Phishing Trends: Es geht längst nicht mehr um Malware

Die Modalitäten und Ziele der Cyberangreifer hat sich verändert, warnt Gastautor Lance Spitzner vom SANS Institute.

Phishing war und ist eine der häufigsten Angriffsmethoden, die Cyberangreifer einsetzen, weil sie so effektiv ist. Phishing ermöglicht es Cyber-Angreifern, die meisten Sicherheitskontrollen zu umgehen. In Berichten wie dem Verizon DBIR oder dem Microsoft Digital Defense Report wird Phishing nach wie vor als eines der größten Risiken genannt. In den letzten Jahren hat sich Phishing darüber hinaus ständig weiterentwickelt. Während viele der emotionalen Köder, mit denen Menschen zum Opfer werden, gleich geblieben sind, haben sich sowohl die Modalitäten als auch die Ziele der Cyberangreifer verändert.

Modalitäten

Traditionell wurde Phishing per E-Mail betrieben. Inzwischen werden jedoch auch Messaging-Technologien wie iMessage von Apple, WhatsApp und Standard-SMS-Funktionen verwendet. Phishing-Angriffe per SMS werden immer beliebter, da viele Mobiltelefone keine Filterfunktion haben, was bedeutet, dass Betrügereien und Angriffe viel wahrscheinlicher sind, dass sie durchkommen. Da Textnachrichten in der Regel viel kürzer sind und wenig Kontext enthalten, ist es auch viel schwieriger zu erkennen, was legitim ist und was ein Angriff ist. Daher sollten Security Awareness-Trainer bei der Schulung der Mitarbeiter darauf hinweisen, dass Phishing-Angriffe nicht mehr nur per E-Mail, sondern über jede Art von Messaging-Technologie erfolgen.

Ziele

In der Vergangenheit war es das Ziel von Cyber-Angreifern, mit Phishing-Angriffen Malware auf dem Computer des Opfers zu installieren. Da Malware-Infektionen für IT-Sicherheitsteams jedoch immer leichter zu erkennen sind, hat sich dieser Ansatz grundlegend geändert. In der heutigen Welt gibt es drei weitere Ziele von Phishing-Angriffen.

Passwörter ausspähen
Phishing wird eingesetzt, um Opfer dazu zu bringen, auf einen Link zu klicken, der sie auf eine Website führt, die ihre Passwörter ausspäht. Sobald die Anmeldedaten einer Person gestohlen sind, können Cyberangreifer unbemerkt großen Schaden anrichten. Cyber-Angreifer verschicken beispielsweise E-Mails, die vorgeben, von einer Bank zu stammen, um mit diesen Anmeldedaten auf persönliche Finanzkonten zuzugreifen und Geld zu stehlen. Ein weiterer gängiger Phishing-Köder ist das Versenden von E-Mails, die vorgeben, von Microsoft zu stammen, damit die Angreifer die Anmeldedaten für die arbeitsbezogenen Microsoft 365-Cloud-Konten der Benutzer stehlen können.

Opfer ans Telefon bekommen 
Immer mehr Phishing-Angriffe haben keinen Link oder Anhang, sondern nur eine Telefonnummer als Angriffspunkt. Das Ziel des Cyberangreifers ist es, das Opfer dazu zu bringen, eine Telefonnummer anzurufen. Sobald das Opfer am Telefon ist, setzen die Cyber-Angreifer die Menschen mit Geschichten und Emotionen unter Druck, um sie zu Handlungen zu bewegen, z. B. zur Preisgabe ihrer Passwörter, zum Kauf von Geschenkkarten oder zur Überweisung von Geld von ihren Bankkonten auf Konten, die von den Angreifern kontrolliert werden. Die Angreifer haben gelernt, dass diese Angriffe zwar in der Regel viel mehr Arbeit erfordern, da sie nicht automatisiert sind, dass sie aber oft erfolgreicher und profitabler sind, da sie Menschen um ihre Giro-, Spar- oder Rentenkonten betrügen und ihre gesamten Ersparnisse stehlen können.

ScamsV
iele Phishing-E-Mails enthalten weder einen Link noch einen Anhang. Stattdessen sind die Nachrichten oft sehr kurz und geben sich als eine Person aus, die das Opfer kennt oder der es vertraut, z. B. als sein Chef, ein Kollege oder ein Lieferant, mit dem es zusammenarbeitet oder einkauft. BEC- (Business E-Mail Compromise) oder CEO-Fraud-Angriffe sind ein gängiges Beispiel, bei dem Cyber-Angreifer eine dringende E-Mail an eine bestimmte Person in der Kreditorenbuchhaltung senden, die sich als eine sehr hochrangige Führungskraft ausgibt und die Person unter Druck setzt, eine Rechnung oder Zahlung zu genehmigen. Die Person in der Kreditorenbuchhaltung glaubt, das Richtige zu tun, und merkt nicht, dass sie eine Zahlung an Cyber-Kriminelle genehmigt.

Es geht darum herauszufinden welche Art von Phishing-Angriffen im Unternehmen vorkommen. Hierfür sollte man sich beim Cyber Threat Intelligence-Team, dem E-Mail-Support-Team oder bei denjenigen erkundigen, die für die E-Mail-Filterung oder den Perimeter-Schutz verantwortlich sind. Wenn eine Anti-Phishing-Lösung eingesetzt wird, kann das IT-Sicherheitsteam die Art der Phishing-Angriffe im Unternehmen protokollieren und kategorisieren.

Häufigste Phishing-Indikatoren

Was sollten Security Awareness-Trainer Mitarbeitenden beibringen, damit sie diese sich ständig weiterentwickelnden Angriffe leicht erkennen können? Es empfiehlt sich nicht Mitarbeitende über verschiedene Arten von Phishing-Angriffen und alle möglichen Köder zu unterrichten. Dies würde nicht nur die Mitarbeiter überfordern, sondern die Angreifer ändern auch ständig ihre Köder und Techniken, es wäre also schnell überholt. Trainer sollten sich stattdessen auf die am häufigsten vorkommenden Indikatoren und Anhaltspunkte für einen Angriff konzentrieren.

Auf diese Weise werden Mitarbeitende geschult und in die Lage versetzt, unabhängig von den Methoden oder Ködern der Cyberangreifer vorzugehen.  Die Lehrenden sollten außerdem vermitteln, dass es bei Phishing-Angriffen nicht mehr nur um E-Mails geht, sondern dass verschiedene Messaging-Technologien verwendet werden. Aus diesem Grund sind die unten aufgeführten Indikatoren so effektiv, da sie bei fast jedem Phishing-Angriff vorkommen, unabhängig vom Ziel und davon, ob er per E-Mail oder per Messaging erfolgt.

Dringlichkeit
Jede E-Mail oder Nachricht, die ein starkes Gefühl der Dringlichkeit vermittelt und versucht, das Opfer zu einem Fehler zu drängen. Ein Beispiel ist eine Nachricht von der Regierung, die besagt, dass Steuern überfällig sind und der Empfänger im Gefängnis landen werden, wenn er oder sie nicht sofort zahlen. Je größer die Dringlichkeit, desto eher handelt es sich um einen Angriff.

Druck
Jede E-Mail oder Nachricht, die einen Mitarbeiter unter Druck setzt, Unternehmensrichtlinien und -verfahren zu ignorieren oder zu umgehen. BEC-/CEO-Betrugsangriffe sind ein gängiges Beispiel.

Neugierde
Jede E-Mail oder Nachricht, die große Neugierde weckt oder zu schön ist, um wahr zu sein, z. B. ein nicht zugestelltes UPS-Paket oder eine Rückerstattung von Amazon.

Tonfall
Eine E-Mail oder Nachricht, die scheinbar von einem Mitarbeiter stammt, aber der Wortlaut klingt nicht nach ihm, oder der allgemeine Tonfall oder die Signatur ist falsch.

Generisch
Eine E-Mail, die von einer vertrauenswürdigen Organisation stammt, aber eine allgemeine Anrede wie „Sehr geehrter Kunde“ verwendet. Wenn FedEx oder Apple ein Paket für einen Empfänger hat, sollten die Zusteller auch den Namen kennen.

Persönliche E-Mail-Adresse
Jede E-Mail, die scheinbar von einem seriösen Unternehmen, Lieferanten oder Mitarbeiter stammt, aber eine persönliche E-Mail-Adresse wie @gmail.com verwendet.

Phishing-Indikatoren ohne Empfehlung

Dies sind typische Indikatoren, die in der Vergangenheit empfohlen wurden, die aber nicht mehr zu empfehlen sind.

Rechtschreibfehler
Trainer sollten aufhören zu berichten, das Rechtschreib- oder Grammatikfehler Indikatoren für Phishing sind. In der heutigen Welt ist es wahrscheinlicher, dass Empfänger eine legitime E-Mail mit Rechtschreibfehlern erhalten als einen raffinierten Phishing-Angriff. Rechtschreibfehler werden höchstwahrscheinlich noch seltener werden, da Cyberangreifer KI-Lösungen einsetzen, um ihre Phishing-E-Mails zu erstellen und zu überprüfen und etwaige Rechtschreib- oder Grammatikfehler zu korrigieren.

Hovering über der Absender E-Mail
Eine häufig gelehrte Methode besteht darin, mit dem Mauszeiger über den Link zu fahren, um festzustellen, ob er legitim ist. Diese Methode ist nicht mehr zu empfehlen, es sei denn, es handelt sich um ein sehr technisches Publikum. Das Problem bei dieser Methode ist, dass man Mitarbeitenden beibringen muss, wie man eine URL entschlüsselt – eine verwirrende, zeitraubende und technische Fähigkeit. Darüber hinaus sind viele der heutigen Links schwer zu entschlüsseln, da sie von Phishing-Sicherheitslösungen wie Proofpoint umgeschrieben werden. Außerdem kann es schwierig sein, mit mobilen Geräten über Links zu fahren und das ist letztlich eine der häufigsten Arten, wie Menschen E-Mails lesen. Und wenn jeder Mitarbeiter im Unternehmen darauf trainiert wird, jeden Link in jeder E-Mail mit dem Mauszeiger zu überfliegen und zu analysieren, ist dies ein Verhalten, das für Ihr Unternehmen extrem kostspielig ist.

 

Lance Spitzner

ist Director Security Awareness beim SANS Institute.