IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

PhishingPhishing-Kampagnen haben verschiedene Gesichter. Manche von ihnen sind ganz offensichtlich als Malware-Kampagnen erkennbar und erscheinen vergleichsweise wahllos konzipiert. Und sind dementsprechend auch nur in der Lage die leichtgläubigsten unter den potenziellen Opfern zu täuschen. Andere Kampagnen sind deutlich ausgefeilter und richten sich beispielsweise ganz gezielt an Opfer mit gut gefüllten Bankkonten oder Schlüsselpersonen in einem Unternehmen, die potenziell im Besitz wichtiger Dokumente sind.

Übliche Phising-Schemata

Es gibt nicht das „eine“ Phishing-Schema. Allerdings versuchen alle Angreifer die versendeten E-Mails oder Websites so legitim und überzeugend aussehen zu lassen wie es eben geht. Ein verloren geglaubter Onkel mit potenziellem Geldsegen ist dann wohl weniger überzeugend. Es sei denn, man ist ein unglaublicher Glückspilz. Und selbst in diesem unwahrscheinlichen Fall würde dieser Onkel wohl doch noch auf anderem Wege versuchen, mit Ihnen Kontakt aufzunehmen und Sie persönlich zu treffen. Andere Kampagnen gehen da weitaus professioneller vor. Die Angreifer verwenden das Logo der entsprechenden Firma und nutzen in Farb- und Bildauswahl das Corporate Design des Unternehmens.

Ziel ist es jemanden davon zu überzeugen, dass es sich um eine legitime und vertrauenswürdige Anfrage handelt. Vertrauenswürdig genug für jemanden, um vertrauliche Informationen preiszugeben.

Welche Typen von Phising-Angriffen gibt es?

  • Spear Phishing: Bei dieser Vorgehensweise geht es den Angreifern darum persönliche Informationen von Einzelpersonen, Unternehmen und Institutionen zu erbeuten. Die Methode ist ziemlich erfolgreich und etwa 90 % aller Attacken nutzen genau diese Technik. Sie ist auch deshalb noch immer sehr verbreitet, weil jeder Hacker eine andere Zielgruppe hat als der nächste. Und nur weil diese Art von Phishing-Kampagnen besonders weit verbreitet ist, heißt das noch lange nicht, dass sie nicht auch überzeugend sind. Wir konnten eine Reihe von sehr überzeugend gestalteten Angriffen beobachten. Mit Websites, die so perfekt nachgebildet waren, dass sie sogar einen Link enthielten unter dem man potenzielle Phising-Versuche melden konnte.
     
  • Clone Phishing: Diese Variante ist besonders hinterhältig. Beim Clone Phising ersetzen die Angreifer den legitimen Inhalt einer zuvor zugestellten E-Mail mit bösartigen Inhalten und Anhängen. Das funktioniert besonders gut, wenn die Absender sich auf die ursprünglich legitim zugestellte E-Mail beziehen und vorgeben dazu ein Update zu schicken. Es ist nicht unüblich, dass es Hackern gelingt auf diese Art und Weise an legitime E-Mail-Inhalte zu gelangen, indem sie dazu eine bereits heruntergeladene Malware benutzen.
     
  • Whaling: Whaling ist genau das wonach es klingt: Die Suche nach dem ganz dicken „Fisch“. Beispiele sind angebliche Vorladungen für den CFO eines Unternehmens oder eine Kundenbeschwerde, die sich an den zuständigen Leiter des Kundenservice richtet.

Wann sollte man misstrauisch werden?

Grammatikalische Fehler sollten einen immer misstrauisch stimmen. Texter und Autoren mögen in Ihren E-Mails gelegentlich Fehler machen (die dann oft genug von Kunden moniert werden). Man darf aber getrost davon ausgehen, dass Unternehmen wie Amazon und Mastercard solche Fehler in jeder Hinsicht vermeiden würden.

Auch die Formatierung einer E-Mail kann ein Hinweis sein. Abweichende Formatierungen sollten immer als Warnzeichen interpretiert werden. Es ist ein kleiner Unterschied, ob ein Unternehmen Logo oder Website updated oder ob ein Unternehmen, dass normalerweise Zahlungsinformationen am Schluss einer E-Mail platziert diese nun angeblich in einem gezippten Anhang verschickt. Und wenn wir noch ein Mal auf unser Eingangsbeispiel zurückkommen. Normalerweise kennt Ihr Kreditkartenunternehmen nicht nur Ihre komplette Kreditkartennummer, sondern auch Ihre vollständigen, korrekt geschriebenen Namen, den Sicherheits-Code, die Rechnungsadresse und das Ablaufdatum Ihrer Karte. Für eine Authentifizierung würden diese Daten niemals abgefragt werden. Normalerweise würden höchstens ein bis zwei Informationen zur Verifizierung abgefragt oder nur die Sicherheitsfrage, die Sie möglicherweise hinterlegt haben. Wenn Sie im Zweifel sein sollten, rufen Sie das Unternehmen direkt an und sprechen Sie persönlich mit einem Kundeberater. Er oder sie werden in jedem Fall in der Lage sein, Ihnen zu sagen, ob es sich um eine legitime oder eine gefälschte E-Mail handelt.

Gibt es etwas, das man tun kann, um Phishing-Versuche zu vereiteln?

Ja, man kann durchaus einiges tun, um Phishing-Kampagnen etwas weniger erfolgreich zu machen. Ein Weg ist es, sich mit den aktuellen Entwicklungen und Tendenzen in der IT-Sicherheit vertraut zu machen und auf dem Laufenden zu sein. Zusätzlich sollte man immer einen mehrschichtigen Sicherheitsansatz favorisieren, denn es gibt nicht die eine wirksame Methode. Hilfreich gegen alle Arten von Malware ist es eine E-Mail-Filter-Lösung mit einem entsprechenden Webschutz zu kombinieren. Letzterer sorgt dann dafür, dass eine Malware nicht in das Netzwerk gelangt. Spam- und Virenfilter sind eine gute Methode, um Malware abzuwehren, die per E-Mail in der Inbox und potenziell in Ihrem Netzwerk landet. Es gilt aber auch sich gegen Websites abzusichern, die potenziell Malware hosten und das sind nicht wenige.

Jon French, Security Analyst bei AppRiver

https://de.appriver.com

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet