Diese E-Mails hat wohl jeder, der einen E-Mail-Account besitzt, schon mal erhalten: Fantasievoll ausgeschmückte Texte mit Versprechen über Erfolge in der eigenen beruflichen Laufbahn oder von einem immens hohen Lottogewinn. Dabei spielst du gar kein Lotto? Bisher waren diese E-Mails leicht zu durchschauen: Fettgedruckte Betreffzeilen, Rechtschreibfehler soweit das Auge reicht und fragwürdige Anhänge, die Warnung genug sind. Inzwischen kann man sich aber leider nicht mehr so sicher sein, welche Mail absoluter Humbug ist. Die Zunahme personalisierter Angriffe wächst stetig. Und eine E-Mail, die vermeintlich vom Kollegen stammt und vom nächsten Meeting zu handeln scheint, öffnet man mit hoher Wahrscheinlichkeit.
Unsichere Programme als Angriffsfläche
E-Mails werden getarnt und erwecken den Anschein, als würden sie von Banken, Fluggesellschaften, Paketlieferdiensten oder sogar vom eigenen Arbeitgeber stammen. Für solche Unternehmen gibt man oft freiwillig seine Daten preis – ganz ohne der Befürchtungen, dass sich das negativ auswirken könnte. Gerade über das Programm Office 365 werden viele solcher Angriffe verübt. Die Kombination aus Online-Dienst, Office-Webanwendung und der Office-Software klingt erst mal praktisch, bietet aber offensichtlich eine optimale Angriffsfläche. Die Anzeichen sind sehr subtil: Der Nutzer erhält Hinweise, dass sein Konto gesperrt wurde, was eigentlich keine typische Aktion des Programms ist. Reagiert der Nutzer darauf (und gibt Nutzernamen und Passwort ein), ist er in die Falle getappt. Denn diese Phishing-Attacken zielen eben genau darauf ab, Benutzernamen und Passwörter der Nutzer zu erlangen. Ist dies den Angreifern gelungen, können sie Weiterleitungen einstellen und so das Verhalten der Nutzer ausspionieren. Das erlangte Wissen kann dann für Angriffe wie Ransomware oder andere Advanced Threats genutzt werden.
Vom Phishing zum Whaling: Die großen Fische an der Angel
Oft gaukeln diese personalisierten E-Mails vor, von einem Kollegen oder Vorgesetzten zu stammen. Die Täter recherchieren im Vorfeld und kennen den Namen der Zielperson sowie ihre Position und ihr Arbeitsgebiet im Unternehmen bereits bevor sie angreifen – soziale Netzwerke machen genau das möglich. Auch Informationen über den Familienstand, Wohnort oder andere persönliche Daten sind auf diese Weise problemlos auffindbar. Die Anrede und der Inhalt können so personalisiert werden. Das kann zum Beispiel eine Einladung zum nächsten Meeting oder zu einem Auswärtstermin sein, dessen Thematik optimal zum Arbeitsfeld des Opfers passt. Im Anhang befindet sich dann z. B. ein PDF- oder Office-Dokument, vorgeblich mit Details zum Meeting. Dieses ist mit einem Exploit-Code präpariert, der eine noch nicht allgemein bekannte Sicherheitslücke ausnutzt. Die Folgen sind gravierend und können langfristige Auswirkungen haben.
Weil die Hacker inzwischen so großen Aufwand betreiben, zielen sie beim sogenannten "Whaling" auf die ganz großen Fische ab: Oft sind CEOs, CFOs, HR-Abteilungen und Rechtsanwälte von den Angriffen betroffen.
Hierbei geht es den Hackern aber nicht um die Daten, die für gewöhnlich abgegriffen werden, wie Kreditkartendaten o .Ä., vielmehr geht es um das Abgreifen von Geschäftsgeheimnissen und anderen Unternehmens-Interna, mit denen die Hacker den Firmen schaden können.
Das Interesse gilt also nicht mehr nur deinen persönlichen Daten oder deiner Bankverbindung: Es geht um viel mehr.
Neue Medien: Segen und Fluch
Doch die Angreifer nutzen nicht mehr nur E-Mails als Angriffsfläche: Die Nachrichten werden mittlerweile auch per SMS, Skype und andere Kanäle versendet. Auch künstliche Intelligenz wird genutzt, um zum Beispiel Daten aus Social-Media-Feeds zu nutzen. Selbst wenn den meisten Menschen zum Thema KI nur Filme wie "Terminator" einfallen, liegt die Künstliche Intelligenz unserem Alltag schon längst nicht mehr fern. Diese Programme können für personalisierte Phishing-Attacken verwendet werden. Die Nutzer sozialer Medien gehen noch immer sehr naiv mit der Sicherheit in den Netzwerken um: Während die standardisierten Spam-Mails, die nicht personalisiert sind, inzwischen kaum noch eine Gefahr darzustellen scheinen, haben verlinkte Posts bei Twitter meist Erfolg. Nutzer sollten also die Augen offenhalten und nicht gleich jeden vermeintlich interessanten Link anklicken.
Diese Sicherheitsmaßnahmen solltest du im Schutz gegen Spear Phishing beachten
Der beste Schutz bleibt nach wie vor die Warnung und Schulung der eigenen Mitarbeiter und das aufmerksame Handeln im Netz.
- Schulung der Mitarbeiter
Durch Schulungen können Mitarbeiter für die Gefahren verschiedener Phishing-Formen sensibilisiert werden. Dabei sollten sie vor allem über die verschiedenen Angriffsformen wie Spoofing, Social Engineering, das Kompromittieren geschäftlicher E-Mails und Insider-Identitätsdiebstahl informiert werden. Zu Trainingszwecken können auch simulierte Angriffe inszeniert werden.
- Multi-Faktor-Authentifizierung
Die Multi-Faktor-Authentifizierung bietet durch die Abfrage auf verschiedenen Geräten bzw. von verschiedenen Programmen einen zusätzlichen Schutz. So kann sichergestellt werden, dass nur über die Eingabe von Benutzernamen und Passwort nicht alles verloren ist. Die Authentifizierung kann z. B. per SMS-Codes, über mobile Anrufe oder andere persönliche Informationsebenen durchgeführt werden.
- Nutzung von KI-Sicherheitstools
Obwohl die Künstliche Intelligenz inzwischen auch für die Phishing-Angriffe genutzt wird, bietet sie auch eine große Hoffnung, dem Ganzen ein Ende zu bereiten. Eine KI-Engine kann durch das Erlernen und Analysieren spezieller Kommunikationsmuster von Unternehmen Inkonsistenzen und Quarantäne-Angriffe in Echtzeit erfassen. Dadurch, dass die KI innerhalb des Unternehmens entsteht, kann sie sich weiterentwickeln und fortlaufend besser werden.
