uns zum nächsten Punkt.
- So gehst du auf Basis deiner Analyse vor: Konfiguriere deine Software und alarmiere die entsprechenden Fachleute
Wie wir sehen, hat uns unsere Recherche in Abschnitt 2 dabei geholfen, einige wertvolle Erkenntnisse zu gewinnen. Wir haben folgendes herausgefunden:
- Die E-Mail war ein Phishing
- Es kam von jemandem, der sich als eine bekannte Ressource ausgab
- Es wurde versucht, unsere Anmeldeinformationen zu stehlen
Was machen wir mit diesen Informationen? Wie sich herausstellt, haben wir einige Möglichkeiten:
- Wir können unser E-Mail-Programm konfigurieren, indem wir Regeln hinzufügen, die alle anderen Nachrichten desselben böswilligen Absenders an den Junk-Ordner senden
- Wir können unseren Systemadministrator oder andere geeignete Mitarbeiter alarmieren, um ihre Verteidigungsbemühungen zu verstärken.
- Spear-Phishing bleibt unabhängig von Sicherheitsschulungen ein wichtiger Einstiegspunkt
Selbst wenn du Vorsichtsmaßnahmen triffst, kann es vorkommen, dass Angreifer Phishing-Angriffe ausführen, die äußerst schwer zu erkennen sind.
Beim Spear-Phishing werden sachliche Informationen über eine Person oder Organisation genutzt, um sehr authentisch aussehende E-Mails zu erstellen. Stell dir vor, du erhältst eine E-Mail von deinem IT-Administrator, der dich mit deinem Vornamen anspricht und behauptet, er benötige dringend Daten von dir. Da er mit einigen Cybersicherheitsroutinen überfordert ist, findet er keine Zeit, dich persönlich zu besuchen, daher würde er es vorziehen, wenn du per E-Mail antworten könntest. Was würdest du in diesem Fall tun? Schnapp dir das Telefon und kläre es. Ein großes Lob dafür, dass du so wachsam bist! Andere Kollegen könnten jedoch den Köder schlucken.
Wusstest du, dass 90 % aller Datenlecks mit einem erfolgreichen Spear-Phishing-Angriff beginnen?
IBM X-Force IRIS hat herausgefunden, dass 84 Prozent der von ihm verfolgten APT-Gruppen Spear-Phishing als primären Infektionsvektor verwenden. Davon nutzen 68 Prozent es als einzigen Virenüberträger.
Business Email Compromise (BEC) ist eine Art Spear-Phishing, bei dem Angreifer ein geschäftliches E-Mail-Konto kapern und diesen Zugriff nutzen, um Mitarbeiter dazu zu bewegen, ihnen Geld oder Informationen zu senden. BEC ist einer der schwerwiegendsten Spear-Phishing-Angriffe, die ein Unternehmen erleben kann, und kostete Unternehmen weltweit (Stand September 2019) insgesamt mehr als 26 Milliarden US-Dollar.
Von allen organisatorischen Phishing-Angriffen, die X-Force IRIS seit Juni 2018 beobachtet hat, handelte es sich bei 42 Prozent um BEC-Betrug.
Hier sind einige praktische Ratschläge, um nicht in die Fallen zu tappen, die Hacker für uns aufgestellt haben.
Höre auf deine innere Stimme und nutze den gesunden Menschenverstand
- Klingt es zu dringend, um wahr zu sein?
- Versuchen sie, aus Emotionen Kapital zu schlagen?
- Handelt es sich um unerwünschte Kommunikation?
- Wenn Sie nicht danach gefragt haben, können Sie es getrost ignorieren.
Verwende zur Validierung immer einen anderen Weg.
- Führe Red-Teaming-Übungen durch, um festzustellen, ob deine Organisation leichtgläubig ist
Es lässt sich ganz einfach herausfinden, wie viele deiner Mitarbeiter auf diesen schädlichen Link klicken oder einem Betrüger glauben, der versucht, deine Anmeldedaten zu stehlen. Test-Phishing-Kampagnen sind eine beliebte Beurteilung der Cyber-Resilienz eines Unternehmens. Wer würde behaupten, dass es besser ist, die Schwachstellen deines Unternehmens im Rahmen einer Sicherheitsschulung aufzudecken, als in einem echten Kampf?
So funktioniert es. Du engagierst ein Team ethischer Hacker, um zu testen, wie schnell sie in dein Unternehmen eindringen können. Interessanterweise verbringen solche Teams oft mehr Zeit mit dem Sammeln von Open-Source-Informationen (OSINT) als mit Hacking. Um effektiv in ein Unternehmen einzudringen, müssen sie lediglich verstehen, was in einer E-Mail-Nachricht für die Mitarbeiter des Zielunternehmens glaubwürdig erscheinen könnte. Der Rest ist klar: Die Hacker können einen überzeugenden Phishing-Angriff erschaffen, der alle Chancen hat, geöffnet zu werden.
Teilen deine Mitarbeiter zu viel online? Hacker sind dankbar. Sie können jederzeit den Online-Fußabdruck eines Unternehmens untersuchen und diese Informationen dann nutzen, um hochgradig individuelle, authentisch aussehende Nachrichten zu erstellen.
Statistisch gesehen könnte etwa ein Viertel der Empfänger auf den betrügerischen Link klicken, der in einem Phish enthalten ist. Noch beunruhigender ist, dass praktisch ausnahmslos jedes Mal mindestens ein Empfänger mit der Test-Phishing-Kampagne interagiert (Quelle: X-Force Red-Engagements von September 2018 bis September 2019, https://securityintelligence.com).
Das bedeutet, dass sich Unternehmen über die Mitarbeiterschulung hinaus auch auf die Reaktion konzentrieren sollten.
Im Zusammenhang mit dem oben Gesagten besteht eine bewährte Vorgehensweise darin, einen mehrschichtigen Ansatz für die Cybersicherheit zu verwenden, der eine erweiterte UBA-Lösung (User Behavior Analytics) umfasst, um verdächtige interne Aktivitäten über die SIEM-Lösung (Security Information and Event Management) deines Unternehmens zu erkennen.
Verweise
Grubb, Sam. Wie Cybersicherheit wirklich funktioniert: Ein praktischer Leitfaden für absolute Anfänger, San Francisco: No Starch Press, 2021.
X-Force Red-Engagements von September 2018 bis September 2019, https://securityintelligence.com