Phishing-Angriffe mit Erklärung, Beispielen und Empfehlungen zur Bekämpfung
2023 Mid-Year Threat ReportPhishing ist ein Social Engineering Angriff auf die Sicherheit, bei dem versucht wird, die Zielpersonen zur Freigabe sensibler und wertvoller Informationen zu bewegen. Bei diesem manchmal als „Phishing-Betrug“ (oder Scam) bezeichneten Angriff nimmt der Angreifer die Zugangsdaten der Benutzer, finanzielle Informationen (z. B. Kreditkartennummern oder Bankkonten), Unternehmensdaten und alle möglicherweise wertvollen Daten ins Visier.
Großunternehmen risikieren aufgrund ihrer Größe und der Möglichkeit, dass Angreifer Lücken in ihren Sicherheitssystemen finden, Phishing-Angriffen zum Opfer zu fallen. Wenn der Phishing-Angriff erfolgreich ist, könnte ein Mitarbeiter, der auf den Betrug hereinfällt, das gesamte Unternehmen langfristig in Gefahr bringen. Unternehmen müssen ihre Anfälligkeit für Phishing-Angriffe mithilfe von Penetrationstests bewerten, und die Ergebnisse dieser Tests in ihren Schulungen für IT-Sicherheit vermitteln.
In seiner Basisdefinition bezeichnet der Begriff Phishing-Angriff häufig einen breit ausgelegten Angriff, der auf eine große Anzahl von Benutzern (oder „Zielpersonen“) abzielt. Dieser Ansatz verfolgt das Prinzip „die Menge macht's“ und bedarf nur minimaler Vorbereitung durch den Angreifer unter der Annahme, dass mindestens einige der Zielpersonen ihm zum Opfer fallen (weshalb sich die minimale Vorbereitung anbietet, auch wenn der erwartete Gewinn für den Angreifer in der Regel nicht groß sein wird).
Phishing-Angriffe erwecken in der Regel die Aufmerksamkeit des Benutzers über eine Nachricht, die mit einem Appell an die Emotionen oder Wünsche eine bestimmte Reaktion hervorrufen soll (normalerweise einem Mausklick). Hier ein paar Beispiele:
Es gibt viele Möglichkeiten, über die Angreifer versuchen, mithilfe einer einzigen E-Mail an Ihre Informationen zu gelangen. Es gibt jedoch häufig Indikatoren, die Ihnen helfen, zu erkennen, ob es sich um eine rechtmäßige E-Mail handelt.
Im Laufe der Jahre haben Angreifer Phishing-Angriffe weiterentwickelt und Varianten geschaffen, die mehr Vorbereitung seitens des Angreifers erfordern, aber entweder eine höhere Anzahl von Opfern oder eine höhere „Auszahlung“ pro Opfer (oder beides!) ergeben.
Wenn ein Phishing-Angriff auf eine Organisation oder bestimmte Einzelpersonen zugeschnitten wurde, wird er als Spear-Phishing bezeichnet (engl. für Speer). Bei diesen Angriffen geht es darum, im Vorfeld zusätzliche Informationen zu sammeln oder andere Elemente einzubauen – wie beispielsweise Firmenlogos, E-Mail- und Webadressen des Unternehmens oder anderer Unternehmen, mit denen es zusammenarbeitet, sowie ggf. auch professionelle oder persönliche Daten einer Einzelperson – um so authentisch wie möglich zu erscheinen. Der zusätzliche Aufwand des Angreifers zahlt sich in der Regel durch eine hohe Anzahl von Zielpersonen aus, die auf den Trick hereinfallen.
Erfahren Sie mehr über Spear-Phishing-Angriffe.
Eine Variante des Spear-Phishing-Angriffs ist das Whaling (Walfang), das auf die oberste Geschäftsleitung oder Unternehmensspitze abzielt. Whaling-Angriffe berücksichtigen in der Regel spezifische Aufgaben dieser Führungskräfte, um sie mit fokussierten Mitteilungen aus der Reserve zu locken. Wenn ein Whaling-Angriff zum Erfolg führt, kann die Beute für den Angreifer mitunter beträchtlich sein (z. B. hochrangige Zugangsdaten zu Firmenkonten, Geschäftsgeheimnisse usw.).
Erfahren Sie mehr über Whaling-Angriffe.
Eine weitere Variante der Spear-Phishing-Angriffe ist das Clone-Phishing. Bei diesem Angriff wird Zielpersonen eine Kopie (ein „Klon“) einer legitimen, bereits erhaltenen Nachricht gezeigt, in der der Angreifer jedoch spezifische Angaben geändert hat, um das Opfer so zu überlisten (z. B. böswillige Anhänge, ungültige URL-Links usw.). Da dieser Angriff auf einer bereits gelesenen, rechtmäßigen Nachricht beruht, kann er die Zielperson sehr effektiv täuschen.
Und mehr
Angreifer suchen nach immer neuen, kreativen Wegen, um ahnungslose Benutzer zu betrügen. Bei einem kürzlichen Phishing-Angriff wurde ein Google-Doc eingesetzt, das der Zielperson per E-Mail von einem ihr bekannten Benutzer zugesandt worden war, aber dann jedoch versuchte, die Google-Zugangsdaten der Zielperson abzurufen und sich gleichzeitig an alle E-Mail-Adressen im Adressbuch der Zielperson zu versenden. Eher passive Angriffsarten wie Pharming bewirken Verluste von gleichem Ausmaß wie Phishing-Angriffe.
Angreifer verwenden eine Reihe von Mechanismen, um ihre Zielpersonen zu erreichen, einschließlich E-Mail, Social Media, Instant Messaging, SMS und infizierte Websites – einige Angriffe werden sogar per Telefon durchgeführt. Unabhängig von ihrer Durchführung setzen Phishing-Angriffe bestimmte Methoden ein.
Eine häufig verwendete Täuschung ist die Maskierung einer bösartigen URL als authentisch, was die Wahrscheinlichkeit erhöht, dass der Benutzer die kleinen Unterschiede nicht bemerkt und die schadhafte URL anklickt. Während einige dieser manipulierten Links von Zielpersonen, die das Prinzip „Check before they click“ (Vorm Klicken prüfen) befolgen (z. B. authentische URL thelegitbank.com im Vergleich zur dubiosen theleg1tbank.com), leicht als suspekt erkannt werden, können Dinge wie Homegrafie-Angriffe, bei denen ähnlich aussehende Buchstaben vertauscht werden, die Reichweite der visuellen Erkennung mindern.
Es sind nicht nur Links, die Angreifer betrügerisch verändern. Ganze Websites können mit Flash oder JavaScript so verändert werden, dass sie authentisch und rechtmäßig erscheinen, was es dem Angreifer ermöglicht, selbst festzulegen, wie der Zielperson die URL angezeigt wird. Das bedeutet, dass die Website die rechtmäßige URL aufzeigen könnte, auch wenn der Benutzer tatsächlich die bösartige Website besucht. Cross-Site Scripting (XSS) geht in diesem Angriff noch einen Schritt weiter: XSS-Angriffe nutzen die Schwachstellen einer rechtmäßigen Website aus, was es dem Angreifer ermöglicht, die eigentliche Website anzuzeigen (mit der rechtmäßigen URL, den passenden legitimen Sicherheitszertifikaten usw.) und dann im Hintergrund die vom Benutzer eingegebenen Zugangsdaten zu stehlen.
Umleitungen geben dem Angreifer Gelegenheit, eine Interaktivität des Browsers des Benutzers mit einer unerwarteten Website zu erzwingen. Bösartige Umleitungen beinhalten in der Regel eine Website, die der betroffene Benutzer normalerweise oder bewusst besucht, über die dann alle Besucher auf eine nicht gewünschte, vom Angreifer gesteuerte Website umgeleitet werden. Das erzielt der Angreifer, indem er eine Website mit ihrem eigenen Umleitungscode versieht oder indem er einen vorhandenen Bug auf der Website entdeckt, der es ihm ermöglicht, eine erzwungene Umleitung über beispielsweise speziell bearbeitete URLs herbeizuführen.
Wie der Begriff besagt, sorgen heimliche Umleitungen dafür, dass der Zielbenutzer nur schwer erkennen kann, dass er mit einer Angreifer-Website in Verbindung steht. Ein geläufiges Szenario einer heimlichen Umleitung wäre es, wenn ein Angreifer eine bestehende Website kompromittiert, indem er einer vorhandenen Schaltfläche „Anmeldung bei Ihrem Social-Media-Konto“ eine neue Aktion hinzufügt, die der Benutzer anklickt, um einen Kommentar zu hinterlassen. Diese neue Aktion erfasst die Zugangsdaten zu den Social Media und sendet sie an die Angreiferwebsite, bevor er zur eigentlichen Social-Media-Website zurückkehrt. Die Zielperson merkt nichts von diesem Umweg.
Die folgenden Empfehlungen wurden entwickelt, um Phishing-Angriffe zu verhindern bzw. deren Auswirkungen zu mindern:
In dieser Reihe von Whiteboard Wednesday diskutiert der Senior Product Marketing Manager Justin Buchanan, wie Mitarbeiter potenzielle Phishing-Bedrohungen am Arbeitsplatz erkennen können.
Zudem ist es immer sinnvoll, die Benutzer- und Infrastruktursysteme regelmäßig auf Malware zu scannen und diese mit Software-Updates/Patches auf dem neuesten Stand zu halten.
Die Breite der Phishing-Angriffe und Angriffsmethoden mag beunruhigend sein, aber eine geeignete Schulung über Phishing-Angriffe, deren Funktion und potenzielle Schäden für Benutzer und deren Organisation kann dazu beitragen, dass Sie so gut wie möglich vorbereitet sind, um Bedrohungen zu erkennen und diese entsprechend zu mindern.