Phishing
Die Kunst des Umgangs mit Phishing-Angriffen
Während von Angreifern eingesetzte künstliche Intelligenz und die 5G-Bedrohungen die Schlagzeilen füllen, bleibt Phishing für Unternehmen weltweit die größte Herausforderung.
von Trend Micro
Manchmal sind immer noch die alten Methoden am effektivsten. Während von Angreifern eingesetzte künstliche Intelligenz und die 5G-Bedrohungen die Schlagzeilen füllen, bleibt dennoch Phishing für Unternehmen weltweit die größte Herausforderung. Wie immer bei guter Cybersicherheit besteht auch hier die Kunst darin, effektiv zu reagieren. Und in diesem Fall erfordert dies eine Kombination aus Standardwerkzeugen, hochmodernen Techniken des maschinellen Lernens und einer vom Menschen gesteuerten Verteidigung. So lässt sich aus dem Chaos Ordnung schaffen, und die Phisher können in ihrem eigenen Spiel besiegt werden.
Die größte Bedrohung
Von den 52,3 Milliarden einzigartigen Bedrohungen, die Trend Micro 2019 blockierte, kamen 48 Milliarden (91%) über Email, und die meisten davon waren Phishing-Angriffe. Dem Cyberrisiko-Index zufolge, den Trend Micro Anfang des Jahres veröffentlichte, stellt dies für Unternehmen die größte Bedrohung dar.
Im Grunde genommen ist Phishing ein Vertrauensbetrug. Die Angreifer verwenden Techniken des Social Engineerings, um den Empfänger zu überlisten, sodass er den Wünschen des Angreifers nachkommt. Gewöhnlich erzeugen die Übeltäter zu diesem Zweck ein Gefühl der Dringlichkeit und lassen die Mail so aussehen, als ob sie von einer legitimen Instanz, wie z.B. einer Bank, einem Lieferanten oder einem Mitarbeiter, kommt. Letztendlich ist der Phishing-Angriff nur der erste Schritt. Die Cyberkriminellen wollen eines von zwei Dingen: entweder Anmeldedaten der Mitarbeiter sammeln, um Folgeangriffe zu starten, oder die Empfänger dazu zu bringen, unwissentlich einen Malware-Download zu starten.
Die bösartige Payload kann alles Mögliche enthalten, vom Banking-Trojaner bis zu einem Information Stealer oder gar Ransomware. Phishing hat sich zu einem der beliebtesten Vektoren für digitale Erpressung entwickelt, und Cyberkriminelle richten damit weltweit Chaos an. Trend Micro hat im abgelaufenen Jahr mehr als 61 Millionen Ransomware-Komponenten gefunden, das ist ein Anstieg von mehr als 10% im Vergleich zu 2018.
Phishing ist nicht nur eine Mail-basierte Bedrohung. In den letzten Jahren haben die Kriminellen ihr Repertoire erweitert und auch Telefon-basierten Betrug (vishing) sowie SMS-Angriffe (Smishing) hinzugefügt. Dem FBI zufolge haben diese Zusätze 2019 zu mehr gemeldeten Angriffen (114.702) als alle anderen geführt und die Opfer 58 Millionen Dollar gekostet.
Betrüger sind Profis
Phishing-Angriffe sind auch deshalb so beliebt, weil sie im Grunde genommen auf das schwächste Glied im Unternehmen zielen – die Anwender. Die Cyberkriminellen haben sich aber weiterentwickelt. Heutige Betrugs-Mails sind Welten entfernt von den fehlerträchtigen Schreiben der vergangenen Jahre. Sie sind meistens grammatikalisch korrekt, in einem überzeugenden Stil verfasst und enthalten alle Logos und Firmenfußzeilen, die ein Empfänger von einer legitimen Mail erwarten würde.
Um noch glaubwürdiger zu erscheinen, erwecken sie den Anschein, vom Account eines vertrauenswürdigen Kollegen zu kommen. Deshalb ist Office 365 ein solch attraktives Ziel für Hacker. Da der Datenverkehr von den meisten Filtern auf eine Whitelist gesetzt wird, bietet er einen direkten Bedrohungsvektor bis ins Herz einer Organisation, wenn Cyberkriminelle genügend Konten knacken. Dies könnte erklären, warum die Zahl der blockierten Phishing-URLs, die die Microsoft-Cloud-Plattform manipulieren, im vergangenen Jahr um mehr als 100 % gestiegen ist. Manchmal kapern Hacker die legitimen Konten, um alte Email-Konversationsstränge wiederzubeleben und ihre eigenen bösartigen Links hinzuzufügen.
Dies ist aber nur die Spitze des Eisbergs. Es tauchen immer wieder neue Phishing-Techniken auf, mit denen traditionelle Sicherheitsfilter umgangen werden sollen. Eine davon beinhaltet einen innovativen neuen Angriff, der darauf zugeschnitten ist, mithilfe von Man-in-the-Middle-Techniken in Echtzeit eine Zweifaktor-Authentifizierung zu umgehen. Eine weitere nutzt kompromittierte Ergebnisse einer Google-Suche, um nichtsahnende Nutzer auf eine bösartige, vom Angreifer kontrollierte Webseite umzuleiten. Eine dritte verwendet benutzerdefinierte "404 Not Found"-Seiten und tarnt sich als Anmeldeformular für potenzielle Opfer. So können Angreifer ihre Domäne mit einer unendlichen Anzahl von Phishing Landing-Seiten verbinden.
Phisher und Fälscher
Phishing-Angriffe dehnen ihr „Arbeitsgebiet“ über das Stehlen von Unternehmens-Anmeldedaten und Anstoßen von Malware Downloads weiter aus: eine der Weiterentwicklungen ist Business Email Compromise (BEC)-Betrug, der sich auch auf Social Engineering stützt, doch keine Schadsoftware einsetzt. Hier geht es darum, sich als CEO oder hochrangiger Manager in einer Email an einen Mitarbeiter aus der Finanzabteilung auszugeben, um diesen anzuweisen, eine größere Summe zu überweisen. BEC hat 2019 Verluste in Höhe von nahezu 1,8 Milliarden Dollar verursacht, das ist mehr als jede andere Art von Cyberangriff und macht etwa die Hälfte der an das FBI gemeldeten Verluste aus.
Eine weitere Entwicklung betrifft den Einsatz von KI-gestützten Deepfake Audio-Clips, um Mitarbeiter zu täuschen. Ein Unternehmen hat bereits 243.000 $ durch diese Art des Betrugs verloren. Die Sorge, dass gefälschte Videos der nächste große Trick der Betrüger wird, ist berechtigt.
Verteidigung
Da Phishing-Versuche in erster Linie Angriffe auf Mitarbeiter sind, sollten hier die Bemühungen zur Eindämmung ansetzen. Dies bedeutet, dass ein durchdachtes Sensibilisierungs- und Schulungsprogramm für die Mitarbeiter aufgebaut werden muss, das realistische Simulationsübungen verwendet, die entsprechend den aufkommenden Phishing-Trends angepasst werden können. Es ist äußerst wichtig, die Mitarbeiter nicht zu überfrachten. Also sollten die Lektionen auf 15-minütige Abschnitte reduziert werden, dafür aber häufig angesetzt sein. Zudem müssen alle Mitarbeiter vom Manager bis hin zu Zeitarbeitern und Auftragnehmern einbezogen werden.
Des Weiteren müssen die für die Verteidigung benötigten Tools und Prozesse vorhanden sein. Dazu gehört auch, dass es für Benutzer einfacher wird, festgestellte Phishing-Versuche zu melden. Unternehmen müssen einen Defense-in-Depth-Ansatz bereitstellen, der regelmäßige Software-Patches zur Verringerung der Angriffsfläche und Anti-Phishing-Email-Sicherheit umfasst. Sie sollten moderne KI-gestützte Techniken wählen, die den Schreibstil des Absenders analysieren können, um ausgeklügelte Versuche zu erkennen, die nicht mit legitimen E-Mails übereinstimmen. Dies kann sehr wohl neben den eher traditionellen Filtern funktionieren, die verdächtige IP-Adressen und Absenderdomänen erkennen.
Phishing stellt wohl die größte Herausforderung dar, der sich IT-Sicherheitsteams heute stellen müssen. Aber eine elegante Lösung für das Chaos durch Email-Bedrohungen zu finden, ist für einen modernen CISO durchaus möglich.