Können Sie Spear Phishing und Vishing von Whaling und Clone Phishing unterscheiden? Wir zeigen Ihnen, wie Sie jede Art von Bedrohung identifizieren können. [...]
Jede Datenpanne und Online-Attacke scheint in irgendeiner Art von Phishing-Versuch zu bestehen, um Passwörter zu stehlen, betrügerische Transaktionen zu starten oder jemanden zum Herunterladen von Malware zu verleiten. Tatsächlich stellt der Bericht 2020 Data Breach Investigations Report von Verizon fest, dass Phishing die größte Bedrohung im Zusammenhang mit Sicherheitsverletzungen darstellt.
Unternehmen erinnern ihre Benutzer regelmäßig daran, sich vor Phishing-Angriffen zu hüten, aber viele Benutzer wissen nicht so recht, wie sie diese erkennen können. Und Menschen neigen sowieso dazu, Scams schlecht zu erkennen.
Laut Proofpoints State of the Phish-Report 2020 erlebten 65 % der US-Organisationen im Jahr 2019 einen erfolgreichen Phishing-Angriff. Dies spricht sowohl für die Raffinesse der Angreifer als auch für die Notwendigkeit einer ebenso ausgefeilten Schulung des Sicherheitsbewusstseins. Hinzu kommt, dass nicht alle Phishing-Betrügereien auf die gleiche Weise funktionieren – einige sind allgemeine E-Mail-Blasts, während andere sorgfältig auf einen ganz bestimmten Personenkreis zugeschnitten sind – und es wird schwieriger, Benutzer zu schulen, damit sie wissen, wann eine Nachricht verdächtig ist.
Betrachten wir die verschiedenen Arten von Phishing-Angriffen und wie man sie erkennen kann.
Phishing: Massenmarkt-E-Mails
Die häufigste Form von Phishing ist die allgemeine, massenhaft versendete Art, bei der jemand eine E-Mail sendet, in der er vorgibt, jemand anderes zu sein, und versucht, den Empfänger auszutricksen, indem er etwas tut, in der Regel sich auf einer Website einloggt oder Malware herunterlädt. Angriffe beruhen häufig auf E-Mail-Spoofing, bei dem der E-Mail-Header – das Von-Feld – gefälscht wird, um die Nachricht so aussehen zu lassen, als sei sie von einem vertrauenswürdigen Absender gesendet worden.
Phishing-Angriffe sehen jedoch nicht immer aus wie eine E-Mail mit einer UPS-Zustellbenachrichtigung, eine Warnmeldung von PayPal über ablaufende Kennwörter oder eine Office 365-E-Mail über Speicherkontingente. Einige Angriffe sind speziell auf Unternehmen und Einzelpersonen ausgerichtet, während andere auf andere Methoden als E-Mail zurückgreifen.
Spear-Phishing: Spezielle Ziele verfolgen
Phishing-Angriffe verdanken ihren Namen der Vorstellung, dass Betrüger nach zufälligen Opfern fischen, indem sie gefälschte oder betrügerische E-Mails als Köder verwenden. Spear-Phishing-Angriffe erweitern die Analogie des Fischens, da die Angreifer speziell auf hochwertige Opfer und Unternehmen abzielen. Anstatt zu versuchen, an Bankdaten von 1.000 Verbrauchern zu gelangen, könnte es für den Angreifer lukrativer sein, eine Handvoll Unternehmen ins Visier zu nehmen. Ein Angreifer aus einem Nationalstaat kann einen Mitarbeiter einer anderen Regierungsbehörde oder einen Regierungsbeamten ins Visier nehmen, um Staatsgeheimnisse zu stehlen.
Spear-Phishing-Angriffe sind äußerst erfolgreich, da die Angreifer viel Zeit damit verbringen, empfängerspezifische Informationen zu erstellen, wie z.B. den Verweis auf eine Konferenz, an der der Empfänger vielleicht gerade teilgenommen hat, oder das Versenden eines bösartigen Anhangs, dessen Dateiname auf ein Thema verweist, an dem der Empfänger interessiert ist.
Im Rahmen einer Phishing-Kampagne im Jahr 2017 richtete sich die Gruppe 74 (alias Sofact, APT28, Fancy Bear) mit einer E-Mail, die vorgab, mit der US-Konferenz zum Thema Cyber-Konflikte in Zusammenhang zu stehen, einer Veranstaltung, die vom Cyber-Institut der Armee der US-Militärakademie, der NATO Cooperative Cyber Military Academy und dem NATO Cooperative Cyber Defence Centre of Excellence organisiert wurde, an Cyber-Sicherheitsexperten. Obwohl es sich bei der CyCon um eine echte Konferenz handelt, handelte es sich bei dem Anhang eigentlich um ein Dokument, das ein bösartiges Visual Basic for Applications (VBA)-Makro enthielt, das Aufklärungs-Malware namens Seduploader herunterladen und ausführen sollte.
Whaling: Auf der Jagd nach dem ganz Großen
Unterschiedliche Opfer, unterschiedliche Zahltage. Ein Phishing-Angriff, der speziell auf die Top-Führungskräfte eines Unternehmens abzielt, wird als Whaling bezeichnet, da das Opfer als hochwertig eingestuft wird und die gestohlenen Informationen wertvoller sind als das, was ein normaler Angestellter anbieten kann. Die Kontoauszüge eines CEO werden mehr Türen öffnen als die eines Berufsanfängers. Das Ziel ist es, Daten, Mitarbeiterinformationen und Bargeld zu stehlen.
Whaling erfordert außerdem zusätzliche Nachforschungen, da der Angreifer wissen muss, mit wem das beabsichtigte Opfer kommuniziert und welche Art von Gesprächen es führt. Beispiele hierfür sind Hinweise auf Kundenbeschwerden, rechtliche Vorladungen oder sogar ein Problem in der Führungsetage. Angreifer beginnen typischerweise mit Social Engineering, um Informationen über das Opfer und das Unternehmen zu sammeln, bevor sie die Phishing-Nachricht erstellen, die bei dem Whaling-Angriff verwendet werden soll.
Kompromittierung geschäftlicher E-Mails (BEC): Vorgeben, der CEO zu sein
Abgesehen von massenhaft verbreiteten allgemeinen Phishing-Kampagnen zielen die Kriminellen auf Schlüsselpersonen in Finanz- und Buchhaltungsabteilungen durch geschäftliche E-Mail-Kompromittierung (BEC-Betrug) und E-Mail-Betrug von CEOs. Indem sie sich als Finanzbeamte und CEOs ausgeben, versuchen diese Kriminellen, die Opfer auszutricksen, damit sie Geldüberweisungen auf nicht autorisierte Konten veranlassen.
Typischerweise kompromittieren Angreifer das E-Mail-Konto eines leitenden Angestellten oder Finanzbeamten, indem sie eine bestehende Infektion ausnutzen oder einen Spear-Phishing-Angriff durchführen. Der Angreifer lauert und überwacht die E-Mail-Aktivität der Führungskraft für eine gewisse Zeit, um sich über Prozesse und Verfahren innerhalb des Unternehmens zu informieren. Der eigentliche Angriff erfolgt in Form einer gefälschten E-Mail, die so aussieht, als käme sie vom Konto der kompromittierten Führungskraft und wird an jemanden gesendet, der ein regelmäßiger Empfänger ist. Die E-Mail scheint wichtig und dringend zu sein und fordert den Empfänger auf, eine telegrafische Überweisung an ein externes oder unbekanntes Bankkonto zu senden. Das Geld landet schließlich auf dem Bankkonto des Angreifers.
Laut dem Bericht der Anti-Phishing-Arbeitsgruppe zum Trend der Phishing-Aktivitäten für das 2. Quartal 2020 heißt es: „Der durchschnittliche Verlust von Überweisungen durch BEC-Angriffe (Business Email Compromise) nimmt zu: Der durchschnittliche Überweisungsversuch im zweiten Quartal 2020 betrug 80.183 US-Dollar“.
Clone Phishing: Wenn Kopien genauso effektiv sind
Beim Clone Phishing erstellt der Angreifer eine nahezu identische Replik einer legitimen Nachricht, um das Opfer dazu zu bringen, sie für echt zu halten. Die E-Mail wird von einer Adresse gesendet, die dem legitimen Absender ähnelt, und der Textkörper der Nachricht sieht genauso aus wie eine frühere Nachricht. Der einzige Unterschied besteht darin, dass der Anhang oder der Link in der Nachricht durch eine bösartige ausgetauscht wurde. Der Angreifer kann etwas in der Art mitteilen, dass er das Original oder eine aktualisierte Version erneut senden muss, um zu erklären, warum das Opfer die „gleiche“ Nachricht erneut erhalten hat.
Dieser Angriff basiert auf einer zuvor gesehenen, legitimen Nachricht, wodurch es wahrscheinlicher wird, dass Benutzer auf den Angriff hereinfallen. Ein Angreifer, der bereits einen Benutzer infiziert hat, kann diese Technik gegen eine andere Person einsetzen, die ebenfalls die zu klonende Nachricht erhalten hat. In einer anderen Variante kann der Angreifer eine geklonte Website mit einer gefälschten Domäne erstellen, um das Opfer zu täuschen.
Vishing: Phishing am Telefon
Vishing steht für „Voice Phishing“ und beinhaltet die Benutzung des Telefons. Typischerweise erhält das Opfer einen Anruf mit einer Sprachnachricht, die als Mitteilung eines Finanzinstituts getarnt ist. Die Nachricht könnte den Empfänger beispielsweise auffordern, eine Nummer anzurufen und seine Kontoinformationen oder PIN aus Sicherheitsgründen oder aus anderen offiziellen Gründen einzugeben. Die Telefonnummer klingelt jedoch über einen Voice-over-IP-Dienst direkt beim Angreifer.
Bei einem raffinierten Vishing-Betrug im Jahr 2019 riefen Kriminelle Opfer an, die vorgaben, der technische Support von Apple zu sein und den Benutzern eine Nummer zu geben, die sie anrufen können, um das „Sicherheitsproblem“ zu lösen. Wie der alte Betrug mit dem technischen Support von Windows nutzte auch dieser Betrug die Angst der Benutzer vor dem Hacken ihrer Geräte aus.
Smishing: Phishing per Textnachricht
Smishing, ein Portmanteau aus „Phishing“ und „SMS“, wobei letzteres das von den meisten Telefon-SMS-Diensten verwendete Protokoll ist, ist ein Cyberangriff, der irreführende Textnachrichten verwendet, um die Opfer zu täuschen. Ziel ist es, Sie dazu zu bringen, zu glauben, dass eine Nachricht von einer vertrauenswürdigen Person oder Firma stammt, und Sie dann zu überzeugen, Maßnahmen zu ergreifen, die dem Angreifer ausnutzbare Informationen (wie z.B. Anmeldedaten für Bankkonten) oder Zugriff auf Ihr mobiles Gerät verschaffen.
Smishing ist auf dem Vormarsch, weil Menschen Textnachrichten mit höherer Wahrscheinlichkeit lesen und beantworten als E-Mails: 98% der Textnachrichten werden gelesen und zu 45% beantwortet, während die entsprechenden Zahlen für E-Mail bei 20% bzw. 6% liegen. Und die Benutzer sind auf ihrem Telefon oft weniger wachsam gegenüber verdächtigen Nachrichten als auf ihrem Computer, und ihren persönlichen Geräten fehlt im Allgemeinen die Art von Sicherheit, die auf Firmen-PCs verfügbar ist.
Snowshoeing: Die Verbreitung giftiger Nachrichten
Snowshoeing oder „Hit-and-Run“-Spam erfordert von Angreifern, Nachrichten über mehrere Domänen und IP-Adressen zu verbreiten. Jede IP-Adresse sendet ein geringes Nachrichtenvolumen aus, so dass reputations- oder volumenbasierte Spam-Filtertechnologien bösartige Nachrichten nicht sofort erkennen und blockieren können. Einige der Nachrichten schaffen es bis in die E-Mail-Postfächer, bevor die Filter lernen, sie zu blockieren.
Hailstorm-Kampagnen funktionieren genauso wie Snowshoeing, außer dass die Nachrichten über eine extrem kurze Zeitspanne verschickt werden. Einige Hagelsturm-Angriffe enden genau dann, wenn die Anti-Spam-Tools die Filter abfangen und aktualisieren, um zukünftige Nachrichten zu blockieren, aber die Angreifer sind bereits zur nächsten Kampagne übergegangen.
Unterschiedliche Arten von Phishing erkennen lernen
Benutzer sind oft nicht gut darin, die Auswirkungen eines Phishing-Angriffs zu verstehen. Ein einigermaßen versierter Benutzer kann möglicherweise das Risiko einschätzen, auf einen Link in einer E-Mail zu klicken, da dies dazu führen könnte, dass Malware heruntergeladen wird oder Betrugsnachrichten, bei denen Geld verlangt wird, weitergeleitet werden. Ein naiver Benutzer könnte jedoch denken, dass nichts passiert, oder am Ende Spam-Werbung und Pop-ups erhalten. Nur die versiertesten Benutzer können den potenziellen Schaden durch den Diebstahl von Berechtigungsnachweisen und die Gefährdung von Konten abschätzen. Diese Lücke in der Risikoeinschätzung erschwert es den Benutzern, den Ernst beim Erkennen bösartiger Nachrichten zu erfassen.
Unternehmen müssen bestehende interne Sensibilisierungskampagnen in Betracht ziehen und sicherstellen, dass die Mitarbeiter die notwendigen Hilfsmittel erhalten, um verschiedene Arten von Angriffen zu erkennen. Unternehmen sollten auch ihre Sicherheitsvorkehrungen verstärken, denn einige der traditionellen E-Mail-Sicherheitstools – wie Spam-Filter – reichen nicht aus, um bestimmte Phishing-Angriffe abzuwehren.
*Fahmida Y. Rashid ist freiberufliche Autorin und schreibt für CSO mit Schwerpunkt auf Informationssicherheit.
Be the first to comment