Phishing-Angriffe: Ein Deep Dive inklusive Tipps zur Prävention

Arten von Phishing-Angriffen

In seiner Basisdefinition bezeichnet der Begriff Phishing-Angriff häufig einen breit ausgelegten Angriff, der auf eine große Anzahl von Benutzern (oder „Zielpersonen“) abzielt. Dieser Ansatz verfolgt das Prinzip „die Menge macht's“ und bedarf nur minimaler Vorbereitung durch den Angreifer unter der Annahme, dass mindestens einige der Zielpersonen ihm zum Opfer fallen (weshalb sich die minimale Vorbereitung anbietet, auch wenn der erwartete Gewinn für den Angreifer in der Regel nicht groß sein wird).

Phishing-Angriffe erwecken in der Regel die Aufmerksamkeit des Benutzers über eine Nachricht, die mit einem Appell an die Emotionen oder Wünsche eine bestimmte Reaktion hervorrufen soll (normalerweise einem Mausklick). Hier ein paar Beispiele:

• „Gewinnen Sie einen Gutschein in Höhe von 50 $ für das Restaurant X“ (Gier)
• „Ihre Bestellung wurde genehmigt“ (Verwirrung)
• „Ihr Konto wird storniert, wenn Sie sich nicht sofort anmelden“ (Sorge, Dringlichkeit)

Es gibt viele Möglichkeiten, über die Angreifer versuchen, mithilfe einer einzigen E-Mail an Ihre Informationen zu gelangen. Es gibt jedoch häufig Indikatoren, die Ihnen helfen, zu erkennen, ob es sich um eine rechtmäßige E-Mail handelt. 

Im Laufe der Jahre haben Angreifer Phishing-Angriffe weiterentwickelt und Varianten geschaffen, die mehr Vorbereitung seitens des Angreifers erfordern, aber entweder eine höhere Anzahl von Opfern oder eine höhere „Auszahlung“ pro Opfer (oder beides!) ergeben.

Spear-Phishing

Wenn ein Phishing-Angriff auf eine Organisation oder bestimmte Einzelpersonen zugeschnitten wurde, wird er als Spear-Phishing bezeichnet (engl. für Speer). Bei diesen Angriffen geht es darum, im Vorfeld zusätzliche Informationen zu sammeln oder andere Elemente einzubauen – wie beispielsweise Firmenlogos, E-Mail- und Webadressen des Unternehmens oder anderer Unternehmen, mit denen es zusammenarbeitet, sowie ggf. auch professionelle oder persönliche Daten einer Einzelperson – um so authentisch wie möglich zu erscheinen. Der zusätzliche Aufwand des Angreifers zahlt sich in der Regel durch eine hohe Anzahl von Zielpersonen aus, die auf den Trick hereinfallen.

Erfahren Sie mehr über Spear-Phishing-Angriffe.

Whaling

Eine Variante des Spear-Phishing-Angriffs ist das Whaling (Walfang), das auf die oberste Geschäftsleitung oder Unternehmensspitze abzielt. Whaling-Angriffe berücksichtigen in der Regel spezifische Aufgaben dieser Führungskräfte, um sie mit fokussierten Mitteilungen aus der Reserve zu locken. Wenn ein Whaling-Angriff zum Erfolg führt, kann die Beute für den Angreifer mitunter beträchtlich sein (z.  B. hochrangige Zugangsdaten zu Firmenkonten, Geschäftsgeheimnisse usw.).

Erfahren Sie mehr über Whaling-Angriffe.

Clone-Phishing

Eine weitere Variante der Spear-Phishing-Angriffe ist das Clone-Phishing. Bei diesem Angriff wird Zielpersonen eine Kopie (ein „Klon“) einer legitimen, bereits erhaltenen Nachricht gezeigt, in der der Angreifer jedoch spezifische Angaben geändert hat, um das Opfer so zu überlisten (z.  B. böswillige Anhänge, ungültige URL-Links usw.). Da dieser Angriff auf einer bereits gelesenen, rechtmäßigen Nachricht beruht, kann er die Zielperson sehr effektiv täuschen.

Und mehr

Angreifer suchen nach immer neuen, kreativen Wegen, um ahnungslose Benutzer zu betrügen. Bei einem kürzlichen Phishing-Angriff wurde ein Google-Doc eingesetzt, das der Zielperson per E-Mail von einem ihr bekannten Benutzer zugesandt worden war, aber dann jedoch versuchte, die Google-Zugangsdaten der Zielperson abzurufen und sich gleichzeitig an alle E-Mail-Adressen im Adressbuch der Zielperson zu versenden. Eher passive Angriffsarten wie Pharming bewirken Verluste von gleichem Ausmaß wie Phishing-Angriffe.

Phishing-Methoden

Angreifer verwenden eine Reihe von Mechanismen, um ihre Zielpersonen zu erreichen, einschließlich E-Mail, Social Media, Instant Messaging, SMS und infizierte Websites – einige Angriffe werden sogar per Telefon durchgeführt. Unabhängig von ihrer Durchführung setzen Phishing-Angriffe bestimmte Methoden ein.

Link-Spoofing

Eine häufig verwendete Täuschung ist die Maskierung einer bösartigen URL als authentisch, was die Wahrscheinlichkeit erhöht, dass der Benutzer die kleinen Unterschiede nicht bemerkt und die schadhafte URL anklickt. Während einige dieser manipulierten Links von Zielpersonen, die das Prinzip „Check before they click“ (Vorm Klicken prüfen) befolgen (z.  B. authentische URL thelegitbank.com im Vergleich zur dubiosen theleg1tbank.com), leicht als suspekt erkannt werden, können Dinge wie Homegrafie-Angriffe, bei denen ähnlich aussehende Buchstaben vertauscht werden, die Reichweite der visuellen Erkennung mindern.

Website-Spoofing

Es sind nicht nur Links, die Angreifer betrügerisch verändern. Ganze Websites können mit Flash oder JavaScript so verändert werden, dass sie authentisch und rechtmäßig erscheinen, was es dem Angreifer ermöglicht, selbst festzulegen, wie der Zielperson die URL angezeigt wird. Das bedeutet, dass die Website die rechtmäßige URL aufzeigen könnte, auch wenn der Benutzer tatsächlich die bösartige Website besucht. Cross-Site Scripting (XSS) geht in diesem Angriff noch einen Schritt weiter: XSS-Angriffe nutzen die Schwachstellen einer rechtmäßigen Website aus, was es dem Angreifer ermöglicht, die eigentliche Website anzuzeigen (mit der rechtmäßigen URL, den passenden legitimen Sicherheitszertifikaten usw.) und dann im Hintergrund die vom Benutzer eingegebenen Zugangsdaten zu stehlen.

Bösartige und heimliche Umleitungen

Umleitungen geben dem Angreifer Gelegenheit, eine Interaktivität des Browsers des Benutzers mit einer unerwarteten Website zu erzwingen. Bösartige Umleitungen beinhalten in der Regel eine Website, die der betroffene Benutzer normalerweise oder bewusst besucht, über die dann alle Besucher auf eine nicht gewünschte, vom Angreifer gesteuerte Website umgeleitet werden. Das erzielt der Angreifer, indem er eine Website mit ihrem eigenen Umleitungscode versieht oder indem er einen vorhandenen Bug auf der Website entdeckt, der es ihm ermöglicht, eine erzwungene Umleitung über beispielsweise speziell bearbeitete URLs herbeizuführen.

Wie der Begriff besagt, sorgen heimliche Umleitungen dafür, dass der Zielbenutzer nur schwer erkennen kann, dass er mit einer Angreifer-Website in Verbindung steht. Ein geläufiges Szenario einer heimlichen Umleitung wäre es, wenn ein Angreifer eine bestehende Website kompromittiert, indem er einer vorhandenen Schaltfläche „Anmeldung bei Ihrem Social-Media-Konto“ eine neue Aktion hinzufügt, die der Benutzer anklickt, um einen Kommentar zu hinterlassen. Diese neue Aktion erfasst die Zugangsdaten zu den Social Media und sendet sie an die Angreiferwebsite, bevor er zur eigentlichen Social-Media-Website zurückkehrt. Die Zielperson merkt nichts von diesem Umweg.

So vermeiden Sie Phishing-Angriffe

Die folgenden Empfehlungen wurden entwickelt, um Phishing-Angriffe zu verhindern bzw. deren Auswirkungen zu mindern:

Kontinuierliche Benutzerschulungen und Übungen

In dieser Reihe von Whiteboard Wednesday diskutiert der Senior Product Marketing Manager Justin Buchanan, wie Mitarbeiter potenzielle Phishing-Bedrohungen am Arbeitsplatz erkennen können. 

• Machen Sie aus allen Benutzern (vom Vorstand oder Geschäftsführer abwärts) die besten Ressourcen Ihres Unternehmens im Kampf gegen Phishing-Angriffe. Beteiligung der Benutzer an regelmäßigen Schulungen für die IT-Sicherheit und an Fortbildungen (sowie Umlernen), damit sie erfahren, wie Phishing-Betrugsversuche erkannt und vermieden werden können, die durch regelmäßige, spontane Übungen ergänzt werden, um das Gelernte zu stärken und anzuwenden. Auf diese Weise sorgen Sie dafür, dass die Benutzer über die neuesten Phishing-Angriffe informiert sind und tatsächlich das umsetzen, was gefragt ist, wenn sie einem Angriff ausgesetzt sind.

Filtern verdächtiger Anhänge

• Entfernen und setzen Sie eingehende Anhänge, bevor sie Ihre Benutzer erreichen, in Quarantäne, wenn Sie wissen, dass diese zu betrügerischen Zwecken verwendet werden.

Filtern auf bösartige URLs

• Setzen Sie Nachrichten in Quarantäne, die bösartige URLs enthalten. Sorgen Sie ebenso dafür, dass Sie gekürzte Links (z.  B. bit.ly, goo.gl, usw.) sicher auflösen können, um sich zu vergewissern, dass sie nicht bösartige URLs ergeben.
• Zur Umgehung von Filtern senden einige Angreifer eine Phishing-Nachricht, die keinen Fließtext, aber ein großes Bild enthält (hier enthält das Bild selbst Text, der von einiger Filtertechnologie jedoch ignoriert wird). Eine neuere Filtertechnik, die „Zeichenerkennung“ verwendet, kann diese Nachrichten erkennen und filtern.

Förderung guten Verhaltens mit den Zugangsdaten

• Verbieten Sie schwache Passwörter. Es werden Passwörter empfohlen, die mindestens 10 Zeichen enthalten, darunter Buchstaben, Zahlen und Symbole.
• Fordern Sie die Benutzer zur regelmäßigen Passwortänderung auf.
• Wenn Ihre Benutzer derzeit nur eine einzige Authentifizierungsstufe verwenden, überlegen Sie sich, ob Sie eine Zwei-Stufen-Verifizierungs- (2SV) oder Zwei-Faktor-Authentifizierungslösung (2FA, noch besser als 2SV) übernehmen wollen.

Zudem ist es immer sinnvoll, die Benutzer- und Infrastruktursysteme regelmäßig auf Malware zu scannen und diese mit Software-Updates/Patches auf dem neuesten Stand zu halten.

Die Breite der Phishing-Angriffe und Angriffsmethoden mag beunruhigend sein, aber eine geeignete Schulung über Phishing-Angriffe, deren Funktion und potenzielle Schäden für Benutzer und deren Organisation kann dazu beitragen, dass Sie so gut wie möglich vorbereitet sind, um Bedrohungen zu erkennen und diese entsprechend zu mindern.