zurück zur Übersicht

Next Generation Phishing

hook-scale-1426937_2Wer kennt sie nicht? Die Mails von nigerianischen Prinzessinnen, die verzweifelt Helfer suchen, um ihr Erbe in Sicherheit zu bringen. Phishing E-mails sind seit Jahrzehnten ein Fluch des Internets. Die meisten können wir schon anhand des Betreffs identifizieren und ungeöffnet löschen. Sind wir doch einmal unsicher, reicht meist ein kurzer Blick in die Mail, um anhand von Tippfehlern, Grammatik und Inhalt die Betätigung des Lösch-Buttons auszulösen. Beim sogenannten Spearphishing ist die Situation eine andere. Hier wird nicht mit dem großen Schleppnetz gefischt, indem Spammer eine E-Mail an Millionen Empfänger schicken und hoffen, dass ein paar Empfänger darauf hereinfallen. Beim Spearphishing sind Sie und nur Sie das Ziel. Sicher, Spearfishing ist nicht neu und spätestens seit dem RSA-Hack im Jahr 2011 in aller Munde.

Jedoch dürften viele überrascht sein, angesichts der Professionalität, mit der Angreifer heute diese Technik einsetzen, um sich Zugang zu gewinnbringenden Informationen zu verschaffen. Die Personen hinter diesen Angriffen sitzen nicht mehr in dunklen Kellerräumen, in denen man über leere Mate-Flaschen stolpert und wo es nach alter Pizza riecht. Sie sitzen in Büros und sind bei Firmen angestellt, die den Handel mit gewinnbringenden Informationen zu ihrem Geschäftsmodell auserkoren haben. Diese Menschen sind gut ausgebildete Profis und sie arbeiten in Teams mit völlig verschiedenen Aufgaben. Aufklärungsteams untersuchen Ihr Unternehmen, sammeln Informationen über Organisationsstrukturen, Geschäftspartner, Lieferketten, aktuelle Projekte und Schlüsselfiguren und deren persönliche Beziehungen. Diese Informationen werden dann an ein Team weitergegeben, das für den initialen Angriff verantwortlich ist, also für den Zugang zu Ihrem Unternehmen sorgt. Dieses Team gliedert sich wiederum in verschiedene Untergruppen mit verschiedenen Spezialisierungen: Social Engineering, Spearphishing, Client-Side Attacks, Server-Kompromittierung. Ist der Zugang zu Ihrem Unternehmensnetz erfolgt, übernehmen andere Teams.

Zum einen sichern die Angreifer ihre vorhandenen Zugänge zu den Systemen und bauen diese weiter aus. Zum anderen kümmern sich weitere Teams darum, gewinnbringende Informationen zu sammeln, zu sichern und heraus zu schleusen. Die Ernte hat begonnen. Wie funktioniert Spearphishing heute? Autoren von Spearphishing-Mails sind darauf angewiesen, dass Ihre Opfer der Mail und ihrem Inhalt vertrauen. Deswegen werden diese heute oft von einem gekaperten E-Mail-Konto eines Kollegen oder Geschäftspartners versendet oder von Webmail accounts, die durch ähnliche Namensgebung den Eindruck erwecken sollen, dass sie einer Person gehören, die Sie kennen. Der Chef, der eine Mail von seinem privaten Mailaccount aus dem Urlaub sendet oder der Kollege, der am Freitagabend versehentlich eine wichtige E-Mail von seinem Smartphone über die private Mailadresse versendet hat. Durch die vorangegangene Arbeit des Aufklärungsteams verfügt der Angreifer über detaillierte Informationen, was momentan Gegenstand der Arbeit seiner potentiellen Opfer ist. Er weiß an welchen Projekten Sie arbeiten, welche Kunden Sie betreuen und mit welchen Leuten Sie in Kontakt stehen. Somit kann er E-Mails mit einem auf sein Opfer zugeschnittenen Inhalt erstellen. Dabei wird oft versucht den Anschein zu erwecken, dass die Mail Teil eines bereits bestehenden Kommunikationsverlaufs ist. All dies dient dazu das Opfer in Sicherheit zu wiegen, damit letztlich die E-Mail als vertrauenswürdig eingestuft wird und enthaltene Anhänge geöffnet werden oder Links gefolgt wird. Darüber wird dann das eigentliche Angriffswerkzeug aktiviert, mit dem sich der Angreifer dauerhaften Zugang zum Netzwerk verschafft.

Herkömmliche Intrusion Prevention Systeme und Antiviren-Software auf Mailgateways, Webproxies und Clientrechnern können dann nicht mehr helfen: Der Angreifer wird keine Schadsoftware verwenden, für die bereits Signaturen existieren und die so von herkömlichen Virenscannern erkannt werden kann. Selbst modernere Erkennungstechnologien wie Sandboxing sind zum Teil heute machtlos, weil Angreifer selbst im Besitz dieser Produkte sind und ihre Angriffswerkzeuge gegen diese testen, um letztlich einer Erkennung zu entgehen. Um gewonnene Informationen zu sichern, verwenden Angreifer heute ausgefeilte Verschlüsselungstechnologien. Sicher, Unternehmen nutzen heute in der Regel Netzwerksicherheitslösungen, die in der Lage sind verschlüsselten Netzwerkverkehr aufzubrechen, um den Inhalt zu analysieren. Dies gelingt aber nur für die Verschlüsselung der Transportschicht. Ist der Inhalt durch weitere Verschlüsselungsschichten geschützt, sind diese Lösungen am Perimeter machtlos. Auf diesem Weg werden DLP-Lösungen (Data Leakage Prevention) einfach ausgehebelt.

Wie aber kann man dem entgegenwirken? Gerade beim Thema Spearphishing ist der Mensch die wichtigste Verteidigungslinie. Der Empfänger einer E-Mail entscheidet letztlich darüber, ob ein Angreifer Erfolg hat oder nicht. Mitarbeiter sollten immer eine unabhängige Bestätigung des Senders (Telefonanruf, Instant Messenger etc.) einfordern, bevor sie einen Link oder Anhang in einer unerwarteten E-Mail öffnen. Awareness-Schulungen sind in den letzten Jahren als kosteneffiziente und effektive Maßnahme erkannt worden, um Mitarbeiter für die aktuelle Bedrohungslage zu sensibilisieren. Der Schlüssel zum Erfolg von Awareness-Kampagnen liegt jedoch in regelmäßiger Wiederholung und Vermittlung aktueller Inhalte, die auf die Zielgruppe zugeschnitten sind. Gestalten Sie die Inhalte Ihrer Awareness-Kampagnen abwechslungsreich und mit möglichst viel Praxisbezug. War ein Phishing-Angriff in der Vergangenheit erfolgreich, nutzen Sie ihn in zukünftigen Kampagnen als Praxisbeispiel und gewinnen Sie betroffene Mitarbeiter dafür, dabei mitzuwirken. Nichts ist überzeugender als der Erfahrungsbericht eines Betroffenen. Gehen Sie konstruktiv mit solchen Vorfällen um. Kein Mitarbeiter wird melden, dass er den Anhang einer E-Mail  geöffnet hat, die ihm später verdächtig vorkam, wenn er Sanktionen zu befürchten hat. Ermutigen Sie Ihre Mitarbeiter, verdächtige Vorgänge zu melden und schaffen Sie die dafür notwendigen Strukturen.

Aber auch ein noch so gutes Awareness-Programm wird wahrscheinlich nicht verhindern können, dass irgendwann ein Angreifer erfolgreich ist. Was können Sie noch tun? Die Dauer solcher Angriffe bemisst sich meist nicht in Stunden oder Tagen, sondern eher in Monaten oder Jahren. Viel Zeit also, um einen laufenden Angriff zu erkennen und darauf zu reagieren, bevor sensible Daten erbeutet werden. In der Vergangenheit wurden viele Ressourcen in die Prävention von Angriffen gesteckt und versucht, mit immer neuen technischen Lösungen den Angreifern einen Vorsprung abzuringen – ein permanenter Wettlauf, den man nicht endgültig gewinnen kann. Prävention ist wichtig und wird es immer bleiben. Sie ist die Grundlage einer ganzheitlichen Verteidigungsstrategie. Jedoch sollten Unternehmen heute ihre Verteidigungsstrategie eher unter dem Ansatz der Assumed Breach Mentality betrachten, d.h. es wird davon ausgegangen, dass ein Angreifer in der Lage ist, Präventivmaßnahmen zu umgehen oder dies schon getan hat. Jetzt kommen die anderen beiden Säulen der Verteidigungsstrategie zum Tragen – Erkennung und Reaktion. Nur wenn ich in der Lage bin, einen Angriff zu erkennen, kann ich darauf reagieren um die Auswirkungen einzudämmen und zu beheben. Mit unserer langjährigen Erfahrung, Expertise und einem innovativen Lösungsportfolio unterstützen wir Sie gerne bei der Entwicklung einer ganzheitlichen Informationssicherheitsstrategie die Prevention, Detection und Response umfasst. Sprechen Sie uns an!


Bild: ©FreeImages/Odan Jaeger

Odan Jaeger
Odan Jaeger
Odan Jaeger

Schreibe einen Kommentar