Ein simpler Phish: Drei aktuelle ­Phishing-Gefahren

Laut FBI ist die Zahl der gemeldeten Straftaten im Zusammenhang mit Phishing innerhalb von fünf Jahren um mehr als 1560 Prozent gestiegen. Phishing-Mails sind heute immer schwieriger zu erkennen. Ein Grund dafür ist, dass sie täuschend echt aussehen, wie drei aktuelle Beispiele zeigen.

1. Phishing am Telefon

Das potenzielle Opfer erhält eine Nachricht mit Anhang im PDF-Format über eine Paypal-Abbuchung. Interessanterweise steht in der E-Mail auch eine Kontaktmöglichkeit: eine Telefonnummer in den USA. Wer diese Nummer anruft, trifft einen freundlichen Service-Mitarbeitenden an, der Deutsch spricht. Er erläutert, dass der Anrufende zunächst die eigenen Paypal-Daten inklusive Login-Informationen preisgeben müsse, damit die Zahlung zurückgebucht werden könne.

PDF mit einer Paypal-Abbuchung: Wer die Nummer anruft, gerät in eine Phishing-Falle. (Source: G Data Cyberdefense)

2. Phishing-Tour mit InDesign 

Bei dieser Methode missbrauchen Täter mit InDesign gestaltete Webseiten. Der Vorteil für Cyberkriminelle: Die Seiten lassen sich direkt bei Adobe hosten und Shortlinks schnell generieren. Die Angreifer verschicken also eine authentische Mail von Adobe an ihre Opfer. Wer auf den Trick hereinfällt und den Link in der Mail anklickt, landet erst im zweiten Schritt auf der Phishing-Seite. Für die Empfängerinnen und Empfänger ist es also äusserst schwierig, die Falle zu erkennen, da es sich um eine legitime Adobe-Seite handelt. Das Problem: Die Internetseiten lassen sich nicht blocken, weil sonst das gesamte InDesign-Framework gesperrt wird.

Angreifer verschicken eine authentische Mail von Adobe. Wer auf den Link in der Mail klickt, landet auf einer Phishing-Seite. (Source: G Data Cyberdefense)

3. Das falsche PDF 

Beim dritten Beispiel enthält die E-Mail eine Datei im Anhang, die auf .pdf endet. Doch der Schein trügt, denn es handelt sich nicht um eine PDF-, sondern um eine HTM-Datei. Möglich ist das, weil sich im Windows-Dateisystem die Reihenfolge der Schriftzeichen umkehren lässt und diese dann umplatziert werden können. So wird aus dem «Datei­name_fdp.htm» der «Dateiname_mth.pdf». Wer die Datei öffnet, landet direkt im Browser mit einer Weiterleitung auf eine Phishing-­Seite.

Moderne Phishing-Mails enthalten keine Malware mehr

Die Beispiele zeigen: Moderne Phishing-Mails enthalten keine Malware mehr. Solche Angriffsversuche lassen sich extrem schwer verteidigen. Das ist auch für IT-Profis wie Administratorinnen und Administratoren eine grosse Herausforderung. Geschickte Fälschungen lassen sich nicht mit Sicherheitslösungen herausfiltern, ohne dass auch echte E-Mails davon betroffen wären. Hinzu kommt: Die Landingpages der Cyberkriminellen sind originalgetreue Kopien echter Seiten, sodass normale Anwenderinnen und Anwender den Unterschied nicht merken und in die Falle tappen. 
Gute Sicherheitslösungen alleine wehren keine gut gemachten Phishing-Angriffe ab. Es braucht auch Mitarbeitende, die wissen, wie trickreich Cyberkriminelle agieren. Für den Fall, dass doch Schadsoftware durch eine Phishing-Mail ihren Weg ins Unternehmensnetzwerk findet, sollten Firmen ihre IT-Infrastruktur generell zielgerichtet überwachen. So lassen sich mit einem Security-­Information- und -Event-Management-System oder einem Security-­Monitoring verdächtige Aktivitäten frühzeitig identifizieren. Verantwortliche können so schnell reagieren, Gegenmassnahmen einleiten und den Schaden eingrenzen.

----------

"Phishing wird längst nicht mehr im ­Namen angeblicher Prinzen versendet"

Phishing funktioniert seit 30 Jahren – obwohl Unternehmen schon genauso lange in Mail-Security und Spamfilter ­investiert haben. Cornelia Lehle, Head of Sales DACH bei G Data Cyberdefense, erläutert im Interview, wie Unternehmen das ­Sicherheitsbewusstsein ihrer Angestellten steigern können. Interview: Coen Kaat

Vor welcher Phishing-Methode sollte man zurzeit besonders auf der Hut sein?

Cornelia Lehle: Phishing-Mails sind qualitativ besser geworden. Sie werden heute längst nicht mehr im Namen angeblicher Prinzen oder Geschäftsleute versendet, sondern sehen wie ganz normale Geschäftsvorgänge aus. Die Gefahr durch gezielte Attacken hat deutlich zugenommen. Dazu spähen die Angreifer ihre Opfer in sozialen Medien oder auf der Firmen-Website aus und erstellen darauf aufbauend eine massgeschneiderte Phishing-Mail. In dieser nehmen sie etwa Bezug auf eine Veranstaltung, die ein Mitarbeiter oder eine Mitarbeiterin besucht hat. Solche sogenannten Spear-Phishing-­Mails sind von echten Nachrichten kaum zu unterscheiden.

Gibt es Anzeichen, an denen man auch fortschrittliche ­Phishing-Mails erkennen kann?

Ja, aber diese sind nicht auf den ersten Blick ersichtlich. Rechtschreibfehler und falsche Firmenlogos finden sich heute nur noch in Massenmails, die Angreifer per Giesskannenprinzip verteilen. Auffälligstes Zeichen ist sicherlich eine unpersönliche Anrede wie «Sehr geehrter Kunde». Und sonst empfehle ich, einen genauen Blick auf den Absender und die E-Mail-Adresse zu werfen. Und nicht zuletzt sollten die Empfängerinnen und Empfänger die Plausibilität prüfen. Ist es sinnig, dass ich diese E-Mail vom Absender zum jetzigen Zeitpunkt erhalte? Wer unsicher ist, sollte den Absender oder die Absenderin anrufen und nachfragen.

Was für technische Massnahmen könnten von Phishing ­geplagte Unternehmen entlasten?

Natürlich sorgen Firewall und Antiviren-Software für einen guten Grundschutz. Aber Firmen sollten auch in Technologien investieren, mit denen sich Anzeichen für verdächtige Aktivitäten im Netzwerk finden lassen. Weil etwa Cyberkriminelle durch Phishing Zugangsdaten erbeutet und sich unerlaubterweise Zugang zum Firmennetzwerk verschafft haben. Mit Security Monitoring bieten wir beispielsweise ein Dienstleistungsangebot zur zielgerichteten Überwachung der IT-Infrastruktur an. Mithilfe einer speziell von uns entwickelten Software überwachen Fachleute die kritischen Systeme und werten unter anderem Login-Daten aus. Hier lassen sich frühzeitig Hinweise auf einen Angriff finden. Wer dann Gegenmassnahmen einleitet, kann Schlimmeres verhindern.

Wie kann man die Mitarbeitenden am besten für diese ­Gefahren sensibilisieren? 

Dies kann gelingen, indem wir das menschliche Verhalten updaten – mit Security-Awareness-Trainings. Diese Schulungen stellen den Menschen in den Mittelpunkt, nicht die Technik. Damit lässt sich gezielt nicht nur Aufmerksamkeit im wörtlichen Sinne, sondern ein generelles Umdenken erreichen. Angestellte verstehen, welche Rolle sie für die IT-Sicherheit des eigenen Unternehmens übernehmen können und welche Folgen ihr Verhalten haben kann: Denn mit der richtigen Handlungsweise schützen sie nicht nur sich selbst und ihre eigene Mailbox, sondern ihren Arbeitgeber und damit auch die Arbeitsplätze der Kolleginnen und Kollegen.

Worauf gilt es bei derartigen Awareness-Trainings zu achten? 

Das Lernverhalten in Zeiten einer stark vernetzten digitalen Welt hat sich in den letzten Jahren verändert. Moderne Awareness-Trainings setzen verstärkt auf gute Geschichten in einem spielerischen Setting mit dem Ziel, den Lerntransfer zu maximieren. Ein erzählerischer Rahmen in Form von «Storytelling» schafft eine dramaturgische Richtung und gleichsam positive Emotionen und motiviert die Lernenden. Ein klar vorgegebenes Ziel sorgt für eine hohe Motivation während des gesamten Trainings. Ein gutes Beispiel ist unsere Trainingsreihe Phishing, die ganz aktuell mit dem «eLearning-Award» des renommierten «eLearning Journals» ausgezeichnet wurde.