ICT & Technik

IT-Sicherheit und Cloud-Management III

Unternehmen vor Spear-Phishing-Angriffen schützen

Jaya Baloo 21.05.2020
Im Gegensatz zum klassischen Phishing, bei dem Mails breit und teils unkoordiniert ver­sendet werden, werden beim Spear-Phishing einzelne Empfänger sorgfältig recherchiert, ausgewählt und persönlich angesprochen. Cyberkriminelle wollen damit nicht nur finanzielle Gewinne erzielen, sondern sich Zugang zum Unternehmensnetzwerk verschaffen.
PDF Kaufen

Laut dem jährlichen State-of-the-Phish-Bericht von Proofpoint hatten im Jahr 2019 mehr als die Hälfte der befragten Organisationen mit mindestens einem erfolgreichen Phishing-Angriff zu tun. Davon wiederum berichteten 88 Prozent von Spear-Phishing-Angriffen. Gleichzeitig konnten aber auch 78 Prozent der Befragten durch Schulungsmassnahmen zum Thema Cyber-Security die Anfälligkeit der Mitarbeiter für diese Angriffe reduzieren. Diese sind tagtäglich einer Flut von E-Mails ausgesetzt, welche sie neben Kundenbetreuung, Besprechungen und Anrufen ganz nebenbei beantworten müssen.

Zeitmangel – kombiniert mit mangelndem Wissen zu Cyberbedrohungen – führt schnell dazu, dass Mitarbeiter Opfer eines Spear-Phishing-Angriffs werden, weshalb Aufklärungsarbeit und Schulungen zu diesem Thema so wichtig sind. Ein solcher Angriff kann für ein Unternehmen nicht nur finanzielle Einbus­sen, sondern auch eine Gefährdung von sensiblen Unternehmens- und Kundendaten nach sich ziehen und im schlim­m­sten Fall den Ruf des Unternehmens schädigen. Um Attacken abzuwehren, müssen Anwender verstehen, was ein Spear-Phishing-Angriff ist, wie er aus­sehen kann und welche Massnahmen im Fall des Falles ergriffen werden müssen.


Das Spear-Phishing

Spear-Phishing ist eine Angriffsmethode, die meist mithilfe von E-Mail-Spoofing oder auf Social-Media-Plattformen erfolgt. Dabei werden andere Identitäten vorgetäuscht, sodass Nachrichten den Eindruck vermitteln, sie hätten einen anderen Ursprung oder eine andere Quelle. Ziel ist es, unbefugten Zugriff auf vertrauliche Daten oder Geld eines bestimmten Unternehmens zu erlangen. 

Neben klassischer Spionage und Erpressung nutzen Cyberkriminelle Spear-Phi­shing-Angriffe auch, um mittels Malware Computer zu übernehmen und sie so zu Teilen eines Botnets zu machen, das wiederum für DDoS-Angriffe genutzt werden kann. Der Erfolg der Angriffs­methode hängt von drei Faktoren ab:

  • Die vermeintliche Quelle muss so aussehen, als ob es sich um eine bekannte und vertrauenswürdige Person handelt.
  • Innerhalb der Nachricht befinden sich Informationen, die die Gültigkeit bestätigen sollen.
  • Die Anfrage ist realistisch und macht insofern Sinn, dass derartige Anfragen wirklich versendet werden.

Spear-Phishing-Versuche werden normalerweise nicht willkürlich initiiert. Vielmehr werden diese von Hackern, die auf finanziellen Gewinn, Geschäftsgeheimnisse oder Informationen aus sind und die nötigen Informationen über die Zielperson recherchieren, gezielt unternommen, um kompetent und vertrauenswürdig zu erscheinen. Im Allgemeinen handelt es sich um E-Mail-Absender, die von einer Person innerhalb des Unternehmens oder einer Person in einer Führungsposition stammen. Dabei sind die E-Mails oft so geschrieben, dass sie den Empfänger unter Druck setzen.

Eine besondere Art des Spear-Phishings  ist der sogenannte Whaling-Angriff. Dabei handelt es sich um einen Spear-Phishing-Angriff mit einem grösseren Ziel. Der Angreifer hat es hierbei speziell auf ranghohe Beschäftigte abgesehen: Geschäftsführer, Finanzvorstände oder andere Führungskräfte, die hohe Zugangsberechtigungen zu vertraulichen Unternehmensinformationen haben. Cyberkriminelle geben sich in solchen Fällen als Top-Manager aus, um mithilfe ihrer Autorität Mitarbeiter davon zu überzeugen, personenbezogene Daten und vertrauliche Informationen preis­zugeben. Die dafür eingesetzten E-Mails sind so professionell und fehlerfrei gestaltet, dass es sehr schwer ist, solche Nachrichten als Betrug zu identifizieren – vor allem wenn in diesen Mails die echten Logos und Kontaktdaten von Behörden verwendet werden. 


Worauf zu achten ist

Es gibt viele Hinweise, die helfen, zu erkennen, ob es sich bei einer E-Mail um Spear-Phishing handelt. E-Mail-Empfänger sollten sich folgende Fragen stellen:

  1. Ist der Absender einer E-Mail jemand, von dem ich eine Nachricht zu diesem Thema auch erwarten würde?
  2. Stimmen Schreibstil und Ton mit dem üblichen Stil des Absenders überein?
  3. Ist die Dringlichkeit echt beziehungsweise muss ich schnell auf diese E-Mail antworten? 
  4. Ist die Anfrage ungewöhnlich?
  5. Haben Kollegen ähnliche E-Mails erhalten oder gemeldet?

Grundsätzlich fordern die meisten Unternehmen, Banken und Agenturen keine persönlichen Informationen per Mail an. Wenn sich der Empfänger unsicher ist, kann er sich per Telefon bei dem jewei­ligen Unternehmen oder der Bank erkundigen – allerdings unter einer Telefonnummer, die auf der offiziellen Website zu finden ist. Um festzustellen, ob es sich in der Nachricht um gefälschte Links oder verdächtige URL-Shortener handelt, hilft es, mit der Maus über den Link zu fahren – ohne darauf zu klicken –, um zu sehen, was sich dahinter verbirgt.

Bei einem Verdacht ist es sinnvoll, Muster in einem E-Mail-Header zu überprüfen, um zu erkennen, ob die Nachricht echt ist. Beispielsweise können Nachrichten aus einer nicht vertrauenswürdigen Quelle stammen, auch wenn der richtige Name als Absender erscheint, die E-Mail-Adresse aber falsch ist.


Verdächtige Mails: Grundregeln 

Sobald man einen Spear-Phishing-Angriff erkannt hat, sollte man sich an folgende Grundregeln halten:

  • Keine Anhänge öffnen, nicht auf Links klicken und auf keinen Fall antworten.
  • Weder Passwörter noch Anmeldedaten per E-Mail versenden.
  • Die E-Mail sollte unverzüglich an den oder die IT-Sicherheitsverantwort­li­che(n) oder die IT-Abteilung des Un­ternehmens gemeldet werden. Falls diese nicht existiert, sollte die E-Mail an die Geschäftsleitung des Unternehmens gemeldet und dann gelöscht werden. 
  • Die Unternehmensleitung sollte das gesamte Unternehmen informieren. Wenn ein Mitarbeiter eine Spear-Phi­shing-Nachricht erhält, ist es wahrscheinlich, dass weitere Mitarbeiter eine solche Mail erhalten haben und somit vorgewarnt werden können.

Das beliebteste Angriffsziel 

Die Sicherheit eines Unternehmens beginnt und endet nicht mit einem IT- ­Experten oder einer Abteilung. Cyber­kriminelle zielen oft auf das schwächste Mitglied ab, den Mitarbeiter. Hacker nutzen die menschliche Neugier und Leichtgläubigkeit aus, denn das ist viel einfacher, als eine komplexe Sicher­heitsinfrastruktur zu knacken.

Deshalb sollten alle Mitarbeiter wissen, woran sie einen typischen Spear-Phishing-Angriff erkennen, und sich über die neuesten Bedrohungen und Taktiken der Cyber­krimi­nellen informieren – und so dazu bei­tragen, das Unternehmen vor Cyber-Bedrohungen, die ver­heerende Auswirkungen haben könnten, zu schützen. 

Neben der Aufklärung von Mitarbeitern müssen Organisationen die richtigen Sicherheitstechnologien und -prozesse implementieren – und natürlich auf dem aktuellen Stand halten. Eine Schutzmassnahme, die jedes Unternehmen ergrei­fen sollte, ist die Anschaffung einer Sicherheitssoftware inklusive Anti-Spam-Filter zur Erkennung von Phishing- und Scam-E-Mails.

Porträt

Jaya Baloo (Autor)

Chief Information Security Officer, Avast

Jaya Baloo ist seit Oktober 2019 Chief Information Se­curity Officer (CISO) bei Avast. Zuvor hielt sie die Po­sition des CISO bei KPN, dem grössten niederländischen Telekommunikationsunternehmen, inne, wo sie ein Sicherheitsteam mit aufgebaut und geleitet hat. Davor war Baloo auch als Practice Lead Lawful Interception bei Verizon tätig und arbeitete bei France Télécom als Technical Security Specialist. Jaya Baloo ist offiziell in der Liste der Top-100-CISOs weltweit anerkannt und zählt zu den Top-100-Sicherheits-Influencern auf der ganzen Welt.

 

Kontakt

pr(at)avast.com www.avast.com