Das Phishing-Problem: So anfällig sind Sie wirklich

Unternehmen tun noch lange nicht genug, um ihre Mitarbeiter ausreichend in Cyber-Sicherheit zu schulen, meint Michael Connory. Nun hat der ethische Hacker demonstriert, wie angreifbar wir wirklich sind. [...]

Unternehmen schulen ihre Mitarbeiter nicht ausreichend in Cyber-Security, findet der Experte (c) Pixabay.com

Mit 12 Jahren erhielt Michael Connory, der heutige CEO des australischen Cyber-Sicherheitsunternehmens Security In Depth, seinen ersten Computer – ein IBM System / 370-Mainframe. Heute könnte er in seiner Rolle als ethischer Hacker in nur wenigen Minuten einen Social-Engineering-Angriff auf Ihr Unternehmen starten.

Erst letzte Woche hat er dem Team von CIO Australia hautnah demonstriert, wie einfach es für jemanden mit seinen Fähigkeiten ist, mit seiner hauseigenen Cyber-Attack-Simulation namens Candiru Ihre Verteidigung zu durchbrechen.

Unmittelbar vor Weihnachten erstellten Connory und sein Team eine einfache Phishing-E-Mail, um die Mitarbeiter des lokalen Büros eines 10-Milliarden-Dollar-Finanzdienstleistungsunternehmens zu überzeugen, einige ihrer persönlichen Daten preiszugeben. Sein Team wurde vom Unternehmen selbst mit dem Aufbau des Phishing-Angriffs beauftragt und wird zusätzlich dazu in einigen Wochen Cyber-Security-Schulungen für dessen Mitarbeiter halten.

Die Phishing-E-Mail mit dem Titel „Vielen Dank für Ihre harte Arbeit“ wurde an 140 Mitarbeiter des besagten Unternehmens versendet. Beim Öffnen wurde den Mitarbeitern ein Angebot für einen gefälschten Filmgutschein vorgelegt, der sie beim Anklicken an ein Portal weiterleitete, in dem sie aufgefordert wurden, persönliche Informationen wie Benutzernamen, Passwörter und Telefonnummern anzugeben.

Weil es kurz vor Weihnachten war, waren einige der betroffenen Mitarbeiter im Urlaub – und trotzdem haben insgesamt 41 Personen auf den Link in der E-Mail geklickt und in weiterer Folge ihre persönlichen Daten an einen vermeintlich unbekannten Host weitergegeben.

„Die Ergebnisse zeigen, dass viele Personen die E-Mail nicht geöffnet haben; trotzdem, einige haben es dennoch getan – und die Realität ist, dass viele Menschen tagtäglich einer solchen zum Opfer fallen“, erklärt Connory. „Wir könnten jetzt einfach abwarten und dann den Outlook- oder Google-Mail-Zugang oder was auch immer nutzen, um so auf (persönliche) E-Mails und Informationen zuzugreifen.“

Etwa drei Stunden nach Start der Phishing-Kampagne fand ein Mitarbeiter heraus, dass es sich bei der E-Mail um Spam handelte, und alarmierte den Rest des Unternehmens, so Connory. Seine Organisation wende bei den unvermeidlich regelmäßigen Hacking-Aktivitäten zwei unterschiedliche  Methoden an. Die erste bestehe darin, eine „verbindliche Technologie“ zu verwenden, bei der die schädliche Software unmittelbar mit einem anderen Objekt, beispielsweise einem Bild, kombiniert werde.

Die zweite Methode, diejenige die das Unternehmen bevorzugt, besteht darin, einen Keylogger zu senden, um Zugriff auf einen Computer zu erhalten.

„Ein Beispiel könnte eine Bank sein – wir wollen nicht ihre Kunden ansprechen, denn das wäre dumm und viel zu langsam; stattdessen wollen wir die Bank selbst ansprechen. Wir wollen nicht zu unterscheiden sein – nicht gefunden werden. Wir können dabei einen sauberen Computer und eine saubere IP-Adresse haben“, so Connory.

Candiru kann auch überwachen, wann ein von Drittanbietern verwalteter Service Provider oder eine Sicherheitstechnologie, die vom Unternehmen verwendet wird, einen Angriff auf sich zieht. Das Finanzdienstleitungsunternehmen setzte beispielsweise Outlook 365 und die Cloud basierte E-Mail-Sicherheitssoftware Mimecast ein.

Das Mimecast-Produkt habe nur 18 Prozent der E-Mails abgerufen, gab Connory zu bedenken.

„Dem von Drittanbietern verwalteten Service Provider, den das Finanzdienstleistungsunternehmen nutzte, wurde die Sicherheitsbedrohung mitgeteilt, und doch es wurde nichts unternommen. Als Antwort erhielt man nur, dass es nichts Ernstes sei und dass man sich keine Sorgen machen brauche“, erklärt er weiterhin.

„Als wir die Prozesse überprüften, hatte nur ein Drittel derjenigen, die daraufgeklickt hatten, den Plan, wie mit so etwas umgegangen werden sollte, überhaupt verfolgt. Der Vorallreaktionsplan des Unternehmens brach vollständig zusammen und auch die verwalteten Dienste und die dahinterstehende Technologie brachen zusammen.“

„Aus diesem Fokus heraus konnten wir erhebliche Sicherheitslücken in der Unternehmensstruktur feststellen. Es handelt sich um ein Unternehmen, das mehr als 10 Milliarden US-Dollar verwaltet und mehr als 50.000 Mitarbeiter hat. Und das ist nur eines von vielen.“

Eine Schulung allein reicht nicht

Laut Connory ist es den meisten Unternehmen nicht gelungen, Schulungen im Bereich Cyber-Sicherheit für Ihre Mitarbeiter einzuführen.

„Der erste Schritt wäre es, eine Einführung zu geben und sofort klar zu machen: Klicken Sie nicht auf Links, die Sie nicht kennen, versuchen Sie, den Link zu identifizieren, und finden Sie heraus, ob ein gewisses Maß an Dringlichkeit dahintersteckt.“

„In der E-Mail, die wir [an die Mitarbeiter der Finanzdienstleistungsfirma] gesendet haben, hieß es: ‚Wenn Sie all dies bis Freitag tun, erhalten Sie Ihre [Film-]Gutscheine‘. Wir haben sogar den Namen des HR-Direktors falsch geschrieben. Wenn jemand es mit seiner Phishing-Mail ernst meint, würde er einen solchen Fehler nicht begehen. Wir jedoch haben ihn mit Absicht gemacht“, so Connory.

„Unternehmen bringen ihren Mitarbeitern bei, nach verdächtigen E-Mails Ausschau zu halten, aber diese setzen das, was sie gelernt haben, nicht unbedingt in die Praxis um; eine zweite oder gar dritte Cyber-Security-Schulung setzen sie dann schon gar nicht mehr ein“, meint er.

„Erst kürzlich habe ich die Überprüfung eines Unternehmens durchgeführt, das Opfer einer Datenpanne wurde und nun in ernsthaften Schwierigkeiten steckt. Sie hatten Hunderte von Millionen Dollar für neue Cyber-Sicherheitsprozesse ausgegeben – und doch sind sie gescheitert“, sagt er „Niemand kommuniziert und es gibt keinen Prozess bei der Verwaltung von Angriffen.“

Connory erklärte außerdem, dass die chinesische Cyberspionagegruppe APT10 diesen Mangel an Kommunikation zwischen Unternehmen ausnutze. Dieser Bedrohungsakteur ziele darauf ab, dass verwaltete IT-Dienstanbieter auf die IP-Adressen sowohl der MSPs selbst als auch ihrer Kunden zugreifen könnten.

„Das ist genau das, was APT10 getan hat. Wenn ich Zugriff auf das Google Mail-Konto eines Unternehmens erhalte und eine E-Mail-Adresse innerhalb eines Kontos eröffne, die als in Ordnung angesehen wird, kann ich diese dann an alle anderen übertragen. Dies bedeutet, dass Sie gewonnen haben.“ Es bedeutet, dass sie keine Benachrichtigung über einen potenziellen Cyberangriff erhalten werden.

„Eine der Taktiken, die diese Leute anwenden, ist das Senden einer Datei, die der Benutzer sieht und fragt: „Warten Sie, was hier los ist? Ich habe keine Datei erhalten, ich habe nichts getan.  Durch das Erstellen einer Konversation erfährt das System, dass es sich dabei um eine gute und vertrauenswürdige Kommunikation handelt. Von diesem Standpunkt aus kann der Angreifer Dateien versenden, Viren und bösartigen Code anfügen – und weil er Zugriff darauf habe, sendet er das alles intern.“

*Byron Connolly ist Redakteur bei CIO Australia.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*