IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Fred Touchette, Senior Security Analyst AppRiver, über Bait Phishing und wie man sich davor schützen kann.

Das Jahr 2013 endete mit einem zielgerichteten Großangriff auf die Finanzdaten von geschätzt über 40 Millionen Usern von "Target“, dem zweitgrößten Discounteinzelhändler in den USA – man darf jedoch getrost von einer weit höheren Zahl ausgehen. Als Ursache wurde in der darauffolgenden Analyse eine Phishing-E-Mail identifiziert. Sie war an einen externen Dritten verschickt worden, und auf diesem Weg hatten sich die Cyberkriminellen Zugang zu den Netzwerken des Retailers verschafft. 

Target wird nicht das erste und auch nicht das letzte Opfer einer solchen Attacke sein. 2014 startete bereits mit einer Rekordzahl von Phishing-Angriffen, gleichzeitig verzeichneten wir eine explosiv ansteigende Anzahl von Malware-E-Mails. Und, wie uns ein Mitarbeiter mit hochrotem Kopf gestand, diese Angriffe funktionieren... Haben wir es hier tatsächlich mit dem nächsten Level vonPhishing-Attacken zu tun?

Ein Blick zurück: Was genau ist Phishing?

Phishing ist absolut nichts Neues. Zum ersten Mal tauchte der Begriff bereits 1995 auf. Damals sendeten sogenannte Scammer hunderte, ja tausende von E-Mails, meistenteils grammatisch eher inkorrekt, mit einem infizierten Anhang oder Link. Dies in der Hoffnung, dass unbedarfte Nutzer auf eben diesen Link oder Anhang klicken und ihn öffnen. Was auch geschah. 

Mit dem wachsenden Sicherheitsbewusstsein verfeinerten Cyberkriminelle über die Jahre ihre Methoden. Sicherheitsexperten erfanden dafür den Begriff des „Spear Phishing“. 

Malware-Versender, Phisher und Scammer setzten zunehmend auf die relative Bekanntheit einer Absender-Adresse, um bei ihren Angriffen eine entsprechende Legitimität vorzutäuschen. So sah es beispielsweise so aus, als ob die E-Mails aus dem Freundes- oder Bekanntenkreis kämen, von der Hausbank oder von Absendern einer bekannten Marke. Selbst wenn der Inhalt solcher E-Mails größtenteils voller inhaltlicher oder grammatischer Fehler war: mehr und mehr Nutzer klickten an der gewünschten Stelle. Auch wenn potenzielle Opfer längst nicht mehr so leichtgläubig sind, ist diese Methode immer noch vergleichsweise gängig und erfolgreich. 

Die nächste Stufe: Bait Phishing

Die Angriffsmethode als solche hat sich dabei nicht generell verändert. Allerdings verwenden Hacker heutzutage andere Wege um ans Ziel zu gelangen. Ursprünglich zielten die Attacken auf Mitarbeiter mit entsprechend weitreichenden Zugriffsrechten auf IT-Systeme. Inzwischen konzentrieren sich Angriffe darauf, intern eine Stufe tiefer anzusetzen oder es gleich über externe Dritte zu versuchen. Man kann es mit dem Sportfischen vergleichen: Mit den kleinen Fischen fängt man die Großen.

Ob „Target“ im geschilderten Fall wirklich von Anfang an das Ziel der Attacke war oder einfach eine besonders gute Gelegenheit geboten hat, das sei dahingestellt. Fazit ist: hat erst ein Mal ein Mitarbeiter auf den Link geklickt oder den Anhang geöffnet, läuft der Prozess unweigerlich in der geschilderten Form ab. Und insofern ist die Attacke auf Target beispielhaft. Will man im Bild bleiben hat sich der „Modus Operandi“ von ursprünglich breitgefächerten Offensiven hin zu zielgerichteten Attacken gewandelt. Diese Kampagnen haben ziemlich wenig mit Glück, dafür aber umso mehr mit perfekter Planung zu tun. 

Kampagnen, bei denen tausende von E-Mails verschickt werden, gibt es immer noch. Allerdings implementieren Cyberkriminelle aktuell sehr viel subtilere Methoden, wie sie beispielsweise sonst bei Marketingkampagnen eingesetzt werden. Das Ziel wird ausgewählt, sorgfältig recherchiert und die Bedingungen analysiert. Man findet so viel wie möglich heraus, um mit der Attacke ins Schwarze zu treffen. 

Scammer bedienen sich nicht selten der „Kunst der Illusion“. Das potenzielle Opfer wird zunächst genau beobachtet: welche Art von E-Mails erhält der User, wie sind die E-Mails aufgebaut und in welchem Design, von welchen Absendern/Unternehmen kommen sie? Ein Scammer hat dann die Möglichkeit, seine Kampagne mit einer hohen Wahrscheinlichkeit genauso aufzubauen, dass der User den betreffenden Anhang öffnet oder auf den in der Mail enthaltenen Link klickt. 

Für Cyberkriminelle hält sich der Aufwand um an persönliche Daten zu kommen in Grenzen. Sehen wir uns zu diesem Zweck erfolgreiche Attacken auf Unternehmen an. Unsere Daten sind bekannt, unsere Online-Gewohnheiten sind es auch. Sie kaufen und nutzen Adobe-Produkte, sind bei LinkedIn registriert, sind Kunde von Barclays und spielen gelegentlich auf einer PlayStation von Sony? Das sind nur einige der Unternehmen, die Scammer bereits erfolgreich attackiert haben. 

Cyberkriminelle verfügen inzwischen genau über die persönlichen Informationen, von denen wir annehmen, dass sie nur vertrauenswürdigen Quellen vorliegen. Ergo sehen die E-Mails, die wir dann erhalten ganz genauso aus wie wir es erwarten. 

Die Auswirkungen sind weitreichend. Stellen Sie sich vor, dass Sie einen Stein ins Wasser werfen und die Kreise breiten sich weiter und weiter aus. Das ursprüngliche Opfer ist längst nicht mehr allein betroffen. Hat ein Scammer den Fuß in der Tür, versucht er seine Zugriffsrechte sukzessive zu erweitern. Bis er genau das System erreicht hat, das die für ihn wertvollsten Daten enthält. 

In unserem Beispiel ist es ein Einzelhandelsunternehmen, aber prinzipiell kann natürlich jedes Unternehmen in die Schusslinie geraten. Ein Banker, ein Mitarbeiter in der Buchhaltung oder ein einfacher Nutzer mit Zugriff auf persönliche Daten... – wird einer von ihnen das Opfer einer derartigen Attacke sind sowohl Unternehmens- als auch Kundendaten gefährdet. 

Begeben Sie sich aus der Schusslinie

Auf den ersten Blick sieht es so aus als hätten die Scammer alle Vorteile auf ihrer Seite. Es gibt allerdings einige Grundsätze, die man beherzigen kann, um nicht Opfer einer Bait-Phishing-Attacke zu werden: 

  • Verwenden Sie ein mehrstufiges Sicherheitssystem. Halten Sie Firewall und AV-Software immer auf dem aktuellen Stand (Updates etc.)
  • Ziehen Sie ein System zur E-Mail-Filterung in Betracht 
  • Stellen Sie sicher, dass Sie Sicherheitslücken schließen und die entsprechenden Updates einspielen. Dies gilt ganz besonders für die von Scammern bevorzugten Ziele wie Java, Adobe-Produkte und diverse Betriebssysteme.
  • Antworten Sie nie auf Spam-Nachrichten, mit denen Sie aufgefordert werden persönliche, finanzielle Daten preiszugeben.
  • Haben Sie Zweifel an der Legitimität eines Anrufers oder eines E-Mail-Absenders? Reagieren Sie nicht auf die Mail und wenden sich direkt und über die offiziellen Kontaktmöglichkeiten direkt an das (angebliche oder tatsächliche) Absenderunternehmen.
  • Öffnen Sie niemals Anhänge oder klicken auf Links in E-Mails von zweifelhafter oder unbekannter Herkunft.
  • Wenn Sie sensible Daten übermitteln (und sei es über ein Formular auf einer Webseite), achten sie stets darauf, dass SSL verwendet wird „https://“ und nicht das ungesicherte „http://“. Der Link sollte im Browser grün angezeigt werden oder das „Lock Icon“ sichtbar sein. 
  • Selbst wenn SSL verwendet wird, ist das noch keine hundertprozentige Garantie für eine sichere Kommunikation. Recherchieren Sie, bevor Sie Ihre Daten übermitteln.
  • Melden Sie Ungewöhnliches an die richtigen, eindeutig identifizierbaren Kanäle.
  • Schulen Sie Ihre Mitarbeiter kontinuierlich zu aktuellen Methoden und Techniken, die Cyberkriminelle anwenden.
  • Bait Phishing ist ein Phänomen, das sich weiter ausbreitet, und es zielt auf die Schwachstelle schlechthin in jedem System – den User selbst. Es gibt Nutzer, die weiterhin Anhänge öffnen, die auf Links in Scamming-E-Mails klicken – wäre das nicht der Fall, würden Cyberkriminelle nicht derart hartnäckig bei dieser Taktik bleiben. 

Unternehmen müssen sich in weitaus größeren Maßen bewusst machen, dass diese Bedrohungen real sind. Um sie zu stoppen oder doch wenigstens einzudämmen, müssen Unternehmen verstärkt intern darüber kommunizieren und ihre Mitarbeiter kontinuierlich schulen. Man könnte getrost eine Wette darauf abschließen: auch der Einzelhändler aus unserem Eingangsbeispiel wäre froh, wenn er nicht auf genau diesen Link geklickt hätte. 

Von: Fred Touchette, Senior Security Analyst AppRiver

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet