Bei mobile Phishing nicht ins Schwimmen geraten

Phishing gilt gemeinhin als eine der größten Herausforderungen für Cybersicherheit insbesondere im mobilen Umfeld. Im Laufe seiner Evolution hat Phishing unterschiedliche Stadien durchlaufen und sich in vielerlei Hinsicht weiterentwickelt. Deshalb ist die Methode auch heute noch ideal, wenn Hacker einen Angriff über den Weg des geringsten Widerstands lancieren wollen.

AOL machte schon in den frühen neunziger Jahren auf die ersten Phishing-Angriffe auf Basis von Algorithmen aufmerksam. Rund 20 Jahre später kamen E-Mail- und Domain-Spoofing in Mode. Diese Kampagnen waren allerdings eher schlecht aufgebaut und voller Darstellungsfehler. Die meisten Phishing-Angriffe zum Beispiel per E-Mail, waren so recht schnell als solche erkennen. Das hat sich inzwischen geändert. Hacker betreiben viel Aufwand um die Webseiten und den Auftritt namhafter Firmen überzeugend nachzubauen. Das führt zu zielgerichteten und äußerst effizienten Angriffen, die mit den Phishing-Attacken der ersten Stunde kaum noch etwas gemein haben.

Anzeige

Das Ziel ist es, durch sog. „Social Engineering“ einzelne Mitarbeiter oder Führungskräfte zu täuschen und sich so Zutritt zum Netzwerk zu verschaffen. Unternehmen haben allen Grund, Phishing nicht auf die leichte Schulter zu nehmen. Schätzungen zufolge lagen die durchschnittlichen Kosten infolge eines Phishing-Angriffs im Jahr 2018 bei 1,6 Millionen US-Dollar. Eine Summe, die das wirtschaftliche Aus für eine Firma bedeuten kann.

Webbasiertes Phishing

Seit 1994 werden Websites SSL-Zertifiziert. Der Sicherheitsstandard für eine gesicherte Site wird durch das bekannte Schlosssymbol in der Browserleiste dargestellt. Inhaltlich sagt es aus, dass die Seite vor Man-in-the-Middle-Angriffen, Fälschung und Spyware geschützt ist. Als Folge davon, begannen Hacker nach anderen Wegen zu suchen und https-Webseiten zu attackieren. Es existiert keine zentrale Behörde, die das Erstellen von https-Websites überwacht. Dieses Manko machen Cyberkriminelle sich zunutze, um https-fähige Phishing-Websites zu entwickeln und potenzielle Opfer bzw. „Targets“ täuschen. Nach einem Klick wird der ahnungslose Benutzer zu einer gefälschten Website weitergeleitet, die sich als die ursprünglich anvisierte legitime Website ausgibt. Sie zeigt dasselbe Sicherheitsschloss in der Adressleiste, das https-Präfix sowie den üblichen auf der Website gehosteten Content. Das Opfer hat also kaum einen Grund, diesem Webauftritt zu misstrauen, und fährt mit der Eingabe kritischer und sensibler Informationen und Daten fort. Die Methode erfreut sich dank ihrer Erfolgsquote bei Hackern großer Beliebtheit und hat sich entsprechend schnell und weit verbreitet.

Mobile Phishing

Smartphones wie wir sie heute vielfältig nutzen haben ihre ganz eigene Entwicklungsgeschichte hinter sich. Vom reinen Telefon zum Kommunikationsinstrument, hin zu einem Gerät, das sich in seinen Funktionen und seiner technischen Ausstattung prinzipiell nicht mehr von einem Laptop unterscheidet. Mit ganz wenigen Ausnahmen laufen Mobilgeräte nicht mehr auf proprietären oder gerätespezifischen Betriebssystemen. Vielmehr stützen sich 97 % aller verkauften Mobilgeräte auf eines von zwei Betriebssystemen. Ein Fakt, den Hacker sich längst zunutze gemacht haben. Aus gutem Grund. Aktuelle Malware ist mittlerweile so effektiv, dass sie sich sogar dediziert gegen bestimmte Gerätetypen richten kann. Für Hacker öffnet sich damit nicht nur ein breites zusätzliches Betätigungsfeld, sondern auch eines, welches man mit begrenzten Ressourcen erschließen kann. Moderne Mobilgeräte sind anfällig für Malware, Man-in-the-Middle-Angriffe, das Abgreifen von SMS-Informationen und vor allem Phishing-Angriffe.

Die meisten Angriffsszenarien profitieren davon, dass wir bei einem Mobilgerät noch viel eher geneigt sind auf einen schädlichen Link zu klicken oder eine legitim aussehende Malware zu installieren. Social Engineering, Phishing oder auch eine Kombination aus verschiedenen Angriffsvektoren sind die Mittel der Wahl. Der einzige Weg, sich vor Angriffen dieser Art zu schützen ist, den Nutzer zu sensibilisieren und technologisch zu unterstützen. Die Ergebnisse des letztjährigen Lookout-Report Mobile Phishing 2018: Mythen und Fakten für jedes moderne Unternehmen, zeigen, dass seit 2011 die Quote, mit der Nutzer eine mobile Phishing-URL anklicken, jedes Jahr im Durchschnitt um 85 Prozent gestiegen ist.

Im Gegensatz zu einer ‚kontrollierten‘ und konzentrierten Nutzung eines Laptops oder Desktops werden Smartphones im Multi-Tasking Modus verwendet: auf dem Weg in die Arbeit oder ins nächste Meeting, während einer kurzen Pause oder mal schnell am Abend auf der Couch vor den Nachrichten. Dazu kommt, dass viele Geräte in einem Mix sowohl für berufliche wie private Zwecke genutzt werden. Dies im Zusammenspiel mit kleineren Bildschirmen und eingeschränkten Möglichkeiten auf mobilen Plattformen echt von unecht zu unterscheiden hat Kriminellen neue Möglichkeiten eröffnet. Die Entwicklung hat sie sogar „gezwungen“, sich mit dem Angriffsmethoden auf mobilen Plattformen auseinanderzusetzen um nicht nur Zugangsdaten von Endverbrauchern zu „phishen“, sondern Mobilgeräte als Zugang auf Unternehmensinformationen zu missbrauchen.

Vor diesem Hintergrund greifen entsprechende Perimeter-Lösungen nur bedingt, will man sich vor Phishing-Versuchen auf mobilen Endgeräten schützen, da Geräte mehrheitlich außerhalb des eigenen, kontrollierbaren Netzes genutzt werden. Somit ist es für Cyberkriminelle heute einfacher und profitabler ein weitgehend ungeschütztes mobiles Endgerät anzugreifen als einen vergleichsweise gut geschützten Laptop oder Desktop. Um das Problem noch zu potenzieren, werden Smartphones mehrheitlich außerhalb des Unternehmens-WLANs genutzt – also in Netzen, die ein Unternehmen nicht kontrollieren kann. In Summe sind Unternehmen was den Schutz vor mobile Phishing angeht verstärkt auf verlorenem Posten und kommen nicht umhin sich ernsthafter als bisher mit dem Thema mobile Sicherheit auseinanderzusetzen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Mobil und geschützt

Es ist keine ganz leichte Aufgabe, betrügerische https-Websites zu erkennen. Erst einmal muss ein dedizierter Phishing- und Inhaltsschutz installiert sein, der die Website validiert und zuverlässig entscheidet, ob es sich um einen sicheren Link handelt. Die Information wird an das Unternehmen weitergeleitet, der unbefugte Zugriff blockiert und potenzielle Bedrohungen gemeldet.

Neben Aufklärungsarbeit versprechen besonders Technologien Abhilfe, die künstliche Intelligenz nutzen um Phishing-Angriffe vorausschauend zu erkennen. Für Menschen ist es kaum noch möglich Fake-Seiten von legitimen Seiten zu unterscheiden. Längst stehen Angreifern Phishing-Kits im Komponentensystem zur Verfügung, die sich auch mit wenig technischer Expertise bedarfsgerecht zusammenstellen lassen. KI-basierende Sicherheitstechnologien suchen deshalb im Internet aktiv nach Anzeichen für Phishing-Seiten. Auf Basis von maschinellem Lernen durchforsten die betreffenden Engines das Internet, um Infrastrukturen zu erkennen wie sie typischerweise von Phishing-Seiten genutzt werden. Die URL wird nach ähnlichen Kriterien analysiert wie eine Malware, in einem Browser ausgeführt und das Verhalten der Seite beobachtet. Diese Agenten extrahieren die Metadaten, Verhaltensweisen und Funktionen von Milliarden von Seiten, um Risikobewertungen zu erstellen. Dabei werden pro Tag bis zu 15 Millionen TLS Zertifikats-Events und 150.000 neue Domain-Registrierungen untersucht.

Fazit

Phishing ist ein globales Phänomen, das mit solch enormer Geschwindigkeit und so hohen Volumina von Statten geht, das einzelne Menschen und selbst Unternehmen überfordert sind, Angriffe rechtzeitig zu erkennen. Geschweige denn in Echtzeit darauf zu reagieren. Über die Zeit steigt die Gefahr von Phishing-Angriffen. Mobilgeräte haben fast alle Bereiche in Unternehmen durchdrungen. Wenn man versteht, wie einfach es ist die genannten Schwachpunkte auszunutzen, ist es keineswegs überraschend, dass mobile Phishing-Angriffe deutlich zunehmen. Überraschend ist demgegenüber allerdings, dass die meisten Unternehmen und Organisationen weiterhin beispielweise nur betriebliche E-Mails vor Phishing-Angriffen schützen. Phishing-Angriffe haben sich längst weit über den betrieblichen E-Mail-Vektor hinaus entwickelt und sind eines der primären Einfallstore für den Zugriff auf sensible Unternehmensdaten geworden.

Bernd Ullritz, Regional Sales Manager DACH, Loockout Inc., www.loockout.com/de
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.