Anzeige

Anzeige

VERANSTALTUNGEN

SAMS 2019
25.02.19 - 26.02.19
In Berlin

Plutex Business-Frühstück
08.03.19 - 08.03.19
In Hermann-Ritter-Str. 108, 28197 Bremen

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

ELO Solution Day Hannover
13.03.19 - 13.03.19
In Schloss Herrenhausen, Hannover

Anzeige

Anzeige

Social Engineering

Die Bösewichte, die Phishing-Kampagnen durchführen, sind nichts Besonderes, aber unerbittlich innovativ. Bei der Betrachtung neuer Trends im Phishing-Bereich, konzentrieren wir uns oft ausschließlich auf die technischen Innovationen der Malware, die auf den Desktops der Anwender bereitgestellt wird.

Während die Entwicklungen bei bösartiger Software in den letzten Jahren auffällig waren, vor allem bei Ransomware, sollten nicht die anderen kleineren, subtileren Innovationen, die Online-Betrüger in ihren Phishing-Kampagnen verwenden, übersehen werden. Das Herzstück jedes Phishings, der in den Posteingangsfächern der Benutzer landet, ist ein Social Engineering Job - ein Versuch, leichtgläubige Benutzer dazu zu bringen, realitätswidrige Behauptungen zu glauben und sie dann zu gefährlichen Aktionen, zu überreden.

Die Kunst des Lügens ist eine der dunklen Künste - ein Unterfangen, das diejenigen mit der Geduld für kleine Gesten und einem scharfen Blick für scheinbar harmlose Details, die dennoch den Unterschied ausmachen, belohnt. Im Folgenden werfen wir einen Blick auf mehrere Trends im Bereich Social Engineering, die wir in den Phishing-E-Mails beobachtet haben und die Kunden über den Phishing Alert Button (PAB) mit uns teilen möchten. Klassische Phishing-E-Mails necken die Nutzer oft mit Angeboten, die zu gut sind, um wahr zu sein (denken Sie an nigerianische 419 Phishings und andere ähnliche Vorauszahlungsbetrügereien).

Oder sie behaupten, dass kleinere Probleme mit Online-Konten behoben werden müssen (z.B. ihre stereotypen Zugangsdaten, die die Nutzer einladen, sich auf gefälschten Online-Banking-Seiten anzumelden, um ihre Identität zu bestätigen oder Datenprobleme zu korrigieren). Die Bösewichte setzen die Mitarbeiter mit ihren Kampagnen unter Druck. Hier ist ein typisches Beispiel, das wir als „negative Folgen vermeiden“ Phishing nennen werden:

Phishing negative Folgen

Und hier ist eine Variante, die angeblich aus dem IT-Helpdesk eines Unternehmens stammt:

Phishing Helpdesk

Das Ziel dieses Phishings ist es eindeutig, die Benutzer zu zwingen, auf ein unmittelbares Problem, das für den Empfänger von lebenswichtigem Interesse ist, zu reagieren (nur wenige von uns könnten unsere Jobs mit einem deaktivierten E-Mail-Konto erledigen, trotz der schieren Menge an Ärger, die uns eine aktive Person täglich verursacht). Die Warnung der Nutzer vor negativen Folgen ist jedoch nicht der einzige Weg, wodurch gezielte Marken erzwungen werden können, auf Anfragen zu reagieren.

Die Aussicht auf einen bevorstehenden Anruf reicht für viele Desktopgebundene Benutzer aus, um die Eröffnung eines infizierten Anhangs zu rechtfertigen. Wenn die Bösewichte jedoch einen maximalen Druck auf die Benutzer ausüben möchten, bringen sie zunehmend die großen Entscheidungsträger mit. Zum Beispiel den Präsidenten oder CEO einer bestimmten Organisation.

Die meisten Betrugs-Phishings beginnen mit einer einfachen Frage: „Bist du im Büro?“ oder „Bist du an deinem Schreibtisch?“ Beachten sie, wie diese einfache einzeilige Variante den Empfänger sofort unter Druck bringt und eine konforme, unbedachte Antwort verlangt.

Benutzer in eine schwierigen Situation zu bringen, ist nicht der einzige Weg, diese zu überzeugen, einen infizierten Anhang zu öffnen oder auf einen gefährlichen Link zu klicken. Manchmal genügt ein subtilerer, weniger offensichtlicher Ansatz. In diesem Phishing erschaffen die Bösewichte eine alternative Realität, die detailreich ist. Dadurch werden Kunden potenzieller Marken verwirrt und sind dazu gezwungen, auf einen bösartigen Link zu klicken, sodass sie den Sinn der E-Mail, die vor ihnen auf ihrem Bildschirm steht, verstehen können.

Phishing Marken

Die Menge an Kontext und Details kann sich als Hürde für das Handeln erweisen. Beachten Sie, wie ungenau der Aufruf zum Handeln in dem oben genannten Phishing und im dritten Absatz der E-Mail versteckt ist. Einige Benutzer werden dies möglicherweise nicht sehen. In vielen Fällen kann eine kleine Entdeckung von persönlichem Kontext und Details ausreichen, um eine alarmierende Aufforderung ein infiziertes Word-Dokument zu öffnen, in ein alltägliches Büroereignis umwandeln:

Phishing Büroereignis

Eine Sache, auf die sich die Bösewichte verlassen, ist die Verwirrung seitens der Mitarbeiter von Firmenbüros. Merkwürdigerweise, sind unerwartete Anfragen in vielen Büroumgebungen häufig – solche Aufforderung nachzukommen, könnte von vielen Mitarbeitern als normal betrachtet werden.

Wenn kleine Details ausreichen

Subtile, kleine Details, die Phishing-E-Mails legitim erscheinen lassen, würden (oder sollten zumindest) den Verdacht erregen.

Offensichtlich werden die Phishing Anmeldeinformationen genau das tun, was im Disclaimer nicht angegeben ist: das Passwort des Benutzers und andere sensible Informationen per E-Mail anfordern. Je dreister solche kleinen Details sind, desto überzeugender können sie sein:

KnowBe4 Phishing 9

Schlechte Grammatik ist nicht mehr das, was sie mal war

Ein Großteil der Ratschläge, die den Nutzern in den letzten Jahren zur Erkennung von Phishing-E-Mails gegeben wurden, bestand daraus unzulässige Grammatik- oder Syntax- und Rechtschreibfehler zu erkennen. Obwohl viele frühere Phishing-Kampagnen urkomisch und ungeschickt gewesen sind, sind die Bösewichte im Umgang mit Malware und Social Engineering Hooks, die darauf abzielen, den gezielten Organisationen maximalen Schaden zu verursachen, sehr erfahren.

Man kann sich nicht mehr darauf verlassen, dass die Bösewichte dumm oder plattfüßig sind. Sie verführen Mitarbeiter mit immer anspruchsvolleren Social Engineering Hooks und führen Phishing-Kampagnen durch, die die Langeweile und Verwirrung einer typischen Büroumgebung ausnutzen. Um diese Art von subtil gemachten Social Engineering-Angriffen zu bekämpfen, benötigen Unternehmen ein Security Awareness-Training, denn wenn die E-Mail- Sicherheitslösung diese Art von raffiniertem Angriff nicht erkennt und der Angreifer erst im Netzwerk sein Unwesen treibt, sind die Mitarbeiter die letzte Verteidigungslinie.

Stu SjouwermanStu Sjouwerman, CEO bei KnowBe4

www.knowbe4.com

 

GRID LIST
Trojaner

RTM-Banking-Trojaner hat es auf KMUs abgesehen

Experten von Kaspersky Lab warnen vor dem ,RTM-Banking-Trojaner‘: Der Schädling hat es…
Cyberattacken

Cyberangriffe auf Lieferketten – neue Waffen im Handelskrieg

Sie sind schwerbewaffnet und richten oft großen Schaden an – egal ob Hobbyhacker,…
Phishing

Achtung Phishing: Gefälschte Amazon-Mails

Erneut ist der Versandhändler Amazon Opfer einer Phishing-Welle geworden. Unbekannte…
Stephan von Gündell-Krohne

Darum ist das IoT das Thema auf der Sicherheitskonferenz

Smarte Technologie gehört fest zum Unternehmensalltag – trotz bekannter…
Marc Wilczek

Account-Daten im Darknet

Wie bekannt wurde, steht eine enorm große Datenbank mit E-Mailadressen sowie Passwörtern…
Danger Online-Dating

Valentinstag: Die Gefahr hinter Dating-Apps

Die neue Netflix-Serie „You“ zeigt auf, wie einfach es im Zeitalter von Social Media und…
Smarte News aus der IT-Welt