Sicherheit im Mittelstand

Gefahr von Phishing-E-Mails

Informationen eines Unternehmens sind wertvoll – nicht nur für es selbst, sondern auch für Cyberkriminelle. Ein beliebtes Opfer von Cyberangriffen sind Mitarbeiter, denen getarnt Informationen mit dem Ziel entlockt werden, auf das interne Netzwerk zuzugreifen.

Ein Fischer wird ein Netz aus

Hacker suchen besonders nach Mitarbeiternamen und Berufsbezeichnungen und nach Hinweisen, auf welche Systeme diese Mitarbeiter am häufigsten zugreifen.

Phishing-E-Mails gelten immer noch als eine der häufigsten Unternehmensbedrohungen. Laut der diesjährigen Cyber Security Breaches Survey der britischen Regierung sind diese Art Angriffe viel schwieriger zu verteidigen als die Bedrohung durch Schad-Software oder konkrete Hacking-Aktivitäten. Phishing macht 90 Prozent aller Datenschutzverletzungen aus. 76 Prozent der Betroffenen berichten, dass sie 2018 Opfer eines solchen Angriffs geworden sind. 2019 hat in den USA das sogenannte Business E-Mail Compromise (BEC) einen Schaden von über 12 Mrd. Dollar verursacht. Bei einem Business E-Mail Compromise verschafft sich der Angreifer Zugang zu einem E-Mail-Konto des Unternehmens. Um das Unternehmen, Kunden oder Mitarbeiter zu täuschen und zu betrügen, agiert er mit der Identität des eigentlichen Kontoinhabers. Wie also erstellen Cyberkriminelle realistische Phishing-E-Mails?

Hacker imitieren Unternehmen

Cyberkriminelle beginnen mit einer Hintergrundrecherche über das Unternehmen, welches sie als Ziel ihres Angriffs definiert haben. Eine Methode, die besonders erfolgreich ist, nennt sich Open Source Intelligence (OSINT). Hierbei werden aus offenen Quellen Informationen über das Unternehmen gesammelt und analysiert, um verwertbare Erkenntnisse zu gewinnen. Dabei werden frei zugängliche Massenmedien, wie Zeitschriften, Tageszeitungen, Radio und Fernsehen, genutzt. Ebenfalls werden das Internet und webbasierte Anwendungen wie Google Earth sowie viele andere Quellen genutzt. Je mehr Informationen aus den öffentlich zugänglichen Quellen zusammengetragen werden können, desto einfacher ist es, Phishing-E-Mails zu erstellen.

Dies ist ein Artikel aus unserer Print-Ausgabe 7-8/2019. Bestellen Sie ein kostenfreies Probe-Abo.

Hacker suchen besonders nach Mitarbeiternamen und Berufsbezeichnungen und nach Hinweisen, auf welche Systeme diese Mitarbeiter am häufigsten zugreifen. Dies wird erreicht, indem die externen Adressen einer Organisation analysiert werden und dort alles, was in diesen öffentlich zugänglichen Bereichen der internen Netzwerke zugänglich ist, durchsucht wird.

Wenn es um Authentizität geht, klonen Cyberkriminelle Firmen-E-Mails und versuchen oft, ihre Phishing-E-Mails mit den neuesten Nachrichten rund um das Unternehmen zu verknüpfen – wie z.B. mit Hinweisen auf Aktienkurse, auf aktuelle Akquisitionen oder auf Partner.

Die Bedrohung in Zahlen
Pro Tag werden etwa 250 Mrd. E-Mails verschickt, von denen jede 2000. ein Phishing-Angriff ist. Bei rund 135 Mio. Angriffen pro Tag werden zweifellos einige Phishing-E-Mails durch das Sicherheitsnetz schlüpfen.
Quelle: Metacompliance

Wenn es beispielsweise Nachrichten über einen Datenverstoß oder einen Systemfehler gibt, können Angreifer versuchen, die Mitarbeiter davon zu überzeugen, ihre Daten zu ändern. Sie führen sie dann zu einer Website, die sich als Unternehmens-Website oder als Homepage einer Tochtergesellschaft ausgibt. Oder sie übernehmen die Identität eines Mitarbeiters und bitten andere Mitarbeiter, eine Datei „für einen Kunden“ herunterzuladen, in der sie einen Virus verstecken.

Diese Vorgehensweise führt meistens zum Erfolg. Denn wenn ein Hacker in der Lage ist, ein Unternehmen exakt zu imitieren, dann sind die Mitarbeiter des Unternehmens geneigt, die E-Mail als legitim zu betrachten. Das funktioniert dann besonders gut, wenn die E-Mail zur richtigen Zeit oder zum richtigen Anlass kommt. Etwa wenn ein Mitarbeiter sich an den Servicedesk wendet, um z.B. um das Zurücksetzen eines Passworts zu bitten. Wenn dann eine Phishing-E-Mail eintrifft, die diesen Anlass aufgreift und in überzeugender Form in den Content einbindet, wird der Mitarbeiter wahrscheinlich in die Falle tappen.

Schwachstellen aufdecken und ausnutzen

Um die Effektivität von Phishing-E-Mails zu demonstrieren, hat Rapid7 vor Kurzem eine Partnerschaft mit einem Unternehmen geschlossen. Ziel ist es, die Mitarbeiter zu testen und zu sehen, wie wahrscheinlich es ist, dass sie auf eine simulierte Phishing-E-Mail hereinfallen.

Zunächst wurden Informationen über das Unternehmen gesammelt und dabei die gleiche OSINT-Methode angewandt, die auch „echte“ Cyberkriminelle verwenden würden. Dies führte zur Entdeckung eines externen Hosts, der den Zugriff auf die internen Netzwerkressourcen ermöglichte. Dort ließen sich Open-Source-Dokumente finden, die die exakten Schritte zum Zugriff aufzeigten, sowie interne Anwendungen, die unter Angabe eines Namens und eines Titels zugänglich wurden. Mittels dieser Informationen sollte das Vertrauen von Mitarbeitern gewonnen werden – schließlich konnten von den internen Anwendungen ja nur Insider wissen.

Warnsignale frühzeitig erkennen

Im nächsten Schritt wurde unter Verwendung der Identität des Mitarbeiters ein gefälschtes E-Mail-Konto erstellt, von dem aus die Phishing-E-Mail verteilt werden konnte. Dieses Konto, gepaart mit den gesammelten Informationen, trug wesentlich zur Authentizität der Kommunikation bei.

Vor der Verteilung wurde die Phishing-E-Mail zur Überprüfung an den Auftraggeber gemailt. Es wurde nachgefragt, ob er die E-Mail erhalten hätte, was er verneinte. Also wurde überprüft, ob die E-Mail im Spam-Filtern hängen geblieben war – das war sie aber nicht. Es kam zur Überprüfung der Log-Dateien und somit zum Hinweis, dass die Anmeldeinformationen der Kontaktperson in die gefälschte Webseite eingegeben worden sind. Kurzum: Der Auftraggeber war auf die Test-Phishing-E-Mail hereingefallen, obwohl er wusste, dass sie kommen würde.

Die Phishing-E-Mails wurden anschließend an eine definierte Anzahl von Op-fern verteilt. Anmeldeinformationen konnten sehr erfolgreich erfasst werden, sodass der Zugriff auf das interne Netzwerk gelang. Besonders wirkungsvoll im Sammeln von Anmeldeinformationen war diese Phishing-E-Mail, weil in ihr Informationen diskutiert wurden, die bei den Mitarbeitern als Insiderwissen galten, und weil sie auf eine gefälschte Webseite mit einem für die Mitarbeiter vertrauten Erscheinungsbild verwies.

Normalerweise weiß ein Unternehmen nicht, wann es mit einer Phishing-E-Mail rechnen muss – zumal es sie nicht erkennt. Clevere Cyberkriminelle investieren viel Zeit in die Recherche und produzieren überzeugende Botschaften für die Mitarbeiter eines Unternehmens. Sie sind auch Opportunisten. Wenn also eine aktuelle Ankündigung an externe Zielgruppen kommuniziert wird, dann ist es ratsam, die Mitarbeiter darüber zu informieren, dass diese Ankündigung als Grundlage für einen Phishing-Angriff verwendet werden könnte, an die Wachsamkeit der Mitarbeiter zu appellieren und die Gelegenheit zu nutzen, die Mitarbeiter an die möglicherweise bereits vorhandenen Warnschilder in den Büros zu erinnern.

Die Investition von Zeit und Ressourcen in ein ausreichendes unternehmensweites Security-Awareness-Programm ist äußerst wertvoll. Es ist wichtig, die Mitarbeiter zu schulen, damit sie Phishing-E-Mails identifizieren und spezielle Techniken in den eiligen Momenten des Arbeitsalltags anwenden können. Sie sollten zudem eine Anweisung erhalten, die ihnen erklärt, was sie unternehmen müssen, wenn sie irgendwelche Zweifel an einer erhaltenen E-Mail bekommen.

Bildquelle: Getty Images/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok