Phishing-Angriffe sind eine weit verbreitete Strategie von Cyberkriminellen, um Daten von Unternehmen abzugreifen. Ziel von Phishing-Angriffen ist es dabei nicht, technische Schwachstellen auszunutzen, sondern Beschäftigte so zu manipulieren, dass diese eine gewünschte Handlung vornehmen. Erfolgreich durchgeführte Angriffe führen in der Regel zu erheblichen Schäden für das Unternehmen. Da die Schwachstelle „Mensch“ das Einfallstor für die erfolgreiche Durchführung einer Phishing-Attacke ist, sind die Beschäftigten besonders zu sensibilisieren. Die Schulung der Mitarbeiter ist damit der beste Schutz vor Phishing-Angriffen.
Was sind Phishing-Angriffe?
Der Begriff Phishing setzt sich aus den englischen Wörtern „Password“ und „Fishing“ zusammen und beschreibt sozusagen das „Fischen nach Passwörtern“. Angreifer verfolgen mit Phishing-Angriffen also in der Regel das Ziel, sich Zugangsdaten zu erschleichen.
Wie funktionieren Phishing-Angriffe?
Phishing-Angriffe erfolgen in der Regel per E-Mail und bedienen sich der Strategie des sogenannten „Social Engineering“. Mit Social Engineering erschleichen sich die Angreifer das Vertrauen der Opfer, indem sie sich als vertrauenswürdiger Kommunikationspartner, z.B. als Bank, als Online-Shop oder als Geschäftsführer, ausgeben. Die Angreifer bezwecken damit, dass das Opfer eine gewünschte Handlung ausführt. Um die Opfer zu der Handlung zu bewegen, suggerieren sie immer eine hohe Dringlichkeit oder drohen mit Konsequenzen.
Cyberkriminelle fordern die potentiellen Opfer im Text dieser E-Mails in der Regel auf, Zugangsdaten in ein Eingabeformular einzugeben. Hierfür müssen die Opfer innerhalb der Mail auf einen Link klicken, welcher sie auf eine täuschend echt wirkende Webseite mit einer Eingabemaske führt. Begründet wird die Eingabeaufforderung häufig mit Sicherheitslücken, die einer Verifizierung des Kontos bedürfen, oder mit einer drohenden Sperrung eines Kontos, welche sich nur durch die Eingabe der Zugangsdaten verhindern lässt. Gibt das Opfer die Zugangsdaten ein, werden diese an die Angreifer übermittelt. Diese nutzen die Daten dann für Identitätsdiebstähle, Kontoplünderungen oder um das Unternehmensnetzwerk mit Schadsoftware zu infizieren.
In manchen Fällen reicht aber auch schon ein Klick auf den angezeigten Link oder den Anhang für einen erfolgreichen Angriff aus. In diesen Fällen wird direkt durch den Klick Schadsoftware ins Unternehmensnetzwerk geladen. Wieder andere Phishing-E-Mails fordern die Opfer aber auch direkt auf, eine Überweisung an ein bestimmtes Bankkonto zu tätigen.
Die gängigsten Angriffsformen
Deceptive Phishing
Das Deceptive Phishing ist die bekannteste Angriffsform. Hier werden wahllos spamartige E-Mails an eine große Anzahl von Empfängern verschickt. Die E-Mails sind in der Regel leicht als Betrugsmail zu erkennen. Indikatoren hierfür sind beispielsweise eine fehlende Übereinstimmung zwischen tatsächlicher Absenderadresse und vorgegebenem Versender, seltsame Schriftzeichen, viele Schreib-, Grammatik- und Formatierungsfehler und ein Link, der aus einer seltsamen Kombination aus Buchstaben, Zahlen und Zeichen besteht.
Spear Phishing
Das Spear Phishing ist eine weiter entwickelte Form des Deceptive Phishing. Anstatt Spam-Emails an viele Empfänger zu schicken, richten sich diese Attacken zielgerichtet an ganz bestimmte Personen. Die E-Mails werden personalisiert und auf das Opfer regelrecht zugeschnitten. Der Angreifer gibt sich dann z.B. als Ansprechpartner eines Kunden aus. Spear Phishing Angriffe sind normalerweise schwerer zu entlarven, da die E-Mails sehr viel glaubhafter wirken. Cyberkriminelle spionieren Ihre Opfer dafür vorab aus, damit die E-Mail möglichst authentisch wirkt.
CEO Fraud
Beim CEO Fraud täuscht der Angreifer vor, der Geschäftsführer bzw. Vorstand zu sein. Die Betrugsmails gehen in der Regel an Beschäftigte aus der Finanzbuchhaltung. Die E-Mail beinhaltet dann oft die Aufforderung, einen großen Geldbetrag auf ein falsches Konto zu überweisen. Die Taktik ist hierbei natürlich, dass der Mitarbeiter sozusagen „blind“ der Anweisung des Vorgesetzten folgt.
Clone Phishing
Eine weitere Methode ist das Clone Phishing. Hierbei kopiert der Angreifer eine echte E-Mail und tauscht den darin vorhanden legitimen Link oder den Anhang mit einem schadhaften Link bzw. Anhang aus. Um den Empfänger zu der gewünschten Handlung zu bewegen, wird dann zum Beispiel suggeriert, dass es Probleme bei der ersten E-Mail gab.
Vishing
Cyberkriminelle nutzen aber nicht immer nur E-Mails für die Attacken. Über das Vishing (Voicecall-Phishing) werden Kriminelle auch persönlich aktiv und rufen Personen an. Meist geben sie sich als IT-Service-Mitarbeiter von Microsoft oder der eigenen Unternehmens-IT aus. Häufig wollen die Personen Probleme entdeckt haben, für die sie zur Behebung entweder die Zugangsdaten benötigen, Personen auffordern, ihre Daten auf einer bestimmten Webseite zur Authentisierung einzutragen oder auch die Installation einer Software zur Fernwartung verlangen. Dabei können Telefonnummer-Emulatoren zum Einsatz kommen, um den Anschein zu erwecken, dass der Anruf tatsächlich aus dem Unternehmen stammt.
Woran erkennen Sie Phishing-Angriffe?
Manche Phishing-Attacken sind deutlich als unglaubwürdig zu erkennen (siehe Deceptive Phishing). Aber Cyberkriminelle entwickeln Ihre Methoden stets weiter und teilweise ist es schwer, Betrugsmails anhand von Schreibfehlern o.ä. zu erkennen. Eine gut gemachte Phishing E-Mail ist in der Regel nicht offensichtlich als solche erkennbar. Bei der Aufforderung, Zugangsdaten auf einer Webseite einzugeben, Links oder Anhänge anzuklicken oder große Geldsummen zu überweisen verbunden mit der Androhung von Konsequenzen, sollten bereits sämtliche Alarmglocken angehen. Eine seriöse Bank oder ein Onlineshop wird Sie niemals um solche Handlungen bitten.
Wie können Sie sich vor Phishing Attacken schützen?
Phishing-Angriffe stellen eine echte Bedrohung dar. Die Chance, dass ein solcher Angriff erfolgreich ist und bei dem Unternehmen zu großem Schaden führt, ist sehr hoch, da die Cyberkriminellen mit der Gutgläubigkeit und Psyche der Beschäftigten spielen.
Unternehmen ist daher dringend zu raten, dass diese ihre Beschäftigten regelmäßig schulen und für Cyberangriffe sensibilisieren. Ermutigen Sie dabei auch Ihre Mitarbeiter, im Zweifel einfach mal beim vermeintlichen Absender telefonisch nachzufragen, ob die E-Mail tatsächlich von diesem stammt. Zudem sollten alle Mitarbeiter dazu angehalten werden, dass für verschiedene Systeme unterschiedliche Passwörter zu verwenden sind, um im Falle einer Kompromittierung das Schadensausmaß zu verringern. Da Mitarbeiter natürlich auch privat auf einen Spam-Angriff hereinfallen können, sollte außerdem die Nutzung von privaten Passwörtern verboten werden.
Richten Sie für Ihre Software-Anwendungen eine 2-Faktor-Authentifizierung ein. Selbst wenn Cyberkriminelle an Zugangsdaten gelangen, kommen Sie ohne den zweiten Faktor nicht in die Systeme. Darüber hinaus sind dedizierte Berechtigungskonzepte hilfreich, um einen möglichen Schaden zumindest einzugrenzen.
Wir beraten Sie gerne zu weiteren möglichen Maßnahmen. Kontaktieren Sie uns!
Autor: Bastian Maute, 29.10.2021
Bild von mohamed_hassan auf pixabay