PiChris - Fotolia
Den Schutz vor Phishing-Angriffen verbessern
Der Erfolg vieler Phishing-Kampagnen ist darin begründet, dass oftmals die Authentifizierung nur per Passwort und Kennung geschieht. Stärkere Maßnahmen erhöhen den Schutz.
So bekannt die Gefahr ist, so wenig ist sie gebannt: Dem jährlichen State of Phishing Report zufolge ist die Bedrohung durch Phishing 2022 im Vergleich zum Vorjahr um 61 Prozent auf 225 Millionen Angriffe gestiegen. In 76 Prozent aller festgestellten Attacken wurden Login-Infos ausgelesen. Doch wie lassen sich robuste Phishing-Kontrollen sicherstellen?
Schlechte Nachrichten über eine Vielzahl erfolgreicher Phishing-Angriffe schlagen längst nicht nur im Cybersecurity Awareness Month auf. Smishing, eine abgewandelte Methode der Hacker, zieht derzeit auch alle Aufmerksamkeit auf sich. Erst kürzlich kursierte eine SMS, die den Nutzern eines beliebten Streaming-Dienstes vorgaukeln sollte, ihr Konto würde aufgrund einer nicht abbuchbaren Zahlung gesperrt werden.
Bei diesem Angriff ging es, wie auch bei vielen anderen Smishing-Attacken, darum, die potenziellen Opfer dazu zu verleiten, persönliche Informationen und Anmeldedaten preiszugeben, wie etwa Benutzernamen, Kennwörtern, Authentifizierungscodes und anderen sensiblen Daten, mit dem Ziel, Benutzerkonten zu übernehmen oder höhere Zugriffsrechte zu erlangen, um sich in den Systemen eines Unternehmens frei bewegen zu können.
Die Angreifer wenden sich in der Regel per E-Mail, Telefon, Textnachricht oder Direktnachricht in den sozialen Medien an ihre Opfer und leiten sie dann auf eine ähnliche Website, die dem Aussehen der legitimen Website entspricht, in der Hoffnung, dass dort persönliche Informationen preisgegeben werden.
Im Fall des Streaminganbieters wurden die weniger aufmerksamen SMS-Empfänger, die dem Link in der Textnachricht gefolgt sind, auf eine gefälschte Login-Seite gelotst, wo sie ihre Kenndaten eingeben sollten, um das vermeintliche Problem bei der Zahlung beheben zu können. Haben sie sich erfolgreich eingeloggt, wurden gleich weitere Daten abgefragt: Geburtsdatum, Telefonnummer und Kreditkarteninformationen. Wer darauf hereinfiel, hat den Betrügern damit vollen Zugriff auf seine Zugangsdaten sowie auf die Kreditkartendaten gewährt.
Die menschliche Schwachstelle
Obwohl sich die Herangehensweise der Hacker bei Phishing-Angriffen ständig ändert, lässt sich leider nicht von der Hand weisen, dass die sich die meisten dieser Akteure nicht gewaltsam Zugriff auf ein Konto oder Netzwerk verschaffen, sondern aufgrund menschlichen Versagens an die wertvollen Daten gelangen.
Laut dem aktuellen Tessian-Report zur Psychologie des menschlichen Versagens sind 85 Prozent der Sicherheitsverletzungen auf Fehler von Mitarbeitern zurückzuführen. Hauptverantwortlich für das hohe Risiko ist das Festhalten an Passwörtern. Die kürzlich von Yubico durchgeführte Studie „State of Global Enterprise Authentication“ (PDF) zeigte, dass 59 Prozent der Mitarbeiter bei der Nutzerauthentifizierung immer noch auf die Kombination aus Benutzername und Passwort setzen.
Wie erfolgversprechend eine weitere Phishing-Variante ist, wurde der Welt im Jahr 2020 vor Augen geführt. Das Opfer war Twitter: Bei einem eindrucksvollen Spear-Phishing-Angriff geben sich Kriminelle als Mitarbeiter einer vertrauenswürdigen Organisation aus und senden maßgeschneiderte E-Mails oder Sofortnachrichten an ein gut recherchiertes Ziel.
Damit soll der Empfänger dazu gebracht werden, vertrauliche Informationen preiszugeben oder Malware zu installieren. Im Twitter-Fall erfolgte der Angriff über Telefonanrufe, im Rahmen derer Mitarbeiter dazu gebracht wurden, ihre Anmeldedaten preiszugeben. Nachdem sich die Hacker auf diese Weise Zugang zum System verschafft hatten, setzten sie ihren Weg durch das Twitter-Netzwerk fort, bis sie Administratorzugriff erlangen konnten.
Doch auch andere namhafte Unternehmen wurden Opfer von Phishing-Angriffen, die unter Beweis stellen, dass Hacker mit relativ einfachen Social-Engineering-Taktiken rasch Zugriff auf wertvolle Daten erlangen können, indem sie beispielsweise hartnäckig und wiederholt Textnachrichten oder Push-Benachrichtigungen zur Zwei-Faktor-Authentifizierung anfordern.
Wie tickt ein ethischer Hacker?
Wie Phishing-Angriffe ablaufen und wie leicht diese Angriffe erfolgreich sein können, weiß auch die ethische Hackerin und CEO von SocialProof Security, Rachel Tobac. Denn anders als viele Außenstehende vermuten mögen, müssen Cyberkriminelle nicht sehr hart daran arbeiten, um Mitarbeiter dazu bringen, ihre Anmeldedaten preiszugeben und an jemanden zu senden, der sich als Kollege oder IT-Support ausgibt.
„Das Risiko könnte erhöht sein, wenn Mitarbeiter Admin-Zugriff haben, in der Öffentlichkeit stehen oder zur Zielscheibe von Belästigungen werden“, erklärt Tobac. „Es ist hilfreich, FIDO-Sicherheitsschlüssel in Betracht zu ziehen, um den Großteil der Angriffe zu verhindern, die wir derzeit in den Nachrichten sehen, insbesondere dann, wenn sich Unternehmen als besonders gefährdet einstufen lassen.“
„Angesichts der Raffinesse der Angreifer stößt auch die Multifaktor-Authentifizierung bisweilen an ihre Grenzen, sodass Unternehmen auf moderne, Phishing-resistente MFA-Lösungen zurückgreifen sollten.“
Alexander Koch, Yubico
Die ethische Hackerin rät Unternehmen, die nicht auf den Einsatz von Passwörtern als primäre Authentifizierungsmethode verzichten möchten, dazu, auf eindeutige und lange Kennwörter zurückzugreifen, die keinesfalls für mehrere Konten gelten sollten. Darüber hinaus sollten sie ihre Multifaktor-Authentifizierung (MFA) an ihr Bedrohungsmodell anpassen: Besteht Zugang zu sensiblen Daten, empfiehlt sich ein FIDO-Sicherheitsschlüssel.
„Gehen Sie davon aus, dass Ihr Passwort – egal wie lang oder einzigartig es ist – dem Risiko einer Verletzung ausgesetzt ist. Verwenden Sie MFA als Backup, einschließlich der richtigen MFA für Ihr Bedrohungsmodell“, so Tobac.
Die Umsetzung dieser Tipps ist ein guter Anfang, um sich vor Angriffen zu schützen. Unternehmen, die zusätzlichen Schutz vor Cyberangriffen benötigen und auf Sicherheitsschlüssel umsteigen, rät Tobac Folgendes: „Testen Sie die FIDO-Sicherheitsschlüssel in einem Pilotprogramm mit einer kleinen Gruppe von Benutzern mit Administratorzugang, dann können Sie sie im Laufe der Zeit auf eine größere Gruppe ausweiten.
Kleine Versuche funktionieren. Während Sie darauf warten, dass Ihr FIDO-Schlüsselversuch läuft, sollten Sie den Nummernabgleich aktivieren, um das Phishing-Risiko zu verringern, das von App-basierten MFA-Codes ausgeht. Aktivieren Sie außerdem Warnmeldungen und Ratenbegrenzungen für MFA-Push-Benachrichtigungen und verwenden Sie einen Passwortmanager für die Erstellung und Speicherung von Anmeldeinformationen. Stellen Sie sicher, dass Auftragnehmer denselben Zugang zu technischen Tools und Schulungen haben wie Ihre internen IT-Teams.“
Fazit
Die steigende Zahl der Cyberattacken, insbesondere mittels Ransomware und Phishing, ist besorgniserregend – ebenso wie der unzureichende Schutz vieler Unternehmen vor diesen Bedrohungen. Sie müssen sich darüber bewusst sein, dass der Mitarbeiter die letzte Verteidigungslinie darstellt und dementsprechend über das nötige Know-how verfügen sollte, um sich bei alltäglichen digitalen Aktivitäten adäquat zu schützen.
Allerdings darf dabei nicht vergessen werden, dass es nicht genügt, lediglich das Bewusstsein für Sicherheitsrisiken zu schaffen. Angesichts der Raffinesse der Angreifer stößt auch die Multifaktor-Authentifizierung bisweilen an ihre Grenzen, sodass Unternehmen auf moderne, Phishing-resistente MFA-Lösungen zurückgreifen sollten.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.