VERANSTALTUNGEN

USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

Phishing ScamPhishing ist eine der Bedrohungsformen, bei der immer trickreicher, fast schon kunstvoll vorgegangen wird. Das Ziel ist, eine ausgewählte Person mittels Social Engineering, gefälschten E-Mails oder Inhalten dazu zu bringen, entweder ein Schadprogramm herunterzuladen und persönliche oder geschäftliche Daten preiszugeben.

Einmal ins Netz gegangen lässt sich das Opfer gleich auf verschiedene Arten ausbeuten – vom Identitätsdiebstahl bis hin zum Unternehmensbetrug im großen Stil. Man geht davon aus, dass Phishing etwa 1995 entstanden ist, aber erst seit 2005 wurde es weithin als Angriffsmethode wahrgenommen. Und jetzt, mehr als zehn Jahre später, ist Phishing noch immer ein Problem.

Die Evolution des Phishings

„Phisher“ werfen ihre Netze weit aus und setzen auf die statistische Wahrscheinlichkeit, dass ein gewisser Prozentsatz der Adressaten auf die Täuschung hereinfallen wird. Zur Verdeutlichung: In einer Untersuchung von Verizon aus dem Jahr 2015 mit 150.000 zugrunde gelegten Phishing-Mails öffneten 23 Prozent der Empfänger die Phishing-Nachricht als solche und 11 Prozent öffneten auch den Anhang.

In den letzten zehn Jahren ist durch Aufklärung zum Thema Phishing das Bewusstsein für die Risiken gewachsen. Und die Nutzer stellen zunehmend die Echtheit von E-Mails infrage. Die Konversionsraten begannen zu sinken und Phisher sahen sich gezwungen, ihre Nachrichten zu perfektionieren, um die Erfolgsquote wieder zu erhöhen. Unglücklicherweise werden Phisher durch die Beliebtheit sozialer Netzwerke, wie Facebook, Twitter, LinkedIn et cetera mit einer wahren Flut von Informationen versorgt, mit der sie ihre Nachrichten noch echter wirken lassen können. Bei diesem sogenannten „Spear-Phishing“ wird es deutlich schwerer, Täuschung und Wahrheit auseinanderzuhalten.

Das mag jetzt klingen, als wären Betrüger ohnehin klar im Vorteil. Doch auch auf Seiten der Unternehmenssicherheit kann man inzwischen einige Erfolge verbuchen. Zunächst einmal sind, da Phisher auf Masse setzen, Firewalls und E-Mail-Gateways geübt, große Traffic-Mengen zu erkennen und zu blockieren. Viele derartige Betrugsversuche landen also gar nicht erst im Posteingang. Eine andere positive Entwicklung sind Antivirenprogramme, die sich darauf spezialisiert haben genau diesen Nachrichtentypus zu überwachen und zu erkennen. Und solcherart Schadprogramme aussortieren, bevor sie die Inbox erreichen. Wie bei jedem „Geschäft“ dreht sich auch hier alles um die Ertragsmaximierung. Es überrascht also nicht, dass die Betrüger ihre Methoden angepasst haben. Beispielsweise enthalten Nachrichten verworrene Codes, damit sie nicht sofort als Phishing-Mails entlarvt werden und insgesamt werden weniger Nachrichten verschickt. Eine relativ neue Taktik ist es, sich bei den Aktivitäten auf den „dicksten Phish“ im Gewässer zu konzentrieren – weniger Adressaten, aber höhere, in einigen Fällen viel höhere, Erträge!

„Whaling“

Der Begriff „Whaling“ ist ein Wortspiel, das sich darauf bezieht, dass eine wichtige Person gerne als „dicker Fisch“ – oder in unserem Fall „Phish“ – bezeichnet wird.

Whaling trägt alle Merkmale von Phishing, es wird jedoch kein großes Netz ausgeworfen, sondern der Betrug richtet sich gezielt gegen einen ganz bestimmten Endnutzer, etwa einen ranghohen Manager, einen Datenbankadministrator oder einen Prominenten. Informationen zu diesen Persönlichkeiten finden sich nicht selten auf Unternehmenswebseiten, in LinkedIn-Profilen und sogar den Twitter-Accounts von Firmen – sie enthalten wesentliche Fakten, die digitale „Walfänger“ für ihre Machenschaften benötigen. Wie bei jeder Form des Phishings ist das Ziel des Whalings, die anvisierte Person durch Social Engineering, gefälschte E-Mails und gefälschte Inhalte dazu zu bewegen, persönliche oder geschäftliche Daten preiszugeben.

Ein Beispiel für einen erfolgreich durchgeführten Whaling-Angriff (auch als „CEO-Fraud“ bezeichnet) ist eine Form des Überweisungsbetrugs. Das Opfer, meist ein ranghoher Manager, erhält eine gefälschte Nachricht von einem Hacker, der sich als CFO oder sogar CEO eines Partnerunternehmens ausgibt und um die Überweisung eines Geldbetrags für eine Lieferantenzahlung oder gar eine Unternehmensübernahme bittet. Natürlich wird das Geld nicht für die genannte Zahlung oder Übernahme verwendet, sondern auf ein Bankkonto, auf das der Hacker Zugriff hat, eingezahlt.

Diese Mitteilungen wirken zunächst ganz harmlos. So fragt der Hacker (der sich als Geschäftsführer oder interner Mitarbeiter ausgibt) beispielsweise das Opfer, ob es an seinem Schreibtisch sitzt. Um glaubhaft zu wirken, nutzt der Hacker für die E-Mail eine Adresse mit der Firmendomain, als Antwortadresse gibt er jedoch eine Adresse mit einer externen Domain an, meist die eines kostenlosen E-Mail-Dienstes. Bei dieser Methode passiert es nicht selten, dass die Opfer mit dem Hacker per Mail kommunizieren, ohne zu bemerken, dass sie gerade übers Ohr gehauen werden. Mit dieser Vorgehensweise wurden bereits Tausende Dollar mittels betrügerischer Überweisungen von Unternehmen gestohlen. Die geforderte Summe liegt dabei oft in einem Bereich zwischen 20.000 und 50.000 Dollar. Das sind schon keine ganz geringen Verluste mehr. Allerdings geht es bei vielen Betrugsversuchen um deutlich höhere Summen. Nicht selten in einer Größenordnung, die eine Firma in den finanziellen Ruin stürzen kann.

Ubiquiti, ein Hersteller von Netzwerkkomponenten, fiel Mitte 2015 auf eine solche Masche herein. Das Unternehmen überwies nicht Zehntausende Dollar, sondern ganze 40 Millionen US-Dollar. Es gelang zwar, einige Millionen im Nachhinein zurückzubekommen, doch den Großteil des Geldes darf man wohl getrost als verloren betrachten. Anfang 2016 meldete die belgische Bank Crelan, eine Tochter der Crédit-Agricole-Gruppe, dass sie einem Whaling-Angriff zum Opfer gefallen war und mehr als 70 Millionen Euro verloren gingen. FBI-Zahlen zufolge haben in den letzten zwei Jahren Unternehmen auf der ganzen Welt durch Whaling rund 1,2 Milliarden Dollar beziehungsweise 1,07 Milliarden Euro eingebüßt.

Unternehmen investieren viel Zeit und Geld, um ihren Netzwerkverkehr oder ihre öffentlich zugänglichen Server vor Hackerangriffen zu schützen, was auch unbestritten überaus wichtig ist. Doch aufgrund dieser manipulativen, gezielten Spear-Phishing-Versuche sollte man die Kommunikation der Mitarbeiter keinesfalls außer Acht lassen.

Damit der Köder dem Phish nicht schmeckt...

Firewalls und Antivirensoftware sind weiterhin unverzichtbar, das steht außer Frage. Allerdings werden die Betrüger bei ihren Aktionen immer raffinierter. Will man den betreffenden Köder nicht schlucken, muss man ähnlich raffiniert vorgehen. Hier sind einige Tipps, wie Sie den Netzen von Phishern und Whaler entgehen:

  • Unternehmen sollten die Konfiguration der E-Mail-Accounts ihrer Führungskräfte ändern. Zum Beispiel statt der in Unternehmen meist üblichen E-Mail-Adresse Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! das Schema Nachname.Vorname@ oder auch AnfangsbuchstabeVorname.Nachname@ verwenden oder besser noch ein Pseudonym, das nur eingeweihte Mitarbeiter kennen – Hauptsache, man macht es dem Phisher unmöglich, eine E-Mail zu fälschen.
     
  • Führen Sie einen ganz bestimmten Prozess ein, der bei ungewöhnlichen Anfragen befolgt werden muss – einige der Überweisungsbetrügereien der letzten Jahre hätten durch ein kurzes Telefonat zur Bestätigung der Anfrage verhindert werden können.
     
  • Erwägen Sie die Einführung eines „Geheimcodes“, eine Wendung, die Führungskräfte gebrauchen, wenn sie miteinander kommunizieren, damit Nachrichten sofort als echt erkennbar sind.
     
  • Verschlüsseln Sie grundsätzlich alle E-Mails – das verhindert zwar nicht, dass ein Betrüger eine Nachricht versendet und diese ankommt, doch allein die Tatsache, dass sie nicht verschlüsselt ist, würde den Empfänger stutzig machen.
     
  • Um das Risiko weiter zu begrenzen sind zuverlässige E-Mail- und Web-Filter unerlässlich.

Das Netz des Walfängers zu erkennen, ist schwierig, aber nicht unmöglich.

Fred Touchette, Manager of Security Research bei AppRiver

https://de.appriver.com

GRID LIST
Tb W190 H80 Crop Int Cc956cb8b76a48ab25093365b37dfc0c

Spectre-NG: Weitere Sicherheitslücken in Prozessoren

Im Januar 2018 wurden unter den Bezeichnungen "Spectre" und "Meltdown" schwer zu…
Tb W190 H80 Crop Int Fff03ad1554fb492cd1df6c7ccf69ca1

Telegram Chatgruppen als neuen Marktplatz für Cybercrime

Die Sicherheitsforscher von Check Point Software Technologies, erkennen eine neue…
Tb W190 H80 Crop Int 6146d7037a40c2f874a1f5d3399939c7

User Bashing: Mitarbeiter sind mit IT-Sicherheit überfordert

Die IT-Sicherheit lädt zu viel Verantwortung auf den Mitarbeitern ab. Günter Junk, CEO…
Tb W190 H80 Crop Int Ffc884102cf599e1985eaa1355f9b2fa

Probleme PGP und S/MIME sind keine Überraschung

Verschlüsselte E-Mails sind „nicht mehr sicher“ - Forschern ist es gelungen, diesen…
Tb W190 H80 Crop Int 5db74c35038f85cc90618c59a5cf8fbe

E-Mail-Verschlüsselung bleibt sicher

Am 14.05.2018 veröffentlichte ein Team aus Sicherheitsforschern der Fachhochschule…
Tb W190 H80 Crop Int 7f34eb55b3556a8251b3162716d61345

Efail-Schwachstellen

Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security