PiChris - Fotolia

Meinung

Phishing-Erkennung: Aus Risiken Unternehmenswerte schaffen

Erinnerungen an ein ablaufendes Passwort oder ein volles Postfach – Phishing-Versuche erreichen Mitarbeiter auf vielfältige Weise. Geschulte Anwender sind da ein Sicherheitsgewinn.

Stu Sjouwerman
von
Zuletzt aktualisiert:30 Nov. 2018

In einer Zeit, in der Zero-Day-Exploits regelmäßig in die E-Mail-Postfächer gelangen und selbst die besten Antiviren-Engines routinemäßig neu veröffentlichte bösartige Dateien und Links nicht erkennen, sind die Mitarbeiter die wirklich letzte Bastion für das Unternehmen. Sie sind das Einzige, was zwischen einem Unternehmensnetzwerk und einem katastrophalen Ransomware-Ausbruch oder, noch schlimmer, Backdoor-Trojanern stehen. Sie ermöglichen es im schlimmsten Fall den Angreifern, die am besten geschützten Geheimnisse und Werte des Unternehmens nach Belieben zu plündern. Eine neuartige Schule für Security-Awareness-Training, entwickelt von kleinen und großen Unternehmen, ist deshalb ein integraler Bestandteil der Layer-Security-Konzepte geworden.

Nur wenige der Mitarbeiter, die an Security Awareness-Schulungen teilnehmen, sind jedoch technisch versiert. Noch weniger haben ein gutes Verständnis für Online-Sicherheitsbedrohungen oder die immer ausgefeilteren Social-Engineering-Systeme, mit denen sie konfrontiert werden, wenn sorgfältig gestaltete Phishing-E-Mails in ihren Posteingangsordnern landen. Mit anderen Worten, sie brauchen jede Hilfe, die sie bekommen können.

Ein Großteil der Ratschläge, die Mitarbeiter erhalten, um den bösartigen E-Mails zu helfen, besteht darin, sie aufzufordern, nach verdächtigen Elementen in den Zeilen: Datum und Uhrzeit, Empfänger, Absender und Betreff der E-Mails Ausschau zu halten. Darüber hinaus sollten sie nach seltsamen Inhalten im E-Mail-Text oder nach Hinweisen suchen mit dem Hintergedanken, dass eingebettete Links oder Anhänge bösartig sein könnten.

Während diese Art von Ratschlägen nützlich ist, können viele Mitarbeiter außerdem davon profitieren, verschiedene Arten von „roten Flaggen“ beziehungsweise typische Merkmale kennenzulernen, nach denen sie in E-Mails suchen müssen. Diese Warnzeichen kann man sich einfacher merken und Mitarbeiter müssen sich weniger auf ihre eigene subjektive Urteilskraft verlassen. Im Folgenden stellen wir drei verschiedene Arten von solchen Merkmalen vor, die es ihnen ermöglichen könnten, potenziell schädliche E-Mails schneller zu erkennen.

Phishing-Genres

Wenn die anspruchsvollen Phishing-Kampagnen hochglanzpolierte E-Mails versenden, die mit raffinierten Social-Engineering-Hooks die Mitarbeiter dazu verleiten, sich durch bösartige Links zu klicken oder sehr destruktive Anhänge zu öffnen, wird es immer weniger nützlich, diesen Mitarbeitern den Rat zu geben, nach schlechter Grammatik und Rechtschreibung zu suchen.

Trotz der zunehmenden Komplexität von Phishing-Kampagnen in den letzten Jahren konnten Sicherheitsspezialisten feststellen, dass die Mehrheit der Phishing-E-Mails, die Kunden über eine entsprechende Meldemöglichkeit mitteilen, in eine kleine Anzahl (etwa zehn) von dem fällt, was als „Phishing-Genres“ betitelt wird. Mitarbeiter, die diese Genres erlernen, werden besser in der Lage sein, zu erkennen, wann sie es mit einer potenziell schädlichen E-Mail zu tun haben.

1. Die Rechnung als Tarnung für einen Phishing-Angriff

Diese Art von Phishing, die zweifellos das häufigste Phishing-Genre in den E-Mails ist, die über den Phishing Alert Button (PAB) gemeldet wurden, fügt sich leicht in die Flut von E-Mails ein, mit denen Mitarbeiter in vielen Positionen täglich zu tun haben.

Anwender sollten bei Links und Anhängen im Zusammenhang mit Rechnungen besonders bedacht agieren.
Abbildung 1: Anwender sollten bei Links und Anhängen im Zusammenhang mit Rechnungen besonders bedacht agieren.

Mitarbeiter, die routinemäßig Bestellungen und Rechnungen bearbeiten, sollten darin geschult werden, zu erkennen, dass sie auf der Hut sein müssen, wenn sie aufgefordert werden, auf Links und Anhänge zu klicken, die ihnen in solchen E-Mails präsentiert werden.

2. Das Paket oder die Paketzustellung als Phishing-Attacke

Unternehmen und Organisationen, die im Bereich der Zustellung von Paketen tätig sind, senden heute täglich E-Mails an ihre Kunden.

Wieder einmal versuchen die Angreifer regelmäßig, diese Art von Business-to-Business-Kommunikation zu nutzen, indem sie Phishing-E-Mails erstellen, die denen ähneln, die von bekannten Organisationen wie UPS, FedEx und DHL versendet werden.

3. Die Dokument- oder Dateianlieferung / Phishing-Freigabe

Wie bei E-Mails von Unternehmen wie UPS oder FedEx sind E-Mails mit gemeinsam genutzten oder über Dienste wie Docusign und Dropbox zugestellten Dateien ein vertrauter Bestandteil der Online-Geschäftswelt. Benutzer, die unüberlegt auf die Links oder Anhänge in scheinbar harmlosen File-Sharing-E-Mails klicken, könnten eine böse Überraschung erleben.

4. Das gefälschte Fax Phishing

Mitarbeiter in einem Unternehmen sollten mit dem Erscheinungsbild von E-Mails vertraut sein, die intern von der Faxsoftwarelösung eines Unternehmens generiert werden, damit sie eine Fälschung sofort erkennen können, wenn sie erscheint.

Die Mitarbeiter sollten mit der internen Softwarelösung vertraut sein, die zum Faxempfang genutzt wird, um nicht auf präparierte Mails hereinzufallen.
Abbildung 2: Die Mitarbeiter sollten mit der internen Softwarelösung vertraut sein, die zum Faxempfang genutzt wird, um nicht auf präparierte Mails hereinzufallen.

5. Die gefälschte Sprachnachricht als Phishing

Ebenso müssen die Mitarbeiter eines Unternehmens legitime Sprachnachrichten-Hinweise erkennen, damit sie einen Betrüger leichter erkennen können.

6. Die Online-Kontoüberprüfung/Aktualisierung als Phishing

Wahrscheinlich der Großvater aller Phishing-Genres, dieses ist nach mehr als einem Jahrzehnt intensiver Nutzung durch Cyberkriminelle immer noch stark. Allzu viele Mitarbeiter klicken sich immer noch durch bösartige E-Mails, die sie darüber informieren, dass es ein Problem mit einem ihrer Online-Konten (oft ein Online-Banking-Konto) gibt und dass sie ihre Identität überprüfen oder die Informationen über dieses Konto bestätigen müssen, um es aktiviert zu halten.

7. Der E-Mail-Speicher-Limitierungs-Phishing-Angriff

Die meisten Mitarbeiter achten auf den Status ihrer E-Mail-Konten aufmerksam und reagieren auf E-Mails, die sie über Probleme mit diesen Konten informieren.

8. Das E-Mail-Upgrade/-Update als Phishing

Mitarbeiter in einem Unternehmen sind wahrscheinlich so vertraut mit dem regelmäßigen Zyklus von Software-Updates und -Upgrades, der von der IT-Abteilung vorangetrieben wird, dass viele von ihnen nicht einmal blinzeln werden, wenn sie auf eine solche E-Mail treffen.

Auch hier gilt: Wenn Unternehmen ihren Mitarbeitern zeigen, wie legitime E-Mails ihrer IT-Abteilung oder ihres Helpdesks aussehen, können sie solche Fälschungen erkennen.

9. Der E-Mail-Passwort-Ablauf Phishing-Angriff

Ein weiterer regelmäßiger Zyklus, an den sich Mitarbeiter gewöhnt haben, sind die regelmäßigen Benachrichtigungen, die sie erhalten, wenn ihre E-Mail-Passwörter ablaufen.

Aufforderungen zur regulären Änderung des Passwortes sind meist nicht allzu komplex gestaltet und können Mitarbeiter leicht zur Eingabe der Daten verleiten.
Abbildung 3: Aufforderungen zur regulären Änderung des Passwortes sind meist nicht allzu komplex gestaltet und können Mitarbeiter leicht zur Eingabe der Daten verleiten.

Wenn Mitarbeiter eine legitime E-Mail mit Ablaufdatum für Passwörter nicht von einer bösartigen E-Mail unterscheiden können, ist die IT-Abteilung viel beschäftigter (und unglücklicher) als sie es sein muss.         

10. Der Phishing-Angriff zur Deaktivierung des E-Mail-Kontos

Trotz des schieren Elends, das die regelmäßige Flut von Büro-E-Mails von so vielen Mitarbeitern verursacht, sind sich die meisten bewusst, dass ihre E-Mail-Konten für ihre Arbeit unerlässlich sind.

PDFs mit eingebetteten Links

Angreifer sind dafür bekannt, Exploits in Anhängen zu verwenden, die über Phishing-E-Mails versendet werden. Es ist jedoch nach wie vor erforderlich, dass die überwiegende Mehrheit der bösartigen Anhänge, die wir sehen, von Mitarbeiter geklickt werden müssen. Und das werden sie tun und damit ihre Konten (in der Regel über ein Credentials Phishing) oder ihre Workstation (über bösartige Software) gefährden.

PDF-Dateien mit eingebetteten Links können auf präparierte Websites führen und dort Mitarbeiter zur Preisgabe von Daten verleiten.
Abbildung 4: PDF-Dateien mit eingebetteten Links können auf präparierte Websites führen und dort Mitarbeiter zur Preisgabe von Daten verleiten.

Auch wenn IT-Sicherheitsexperten sich wünschen, dass Mitarbeiter von Unternehmen solche Anhänge niemals öffnen, ist die traurige Tatsache, dass es viele tun. Wenn Unternehmen ihre Mitarbeiter geschult haben, die beiden häufigsten bösartigen Anhänge zu erkennen – und sie sind überraschend leicht zu erkennen –, kann das Unternehmen einen Großteil des Schadens eindämmen und seine Gefährdung durch gefährdete Benutzerkonten und Ransomware-Ausbrüche drastisch reduzieren.

Die bei weitem häufigsten bösartigen Anhänge, die unsere Kunden melden, sind PDFs mit eingebetteten Links, die auf Webseiten verweisen. Diese Webseiten verleiten dazu, die Zugangsdaten zu ihren Benutzerkonten abzufragen oder den direkten Download von Malware zu starten.

Stu Sjouwerman, KnowBe4

„In einer Zeit, in der Zero-Day-Exploits regelmäßig in die E-Mail-Postfächer gelangen und selbst die besten Antiviren-Engines routinemäßig neu veröffentlichte bösartige Dateien und Links nicht erkennen, sind die Mitarbeiter die wirklich letzte Bastion für das Unternehmen.“

Stu Sjouwerman, KnowBe4

Jede einfache PDF-Datei, die einen eingebetteten Link enthält, auf den Mitarbeiter zum Klicken aufgefordert werden, sollte bis zum Beweis des Gegenteils als bösartig angesehen werden, und die Mitarbeiter müssen geschult werden, um sie als solche zu erkennen und zu behandeln.

Office-Dokumente mit Makro-Warnbildschirmen

Der zweithäufigste bösartige Anhang ist noch einfacher zu erkennen: das Office-Dokument mit eingebettetem Makro.

Während die Verwendung von Makros in legitimen Geschäftsdokumenten nicht ungewöhnlich ist, ist die Verwendung von aufwendigen und hochglanzpolierten Grafiken, beispielsweise mit Markierungen, die durch den Prozess der Aktivierung von Makros in Office-Dokumenten führen, mit Sicherheit sehr ungewöhnlich. Diese Art von Makro-Warnbildschirmen ist ziemlich einzigartig für bösartige Dokumente und stellt ein eindeutiges Zeichen dafür dar, dass etwas nicht stimmt.

Ein sehr auffälliger Warnbildschirm für die Aktivierung von Makros in Word ist eher ein Warnhinweis dafür, dass etwas ganz und gar nicht in Ordnung ist.
Abbildung 5: Ein sehr auffälliger Warnbildschirm für die Aktivierung von Makros in Word ist eher ein Warnhinweis dafür, dass etwas ganz und gar nicht in Ordnung ist.

Böswillige Akteure im Internet passen sich ständig an und optimieren ihre Angriffsmaßnahmen, und die Beispiele, die wir oben besprochen haben, decken bei weitem nicht das gesamte Spektrum an bösartigen E-Mails ab, die in die Posteingänge der Mitarbeiter gelangen könnten. Sie decken jedoch einen großen Teil dieser Phishing-E-Mails ab.

Fazit

Wie bereits erwähnt, benötigen Mitarbeiter jede erdenkliche Unterstützung, wenn sie auf die immer ausgefeilteren Phishing-Kampagnen stoßen, die heute im Einsatz sind. Diese drei Gefahrenhinweise – gängige Phishing-Genres, PDFs mit eingebetteten Links und Office-Dokumente mit Makro-Warnbildschirmen – wurden zusammengestellt, um die traditionellen Warnzeichen zu ergänzen.

Sie ersetzen in keinem Fall die, die mit der Schulungsplattform für Security Awareness von Mitarbeitern vermittelt werden. Sie können den Mitarbeitern fertige Warnmeldungen zur Verfügung stellen, dass sie sich mit bestimmten Arten von E-Mails auf dünnem Eis befinden und dass sie andere wichtige Aspekte dieser potenziellen E-Mails sorgfältig prüfen müssen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Was Unternehmen bei Phishing-Tests beachten sollten

Grundsätzliche Regeln für Security-Awareness-Schulungen

Ein Phishing-Angriff im Detail

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit