Phishing for Compromise: Mithilfe von XDR Phishing-Angriffe erkennen und abwehren
Phishing-Attacken zählen zu den Social-Engineering-Methoden, die Cyber-Kriminelle besonders häufig für ihre Machenschaften nutzen. Sie versenden E-Mails mit infizierten Anhängen oder Verlinkungen zu Phishing-Webseiten, um die Log-in-Daten (Credentials) für Geschäftskonten zu bekommen. Mit ihnen können sich Angreifer dann Zugang zu Unternehmensnetzwerken verschaffen. Insbesondere wenn diese keine Multi-Faktor-Authentifizierung implementiert haben, sind Angreifer über diesen Weg erfolgreich. Wie sich Phishing-Mails effizient erkennen lassen, bevor sie langfristige Schäden anrichten, und welche Rolle Extended Detection and Response dabei spielt, verrät Tanja Hofmann, Lead Security Engineer, bei Trellix.
Im Vergleich zu großangelegten Malware- und Ransomware-Kampagnen lassen sich Phishing-Angriffe mit weniger Aufwand umsetzen, ohne dabei an Erfolgschancen einbüßen zu müssen. Das macht den Versand von Phishing-Mails zu einer der meist verbreitetsten Angriffsformen, auf die Cyber-Kriminelle zurückgreifen, um an Log-in-Daten für Geschäftskonten zu kommen.
Was können Unternehmen und Mitarbeiter tun, wenn sie verdächtige, potenziell bedrohliche E-Mails erhalten? Einige IT-Abteilungen und Security Operation Centers (SOCs) richten für diesen Zweck spezielle Postfächer ein, sollten es verdächtige Mails an der ersten Email-Security-Lösung vorbeigeschafft haben. Mitarbeiter können E-Mails, die verdächtige Inhalte oder Anhänge enthalten, an diese Adresse weiterleiten. Der Vorteil dabei ist, dass sämtliche bedrohungsrelevanten Daten, die mit eingehenden E-Mails verbunden sind, hier zentral gesammelt werden. Dies vereinfacht die Arbeit der Mitarbeiter, die für Cyber-Sicherheitsbelange zuständig sind.
Wichtige Zeit geht durch die manuelle Bedrohungserkennung verloren
Die Mitarbeiter im SOC übernehmen die Analyse sämtlicher verdächtiger E-Mails, die ein solches Postfach erreichen und nicht bereits vorab geflagged worden sind. Im Zuge dessen untersuchen sie sowohl den Absender als auch die Inhalte der Nachrichten. Weisen Anhänge schadhaften Code in Form von Spyware, Ransomware oder anderer Malware auf? Befinden sich in den E-Mails Links, die zu Phishing-Webseiten führen? Anschließend müssen sie herausfinden, ob andere Kollegen dieselbe E-Mail erhalten haben und entsprechende Maßnahmen ergreifen. Die vollständige und gewissenhafte Bearbeitung jeder eingehenden E-Mail kann mindestens 30 Minuten in Anspruch nehmen. Und selbst dann ist noch nicht garantiert, dass die Sicherheitsmitarbeiter überhaupt auf eine echte Bedrohung stoßen.
Es bleibt jedoch nicht nur bei einer E-Mail, die das SOC-Team an einem Tag erhält. Die Anzahl dürfte weitaus höher ausfallen. Angenommen es erreichen in einer Woche hundert E-Mails dieses Postfach, dann sind die SOC-Mitarbeiter mindestens 50 Stunden allein damit beschäftigt, verdächtige E-Mails manuell zu durchforsten. Dabei handelt es sich um wichtige Zeit, die ihnen nicht für andere Tätigkeiten wie Support-Anfragen von Kollegen oder wertschöpfende Aufgaben wie die Implementierung neuer Technologien zur Verfügung steht. Außerdem kann die hohe Anzahl der zu analysierenden E-Mails dazu führen, dass Mitarbeiter unter Druck geraten und dabei gefährliche Bedrohungen übersehen.
Extended Detection and Response für automatisierte Cyber-Sicherheit
Zum Aufgaben- und Verantwortungsbereich von SOC-Mitarbeitern zählen weitaus mehr Tätigkeiten als die Analyse von potenziell gefährlichen E-Mail-Inhalten. Um sich vor den verschiedenen Methoden und Tools abzuschirmen, die Cyber-Kriminelle einsetzen und dynamisch anpassen, greifen Sicherheitsteams oftmals auf eine Vielzahl an Sicherheitslösungen zurück. Diese sollen für eine effektive Bedrohungsabwehr die gesamte IT-Landschaft vollständig abdecken. Der Nachteil: Diese Sicherheitslösungen senden eine Flut an Warnmeldungen, darunter auch False-Positives, durch die sich viele SOC-Teams auch heute noch manuell durcharbeiten und auf ihr Risikopotenzial hin überprüfen müssen.
Mithilfe einer Extended Detection and Response-Plattform (XDR) erhalten Sicherheitsexperten einen transparenten Überblick sowie die Kontrolle über diese komplexe Umgebung. Die Plattform sammelt dafür die Bedrohungsdaten aus sämtlichen Bereichen der IT-Landschaft – einschließlich aller Endpoints und E-Mail-Informationen. Diese führt sie zentral zusammen, wo sie sie automatisch analysiert und korreliert. Außerdem liefert sie für die SOC-Mitarbeiter wichtige Kontexte, die als Grundlage für eine starke und gezielte Bedrohungsabwehr dienen kann. Die Korrelation von internen und externen Daten erlaubt es ihr sogar, bislang unbekannte Bedrohungen auszumachen. Das SOC-Team kann dadurch Angriffe über sämtliche Geräte und Umgebungen hinweg schnell identifizieren und entsprechende Gegenmaßnahmen aufsetzen.
Phishing-Mails schnell identifizieren mithilfe von E-Mail-Security-Lösungen und XDR
Die Analyse von E-Mails, ihren Inhalten und Absendern lässt sich mithilfe einer XDR-Plattform in Verbindung mit einer E-Mail-Security-Lösung deutlich leichter automatisieren – und zwar indem man einer hierfür vorgesehenen Lösung das Monitoring von bestimmten Postfächern wie der Sammelstelle aus dem obigen Beispiel überlässt. Sobald eine E-Mail eintrifft und analysiert wurde, sammelt und überprüft die XDR-Lösung alle bedrohungsrelevanten Informationen. Dazu zählen zum einen sogenannte „Indicators of Compromise“ (IoC) wie Phishing-URLs, oder mit Malware versehene Anhänge. Zum anderen kennt die Plattform nun sowohl den Empfänger als auch die Absenderadresse der Mail. Auf Grundlage dieser Informationen kann sie in den Postfächern von Kollegen nach denselben Inhalten suchen und E-Mails löschen, die dieselben IoC oder den gleichen Absender aufweisen.
Daraufhin kann die XDR-Plattform automatisch alle Endgeräte vom Netzwerk trennen, auf denen sie dieselbe Bedrohung festgestellt hat. Um ausschließen zu können, dass sich Schadsoftware auf dem Endgerät befindet, kann zum Beispiel ein automatisierter Scan durchgeführt werden. Identifiziert die XDR-Plattform beispielsweise eine Phishing-URL, kann sie zusätzliche Richtlinien für die Webgateways oder Firewalls definieren. Dies soll dafür sorgen, dass die E-Mail-Lösung in Zukunft E-Mails mit bestimmten URLs oder Absenderadressen automatisch blockiert. Eine XDR-Plattform kann zudem einen vollständigen Bericht über den Vorfall verfassen. Damit versorgt sie SOC-Mitarbeiter mit wichtigen Informationen, die sie nutzen können, um sich auf weitere ähnliche Angriffe vorzubereiten.
Fazit
Unternehmen sind besonders interessante und beliebte Ziele für Cyber-Kriminelle. Außerdem wissen diese genau, wie sie Mitarbeiter in eine Falle locken können, um sensible Daten wie Log-ins abzugreifen. Daher erreichen Unternehmen täglich unzählige E-Mails, die sich als Phishing-Versuch herausstellen. Da den Überblick zu behalten und auf effiziente Weise Angriffe herauszufiltern, ist für viele Sicherheitsteams eine Herkules-Aufgabe. Eine E-Mail-Security-Lösung analysiert solche Mails automatisch, stellt diese Informationen der XDR-Plattform zur Verfügung, die diese analysiert. Auf dieser Grundlage erkennt sie Bedrohungen automatisch, sodass SOC-Mitarbeiter zeitnah mit Abwehrmaßnahmen reagieren können. Weiterhin ist sie in der Lage, E-Mails mit denselben Inhalten unternehmensweit ausfindig zu machen und dafür zu sorgen, dass sich Schadsoftware nicht über das Netzwerk ausbreiten kann.
Definition von WhatIs.com
Beim Spear Phishing versenden Cyberkriminelle gezielt betrügerische E-Mails, die sich gegen bestimmte Organisationen oder bestimmte Personen richten. Spear-Phishing-Versuche werden in der Regel nicht von zufälligen Hackern initiiert, sondern eher von Tätern, die konkret auf Geschäftsgeheimnisse, finanzielle Gewinne oder auch militärische Informationen aus sind.
Ähnlich wie bei E-Mails, die im Zuge von Standard-Phishing-Angriffen versendet werden, scheinen auch die Spear-Phishing-Nachrichten von einer vertrauenswürdigen Quelle zu stammen. Phishing-Nachrichten scheinen häufig von großen und bekannten Unternehmen oder einer Website mit einer breiten Benutzerbasis zu stammen, wie beispielsweise Google, Paypal oder Microsoft Office 365. Im Falle von Spear Phishing handelt es sich bei der Quelle der E-Mail jedoch wahrscheinlicher um eine Person im Unternehmen des Empfängers, in der Regel um eine Person in einer Führungsposition oder um eine Person, die die Zielperson zumindest persönlich kennt.
Viele Mitarbeiter in Unternehmen lernen in Schulungen, bei unerwarteten Anfragen nach vertraulichen Informationen misstrauisch zu sein. Sie werden auch aufgefordert, keine persönlichen Daten als Antwort auf E-Mails preiszugeben oder auf Links in Nachrichten zu klicken, wenn sie sich der Quelle nicht sicher sind. Der Erfolg von Spear Phishing hängt von den folgenden Punkten ab:
die Quelle der Nachricht scheint bekannt und vertrauenswürdig zu sein;
die Informationen in der Nachricht untermauern den Eindruck der Gültigkeit und sind plausibel;
das Ersuchen der Person scheint eine nachvollziehbare Grundlage zu haben.
So funktioniert Spear Phishing Der Erfolg von Spear-Phishing-Angriffen beruht auf Vertrautheit. Die Angreifer sammeln über das Internet und aus sozialen Netzwerken und Medien Informationen über potenzielle Zielpersonen. Dazu gehören auch ihre persönlichen und beruflichen Beziehungen sowie weitere persönliche Details. Der Angreifer nutzt diese Informationen, um eine personalisierte Nachricht zu verfassen, die authentisch erscheint, um die Zielperson zu überzeugen, auf die Anfrage des Absenders zu antworten. Der Absender kann den Empfänger zu einer direkten Antwort auf die Mail verleiten. Oder aber die Nachricht enthält einen bösartigen Link oder Anhang. Hierüber wird dann Malware auf dem System der Zielperson installiert. Soziale Medien sind ein reichhaltiges Angebot für Spear-Phishing-Angreifer. Millionen von Nutzern tauschen routinemäßig persönliche Informationen aus. Dies macht diese Netzwerke zu einem trefflichen Ort, um Informationen über potenzielle Ziele zu machen. Natürlich ist nicht jeder Nutzer ein Ziel für Spear Phishing. Die Angreifer suchen sehr gezielt nach Informationen über Personen in bestimmten Positionen oder Funktionen. Um diese für sie wertvollen Personen in sozialen Medien zu identifizieren, verwenden die Spear Phisher ausgeklügelte Algorithmen für maschinelles Lernen, die Textmuster und andere Details auf Websites sozialer Medien untersuchen. Diese Technologie grenzt den Bereich der Spear-Phishing-Ziele auf eine Untergruppe von Personen ein, die am ehesten der Art von Ziel entsprechend, die der Angreifer sucht. Abbildung 1: So läuft eine gezielte Phishing-Attacke mit daraus resultierendem Datendiebstahl prinzipiell ab. Ist eine Gruppe hochrangiger Zielpersonen isoliert, sendet der Angreifer eine E-Mail, um die Zielperson dazu zu bringen, beispielsweise einen Anhang zu öffnen, der eingebettete Malware enthält, die persönliche Daten abfängt.
Wie kann man einen Spear-Phishing-Angriff erkennen? Spear-Phishing-Angriffe sind meist weitaus schwerer zu erkennen als einfache Phishing-Attacken, da die Nachrichten häufig sehr persönliche Angaben oder Informationen enthalten. Einige der Merkmale, die für Phishing-Mails typisch sind, gelten in vielen Fällen jedoch auch für Spear-Phishing-Nachrichten, beispielsweise: Die E-Mail-Adresse kann gefälscht sein (E-Mail Spoofing): Sie sieht aus, als stamme sie von einer vertrauenswürdigen Person oder Domäne. Bei näherer Betrachtung zeigt sich ein andere Schreibweise oder der Austausch eines alphanumerischen Zeichens durch ein anderes, das diesem sehr ähnlich ist, wie zum Beispiel der Buchstabe „l“, der durch die Ziffer „1“ ersetzt wurde.
Der Inhalt der Mail beziehungsweise das dort formulierte Anliegen, wird mit einer gewissen Dringlichkeit formuliert. Insbesondere, wenn es um die Ausführung einer Aufgabe geht, die eigentlich gegen die Unternehmensrichtlinien verstößt. Angreifer erwecken ein Gefühl der Dringlichkeit, um den Empfänger dazu zu verleiten, dem anderen hilfreich zur Seite zu stehen. Beispielsweise kann ein Angreifer, der sich als direkter Vorgesetzter der Zielperson ausgibt, den Benutzernamen und das Kennwort für eine interne Anwendung anfordern, um eine dringende Anfrage der oberen Führungsebene zeitnah zu erfüllen.
Die Nachrichten entsprechen im Tonfall in der sonstigen Schreibweise des Absenders. Sei es, ob der Ton zu informell oder zu persönlich ist. In einfachen Fällen schleichen sich auch noch grammatikalische oder typografische Fehler ein. Es existieren jedoch auch perfidere gezielte Spear-Phishing-Attacken, bei denen beispielsweise der E-Mail-Account eines Geschäftspartners oder Dienstleisters gekapert wurde. Dann haben die Angreifer nicht nur einen validen Account, sondern auch Zeit und Möglichkeit, sich mit vorhandenen Unterhaltungen zu beschäftigen und ihre präparierte Nachricht perfekt auszugestalten.
Spear Phishing, Phishing und Whaling im Überblick Spear Phishing und Phishing haben das gleiche Ziel, aber Spear-Phishing-Angriffe erfolgen gezielter. Während Phishing-E-Mails an eine große Gruppe von Personen gesendet werden, werden Spear-Phishing-E-Mails an eine ausgewählte Gruppe oder eine Einzelperson gesendet. Durch die Eingrenzung der Zielpersonen ist es für den Spear Phisher einfacher, persönliche Informationen zu integrieren und die E-Mails vertrauenswürdiger erscheinen zu lassen. Abbildung 2: Verschiedene Arten von Phishing-Angriffen im Vergleich. Die gleiche, sehr personalisierte, Herangehensweise wird auch bei Whaling-Angriffen angewendet. Ein Whaling-Angriff ist ein Spear-Phishing-Angriff der sich an besonders hochrangige Ziele wie Führungskräfte, Politiker oder Prominente richtet. Whaling-Angriffe sind ebenfalls auf das Ziel zugeschnitten und nutzen gleichen Methoden wie Social Engineering, E-Mail Spoofing und Content Spoofing, um an sensible Daten zu gelangen.
Beispiel für einen möglichen Spear-Phishing-Angriff Über die Website eines Unternehmens identifiziert ein potenzieller Angreifer die Kontaktinformationen einer Zielperson. Unter Verwendung der verfügbaren Details, um die Nachricht authentisch erscheinen zu lassen, verfasst der Täter eine E-Mail an den Mitarbeiter auf der Kontaktseite des Unternehmens. Die E-Mail scheint von einer Person zu stammen, die nachvollziehbarer Weise Informationen anfordern könnte, wie beispielsweise ein Netzwerkadministrator. In der E-Mail wird der Mitarbeiter aufgefordert, sich auf eine gefälschten Seite anzumelden. Dort werden der Benutzername und das Kennwort des Mitarbeiters abgefragt. Alternativ kann eine Aufforderung erfolgen, einen bestimmten Link zu klicken, über den Spyware oder andere Schadsoftware auf das System geladen werden. Fällt der einzelne Mitarbeiter auf die Masche des Spear Phishers herein, kann dieser sich fortan als dieser Mitarbeiter ausgeben und mit Hilfe von Social-Engineering-Techniken weiteren Zugang zu vertraulichen Daten erlangen und weitaus gezieltere Angriffe starten.
Phishing – die Gefahr lauert im Netz
Cyber-Risiken wie Ransomware (Schadsoftware) oder Phishing-Attacken haben in den letzten Jahren immer mehr zugenommen. Das zeigt auch der Allianz Risk Barometer (1). Die Befragten sehen Cyber-Risiken als grösstes Risiko für das kommende Jahr.
Zunehmend sind nicht nur grosse Firmen im Visier der Angreifer, sondern auch kleine und mittlere Unternehmen. In der Schweiz haben die Attacken in den letzten Wochen und Monaten stark zugenommen. Man kann fast täglich von betroffenen Unternehmen lesen. Eine Befragung von DigitalSwitzerland (2) unter 506 Geschäftsführenden von kleinen und mittleren Unternehmen ergab, dass im letzten Jahr 36 % Opfer eines Cyber-Angriffs wurden. Dies entspricht einer Steigerung von 11 % (im Vorjahr waren es 25 %). Dabei entstanden unter anderem finanzielle Schäden, Schäden am Image des Unternehmens oder ein Verlust von Kundendaten. Potential sieht die Studie bei der Steigerung der Mitarbeiterschulung. Nur 39 % der Befragten schulen ihre Mitarbeitenden regelmässig, 21 % schulen gar nicht.
Wird ein Unternehmen via Phishing erfolgreich mit Ransomware angegriffen, kann die Produktion zwischen einem Tag und mehreren Wochen still stehen, bis der Schaden behoben ist. Auch dauert es teilweise Monate, bis betroffene Firmen realisieren, dass sie Opfer eines Cyber-Angriffs wurden.
Die häufigsten Attacken mit Ransomware oder anderer Malware erfolgen mittels Phishing-E-Mails. Weshalb? Weil der Mensch eine der erfolgreichsten Einflugschneisen für Angriffe darstellt. Die Hacker setzen auf die Unwissenheit, Hilfsbereitschaft, Gutgläubigkeit oder Unsicherheit ihrer Opfer. Eine Phishing-E-Mail zu erstellen ist einfach und kostengünstig und kann per Knopfdruck an Tausende Personen gleichzeitig versendet werden. Und bei jedem solchen Angriff fallen dutzende, wenn nicht gar hunderte Personen darauf rein.
Spam-Filter können oft nicht alle Phishing-E-Mails rechtzeitig erkennen. Daher ist es wichtig, dass alle Mitarbeitende geschult sind und Phishing selbst erkennen und so zum Schutz des Unternehmens beitragen.
In diesem Artikel beleuchten wir die Thematik von Phishing eingehender. Was ist Phishing? Wie erkennen Sie Phishing-E-Mails? Was kann gegen Phishing unternommen werden?
Was genau ist Phishing?
Heutzutage ist jeder von uns, egal ob Privatperson oder Mitarbeitende/r, potenzielles Ziel von Hacker-Angriffen und somit von Phishing. Wahrscheinlich haben auch Sie schon mal eine Phishing-E-Mail erhalten.
Die Angreifer werden immer professioneller und daher wird es auch immer schwieriger, Phishing-E-Mails zu erkennen. Es ist sehr wichtig, dass man bei E-Mails kritisch ist.
Mit Phishing-E-Mails, Instant Messaging, persönlichen Nachrichten oder Webseiten versuchen Angreifer an die Daten ihrer Opfer zu gelangen. Besonders beliebt sind Zugangsdaten wie Passwörter, Benutzernamen oder Kontoinformationen. Mithilfe von Links und verseuchten Webseiten kann auch Ransomware auf einem Computer oder Firmennetzwerk eingeschleust werden.
Hat ein Hacker einmal Zugang zu Nutzerkonten oder Netzwerken erlangt, so können Kunden- oder Geschäftsdaten ausgespäht oder gestohlen werden. Geldüberweisungen können getätigt oder Systeme manipuliert oder gar betriebsunfähig gemacht werden. Oft folgen auf einen ersten Angriff noch weitere Angriffe, was zu grossen finanziellen Verlusten und Imageschäden führen kann. In schwerwiegenden Fällen führt es bis zum Konkurs.
Die verschiedenen Formen von Phishing
Es gibt verschiedene Formen von Phishing. Grundsätzlich haben alle das gleiche Ziel: an Daten zu gelangen. Manche Phishing-Formen sind jedoch offensichtlicher, andere schwieriger zu erkennen, da sie raffinierter gemacht sind.
Gefälschte Webseiten, E-Mails und Kurznachrichten:
Mit täuschend echt aussehenden E-Mails oder Webseiten wollen Angreifer ihre Opfer dazu bewegen, ihre persönlichen Daten in einem gefälschten Webformular oder in einer E-Mail anzugeben. Die Nachrichten enthalten oft Links, die auf gefälschte Webseiten führen und zur Dateneingabe auffordern. Dies kann z. B. eine gefälschte Login-Seite Ihrer Bank oder von Ihrem Arbeitgeber sein.
Mit täuschend echt aussehenden E-Mails oder Webseiten wollen Angreifer ihre Opfer dazu bewegen, ihre persönlichen Daten in einem gefälschten Webformular oder in einer E-Mail anzugeben. Die Nachrichten enthalten oft Links, die auf gefälschte Webseiten führen und zur Dateneingabe auffordern. Dies kann z. B. eine gefälschte Login-Seite Ihrer Bank oder von Ihrem Arbeitgeber sein. Schadprogramme in Dateianhängen oder auf Webseiten:
Per E-Mail werden die Opfer dazu verleitet, einen verseuchten Anhang zu öffnen oder eine verseuchte Webseite zu besuchen. Der Anhang oder die Webseite installiert anschliessend automatisch und vom Nutzer unbemerkt eine Schadsoftware auf dem Computer. Dadurch erhalten Cyberkriminelle direkten Zugriff auf das Gerät oder das Netzwerk des Opfers und dessen Daten.
Per E-Mail werden die Opfer dazu verleitet, einen verseuchten Anhang zu öffnen oder eine verseuchte Webseite zu besuchen. Der Anhang oder die Webseite installiert anschliessend automatisch und vom Nutzer unbemerkt eine Schadsoftware auf dem Computer. Dadurch erhalten Cyberkriminelle direkten Zugriff auf das Gerät oder das Netzwerk des Opfers und dessen Daten. Spear-Phishing:
Spear-Phishing Nachrichten sind gezielt auf das Opfer abgestimmt. Vor einem Angriff informieren sich die Cyberkriminellen im Internet, z. B. auf LinkedIn oder Facebook, über ihre Opfer. Die erlangten Informationen verwenden sie in der Phishing-Nachricht und erhöhen damit die Glaubwürdigkeit. Dadurch steigt die Wahrscheinlichkeit, dass das Opfer auf die Nachricht hereinfällt und seine Daten angibt. Diese Art von Phishing erfordert mehr Zeit von den Cyberkriminellen und richtet sich oft an Personen aus der Finanzabteilung, dem HR, dem höheren Management oder der Produkteentwicklung. Aber auch einflussreiche oder angesehene Persönlichkeiten aus der Politik, dem Showbusiness oder der Wirtschaft sind beliebte Opfer. Aber Achtung, auch der «Otto-Normalverbraucher» kann zu einem solchen Ziel werden!
Spear-Phishing Nachrichten sind gezielt auf das Opfer abgestimmt. Vor einem Angriff informieren sich die Cyberkriminellen im Internet, z. B. auf LinkedIn oder Facebook, über ihre Opfer. Die erlangten Informationen verwenden sie in der Phishing-Nachricht und erhöhen damit die Glaubwürdigkeit. Dadurch steigt die Wahrscheinlichkeit, dass das Opfer auf die Nachricht hereinfällt und seine Daten angibt. Diese Art von Phishing erfordert mehr Zeit von den Cyberkriminellen und richtet sich oft an Personen aus der Finanzabteilung, dem HR, dem höheren Management oder der Produkteentwicklung. Aber auch einflussreiche oder angesehene Persönlichkeiten aus der Politik, dem Showbusiness oder der Wirtschaft sind beliebte Opfer. Aber Achtung, auch der «Otto-Normalverbraucher» kann zu einem solchen Ziel werden! CEO-Fraud:
Beim CEO-Fraud werden E-Mails vom «CEO» an Personen mit Entscheidungskompetenz im Finanzbereich versendet, z. B. jemand aus der Finanzabteilung oder der persönlichen Assistenz. Der vermeintliche «CEO» fordert diese Personen auf, dringend Geld an eine bestimmte Adresse zu überweisen, da z. B. sonst ein Geschäft nicht abgeschlossen werden kann. Ist das Geld einmal überwiesen, hat das Unternehmen kaum eine Chance, dieses zurückzubekommen.
Phishing erkennen
Um sich vor Phishing zu schützen, ist es wichtig, solche Nachrichten zu erkennen. Es gibt einige Merkmale, woran Sie Phishing erkennen können.
Beispiel einer Phishing-E-Mail
1. Merkwürdiger Absender
Ist Ihnen der Absender nicht bekannt? Sie hatten mit dieser E-Mail-Adresse noch nie Kontakt? Dann sollten Sie misstrauisch sein!
Das gilt auch, wenn der Absender, also der E-Mailheader bzw. die E-Mail-Adresse nicht zum hinterlegten Internet-Link passt (Beispiel: / Webseite:
Absenderadressen werden leicht gefälscht, diese enthalten dann oft kleine Fehler oder eine andere URL (zum Beispiel statt
Ein weiteres Zeichen ist eine persönliche Absenderadresse (z. B. oder auch wenn die Nachricht vorgibt, von einem Unternehmen zu sein.
2. Unübliche oder dubiose E-Mailanhänge
E-Mailanhänge können Computer und Netzwerke mit Schadsoftware infizieren. Daher sollten dubiose Anhänge nicht geöffnet werden. Fragen Sie im Zweifelsfall beim Absender nach. Wichtig: Antworten Sie dafür nicht in der Nachricht, sondern wählen Sie einen anderen Kommunikationskanal wie z. B. das Telefon. Wenn Sie unsicher sind, öffnen Sie den Anhang besser nicht.
Achten Sie bei der Nutzung von Windows darauf, dass im Windows Explorer im Register «Ansicht» die Auswahl «Dateinamenerweiterungen» aktiviert ist. Ist diese Einstellung deaktiviert, erkennt man den Dateityp nicht auf Anhieb. Es besteht somit die Gefahr, dass man manipulierte Erweiterungen wie bspw. nicht erkennt und eine Datei mit Schadsoftware öffnet.
3. Unpersönliche Ansprache
Eine unpersönliche Anrede, wie z. B. «Sehr geehrter Kunde», kann ein Hinweis auf Phishing sein. Aber Vorsicht: Cyberkriminelle können sich über soziale Netzwerke oder Suchmaschinen über ihre Opfer informieren und sie so gezielt anschreiben (das sogenannte «Spear-Phishing»).
4. Grammatik- und Orthografie-Fehler
Fehlerhaftes Deutsch, Zeichensatzfehler, fehlende Buchstaben oder Umlaute, Grammatik- und Orthografie-Fehler, Buchstaben aus anderen Alphabeten (z. B. kyrillische Buchstaben). Achtung: Buchstaben aus einem anderen Alphabet sind oft sehr schwer zu erkennen.
5. Aufforderung zum dringenden Handlungsbedarf
Wenn Sie aufgefordert werden, innerhalb einer kurzen Frist zu handeln, oft verbunden mit einer Drohung (z. B. der Sperrung von Kreditkarten oder Online-Zugängen), kann dies auf Phishing hinweisen. Prüfen Sie daher genau, ob die Aufforderung wirklich berechtigt ist. Oft ist eine Einladung auch «zu schön, um wahr zu sein».
6. Eingabe von Daten
Wenn Sie aufgefordert werden, persönliche Daten, wie Passworte, PIN oder TAN einzugeben, sollten Sie aufpassen. Merken Sie sich: Kein seriöses Unternehmen fordert ihre Kunden auf, über einen beigefügten Link oder ein angehängtes Formular ihre Benutzerdaten zu ändern. Wenn doch, dann ohne direkten Link auf die Login-Seite. Passen Sie Benutzerdaten immer über die von Ihnen gespeicherte Webseite an. Beantworten Sie niemals E-Mails, in denen nach Benutzernamen, Passwörtern oder Kontoinformationen usw. gefragt wird.
7. Gefälschte Links
Die Nachricht enthält eine oder mehrere Links, welche auf eine Adresse verweisen, die nicht zum Adressbereich des Absenders gehört. (BEISPIEL Absender: Link:
Überprüfen Sie zudem, dass keine Sonderzeichen (z. B. aus dem kyrillischen Zeichensatz, Leerschläge, etc.) in der URL enthalten sind. Um eine URL zu prüfen, fahren Sie mit der Maus über den Link. In einem Pop-up-Fenster erscheint der ausgeschriebene Link. Wenn das nicht funktioniert, müssen Sie dies in den Einstellungen aktivieren. Überlegen Sie sich gut, ob Sie den Link besuchen müssen oder nicht und klicken Sie nicht einfach aus Neugierde drauf.
8. Fremde Sprachen bzw. Sprachenmix
Normalerweise ist die Kommunikation in der Sprache des Empfängers. Manchmal, wie in der Beispiel-E-Mail im Bild, werden mehrere Sprachen vermischt. Einerseits ist dies verdächtig, andererseits wirkt es nicht sehr seriös, wenn ein Unternehmen zum Beispiel mit «Goodbye» in einer deutschen E-Mail abschliesst.
9. Verwendung unüblicher Bezeichnungen
Wenn für Abteilungen, Produkte oder Dienste unübliche oder unbekannte Bezeichnungen verwendet werden, sollten Sie aufhorchen und vorsichtig sein. Prüfen Sie im Intranet, ob diese Bezeichnung innerhalb des Unternehmens verwendet wird. Falls nicht, das E-Mail melden und löschen.
Richtig Handeln bei Verdacht auf Phishing
Wenn Sie eine E-Mail erhalten, welche Ihnen verdächtig erscheint oder Sie diese deutlich als Phishing erkennen, melden Sie sich immer unverzüglich bei Ihrem IT Service Desk. Verwenden Sie dafür die in Ihrem Unternehmen gängige Methode (z. B. durch Weiterleiten der E-Mail an den IT Service Desk oder das Melden über eine bestimmte Schaltfläche im E-Mail Programm).
Nur durch Ihre Mithilfe können Phishing-Angriffe frühzeitig erkannt und die nötigen Gegenmassnahmen ergriffen werden. Daher ist es wichtig, dass Sie solche E-Mails unverzüglich melden, nicht darauf Antworten oder auf darin enthaltene Links oder Anhänge klicken.
Der technische Schutz der IT-Infrastruktur in einem Unternehmen ist in der Regel gegeben, so dass hier kaum noch Hacker Angriffe zu verzeichnen sind. Über die Mitarbeitenden, also die Nutzer der IT-Infrastruktur, können Hacker jedoch immer noch sehr erfolgreich an Geld, Daten und Informationen gelangen und Lösegeld erpressen. Aus diesem Grund ist es so wichtig, dass auch die Menschen, welche die IT-Infrastruktur nutzen, wissen, wie sie sich sicher verhalten. Insbesondere im Umgang mit Phishing. Schulen Sie Ihre Mitarbeitenden in den Themen der Informationssicherheit und vermindern Sie so das Risiko eines erfolgreichen Hackerangriffs.
Quellen: