Social Engineering-Angriffe, wie beispielsweise Spear Phishing, sind für Unternehmen ein ernstes Problem. Nicht die Technik ist das schwächste Glied in der Sicherheitskette, sondern sehr oft der Mensch. Cyberkriminelle zielen ihre Attacken deshalb zunehmend auf die Mitarbeitenden ab. Und genau deshalb müssen Sie als Sicherheitsverantwortliche zwei Dinge tun. Erstens: Reduzieren Sie Cyber Security nicht mehr nur auf technische Massnahmen. Und zweitens: Richten Sie Ihr Augenmerk insbesondere auf das Sicherheitsbewusstsein der Mitarbeiter. Wir zeigen Ihnen, wie Spear Phishing-Mails in Verbindung mit komplexen, zielgerichteten Angriffen funktionieren und - noch viel wichtiger - wie Sie sich davor schützen können.
Spear Phishing: Eine sehr beliebte Angriffstechnik
Angesichts der wachsenden Zahl an Bedrohungen und der immer strengeren Vorschriften sehen sich Unternehmen ständig mit der Herausforderung konfrontiert, ein angemessenes Mass an Sicherheit und Compliance zu gewährleisten. Die Betrugsversuche und Tricks sind zwar oftmals altbekannt. Aber ihre Reichweite und die Geschwindigkeit, mit der sie sich ausbreiten, haben sich mit unserer zunehmenden Abhängigkeit von Internet, E-Mails und Social Media um ein Vielfaches gesteigert. Das Spear Phishing ist ein gutes Beispiel dafür.
Gezielte Speer-Stiche ins (Security-)Herz
Der Ausdruck Spear Phishing steht in Analogie zu Spearfishing (deutsch Speerfischen) und lässt sich als «sehr gezieltes» Phishing definieren. Herkömmliche Phishing-Angriffe, die auf tausende Benutzer abzielen – in der Hoffnung, dass einige davon darauf hereinfallen –, haben sich weiterentwickelt: Spear Phishing ist viel zielgerichteter und gefährlicher. Sorgfältig ausgewählte Einzelpersonen in einem Unternehmen sollen dazu gebracht werden, ohne ihr Wissen versteht sich, Malware auf ihren Computer herunterzuladen.
Auch Führungsverantwortliche sind häufige und bevorzugte Opfer
APT-Kampagnen setzen diese Technik häufig ein, um auch Personen in Führungsfunktionen dazu zu verleiten, bösartige Phishing-Mails zu öffnen. Dieser Zielgruppe sind entweder die Sicherheits-Best Practices zu gut bekannt, um auf «gewöhnliche» Phishing-Nachrichten hereinzufallen. Oder sie haben keine Zeit, um generisch klingende Mails zu lesen. Über geschickte Social Engineering-Taktiken werden die sogfältig ausgewählten Empfänger dazu verleitet, entweder einen schädlichen Dateianhang zu öffnen oder einen Link auf eine Malware, beziehungsweise eine mit einem Exploit bestückte Site, anzuklicken und damit eine Infektion anzustossen. Die Schadsoftware greift dann auf einen bösartigen Command & Control Server (C&C) zu und holt sich dort weitere Befehle ab. Gleichzeitig hinterlegt die Malware meistens eine Köder-Datei. Diese öffnet sich, sobald der Schädling oder Exploit seine versteckten schädlichen Aktivitäten ausführt. Wenn eine angehängte, ausführbare Datei verschickt wird, wird diese dabei oft als Dokument mit gefälschten Icons kaschiert, unter Verwendung der Right-to-Left Override (RLO)-Technik und mit vielen Leerzeichen im Dateinamen, die die .EXE-Erweiterung verstecken.
Gutgläubigkeit, Zeitdruck und Social Media als Schlüssel
Obgleich Spear Phishing keine neue Technik darstellt, sind diese Angriffe erfolgreich. Sie fragen sich, weshalb das so ist? Nun ja, die Betrüger versenden individuelle, glaubhafte E-Mails, die von einem vertrauenswürdigen Absender zu stammen scheinen. Der Erfolg lässt sich aber auf eine ganze Reihe von Faktoren zurückführen. Zunächst einmal wird der grundlegende menschliche Charakter ausgenutzt. Da die erhaltene E-Mail ja allem Anschein nach von einem bekannten, vertrauenswürdigen Absender stammt, etwa einer Bank, einem Arbeitskollegen oder einem Freund, lässt es sich kaum vermeiden, dass manche Personen auf die Nachricht reagieren. Egal, wie sehr sie sich der Gefahr von Sicherheitsbedrohungen bewusst sind. Aber auch die zunehmende Nutzung mobiler Geräte erhöht das Sicherheitsrisiko. Mitarbeiter lesen und beantworten E-Mails immer häufiger von unterwegs. Die hohe Anzahl an E-Mails und die vielen Ablenkungen ausserhalb des Büros führen dazu, dass die Empfänger die Nachrichten vielleicht nur kurz durchsehen, anstatt sie auf mögliche Gefahren zu prüfen.
Wir halten fest: Spear Phishing nimmt (leider) massiv zu
Durch die allgemeine Verfügbarkeit von Daten im Internet - die wir oft selbst online stellen - wird so ein gezielter Angriff noch einfacher gemacht. Benutzer vertrauen Social-Networking-Websites wie Facebook, LinkedIn und Twitter nach wie vor grosse Mengen an persönlichen und vertraulichen Informationen an. So zum Beispiel Wohnort, Beruf, Geburtstag oder Hobbys - nur um einige zu nennen. Derartige Informationen lassen sich von jedem Internetbetrüger ohne grossen Aufwand ausforschen. Status-Updates liefern den Hackern zudem viele Informationen, um eine persönliche E-Mail-Nachricht zu verfassen, die für das Opfer des Angriffs relevant ist.
Cyber Security beginnt bei Ihren Mitarbeitenden
Spear Phishing wird auch weiterhin von Cyberkriminellen genutzt, um komplexe, zielgerichtete Angriffe zu veranlassen. Warum? Weil immer noch viel zu schnell auf Links in Mails geklickt wird und Anhänge in Spear Phishing-Mails nur schwer von normalen Dokumenten zu unterscheiden sind, die tagtäglich in Unternehmen ausgetauscht werden. Somit steigt die Wahrscheinlichkeit einer erfolgreichen Infektion. Zudem erleichtern die im Internet verfügbaren Unternehmensdaten den Angreifern das Sammeln von Informationen möglicher Opfer.
Mit diesem 6-Punkte-Plan schützen Sie Ihr Unternehmen vor Spear Phishing
Um Spear Phishing wirkungsvoll bekämpfen zu können, müssen sich Ihre Mitarbeitenden der Bedrohung bewusst sein - Stichwort Security Awareness. Das heisst Sie sollten sich darüber im Klaren sein, dass es sich bei E-Mails in ihrem Posteingang auch um Fälschungen handeln kann. Unternehmen sollten daher ihre Mitarbeitenden gezielt darauf sensibilisieren und gut überlegen, welche Informationen sie im Internet veröffentlichen. Die wichtigsten Verhaltensregeln im Umgang mit E-Mail und Social Media helfen, sich vor solchen Machenschaften besser zu schützen:
- Klicken Sie in verdächtigen E-Mails nie auf Anhänge und folgen Sie keinen Links.
- Misstrauen Sie E-Mails, die Sie unaufgefordert bekommen. Oftmals werden vertrauenswürdige Firmen oder Behörden als gefälschte Absender-Adressen missbraucht.
- Kein seriöser Dienstleister wird seine Kunden jemals per Mailnachricht oder Telefon zur Angabe von vertraulichen Informationen, wie Passwörtern oder Kreditkartendaten auffordern.
- Seien Sie vorsichtig, wenn Sie E-Mails bekommen, die eine Aktion von Ihnen verlangen und ansonsten mit Konsequenzen (wie Geldverlust, Strafanzeige, Konto- oder Kartensperrung, verpasste Chance, Unglück) drohen.
- Wenn Sie unsicher sind, fragen Sie beim Absender nach, ob die E-Mail von ihm stammt.
- Überlegen Sie sich gut, welche Informationen Sie über sich und Ihr Unternehmen auf sozialen Medien kommunizieren. WENIGER ist hier definitiv mehr!
Ein wirkungsvoller Informationsschutz steht und fällt mit der aktiven Unterstützung aller Mitarbeitenden des Unternehmens – inklusive Management! Durch eine geeignete Security Awareness-Kampagne können sowohl das erforderliche Grundwissen vermittelt und die Sensibilität der Mitarbeitenden für Informationssicherheit erhöht als auch Einstellungen und Verhaltensweisen nachhaltig verändert werden.
Unsere Cyber Security-Experten haben zudem ein Phishing-Poster erstellt mit Tipps und Tricks, um Cyberkriminelle zu entlarven. Geben Sie Phishing keine Chance - jetzt downloaden!
Mehr zum Thema Security Awareness, Social Engineering, Phishing & Co. finden Sie übrigens auf unserer Know-how Webseite!