Smartphones als Gefahrenquelle Nummer eins

Mobile Phishing – Gefahr für Nutzer und Unternehmen

| Autor / Redakteur: Bernd Ullritz / Andreas Donner

Das Smartphone ist für Hacker das attraktivste Gerät für Phishing-Angriffe.
Das Smartphone ist für Hacker das attraktivste Gerät für Phishing-Angriffe. (Bild: © Bits and Splits - stock.adobe.com)

In Zeiten allgegenwärtiger und alleskönnender Smartphones haben sich Phishing-Angriffe längst weit über den betrieblichen E-Mail-Vektor hinaus entwickelt und sind eines der primären, aber notorisch unterschätzten Einfallstore für den Zugriff auf sensible Unternehmensdaten. Höchste Zeit, die Gefahren erst zu nehmen!

Smartphones, wie wir sie heute vielfältig nutzen, haben ihre ganz eigene Entwicklungsgeschichte hinter sich. Vom reinen Telefon zum Kommunikationsinstrument, hin zu einem Gerät, das sich in seinen Funktionen und seiner technischen Ausstattung prinzipiell nicht mehr von einem Laptop unterscheidet.

Mit ganz wenigen Ausnahmen laufen solche Mobilgeräte nicht mehr auf proprietären oder gerätespezifischen Betriebssystemen. Vielmehr stützen sich 97 % aller verkauften Mobilgeräte auf eines von zwei Betriebssystemen. Ein Fakt, den Hacker sich längst zunutze gemacht haben. Aus gutem Grund.

Aktuelle Malware ist mittlerweile so effektiv, dass sie sich sogar dediziert gegen bestimmte Gerätetypen richten kann. Für Hacker öffnet sich damit nicht nur ein breites zusätzliches Betätigungsfeld, sondern auch eines, welches man mit begrenzten Ressourcen erschließen kann. Moderne Mobilgeräte sind anfällig für Malware, Man-in-the-Middle-Angriffe, das Abgreifen von SMS-Informationen und vor allem für Phishing-Angriffe.

Die meisten Angriffsszenarien profitieren davon, dass wir bei einem Mobilgerät noch viel eher geneigt sind, auf einen schädlichen Link zu klicken oder eine legitim aussehende Malware zu installieren. Social Engineering, Phishing oder auch eine Kombination aus verschiedenen Angriffsvektoren sind die Mittel der Wahl. Der einzige Weg, sich vor Angriffen dieser Art zu schützen ist, den Nutzer zu sensibilisieren und technologisch zu unterstützen. Die Ergebnisse des letztjährigen Lookout-Reports Mobile Phishing 2018: Mythen und Fakten für jedes moderne Unternehmen, zeigen, dass die Quote, mit der Nutzer eine mobile Phishing-URL anklicken, seit 2011 jedes Jahr im Durchschnitt um 85 Prozent gestiegen ist.

Attraktiv, weil allgegenwärtig

Ein Grund für den rasanten Anstieg liegt in der ubiquitären beruflichen Nutzung von Mobilgeräten. Im Gegensatz zu einer ‚kontrollierten‘ und konzentrierten Nutzung eines Laptops oder Desktops werden Smartphones im Multi-Tasking-Modus verwendet: auf dem Weg in die Arbeit oder ins nächste Meeting, während einer kurzen Pause oder mal schnell am Abend auf der Couch vor den Nachrichten. Hinzu kommt, dass viele Geräte in einem Mix sowohl für berufliche wie private Zwecke genutzt werden. Dies im Zusammenspiel mit kleineren Bildschirmen und den eingeschränkten Möglichkeiten auf mobilen Plattformen, Echt von Unecht zu unterscheiden, hat Kriminellen neue Möglichkeiten eröffnet. Die Entwicklung hat sie sogar „gezwungen“, sich mit dem Angriffsmethoden auf mobilen Plattformen auseinanderzusetzen, um nicht nur Zugangsdaten von Endverbrauchern zu „phishen“, sondern Mobilgeräte als Zugang auf Unternehmensinformationen zu missbrauchen.

Darüber hinaus verschwimmen und verschwinden aus Unternehmenssicht die ehemals klar definierten Grenzen traditioneller Unternehmensnetzwerke und Lösungsansätze. Vor diesem Hintergrund greifen entsprechende Perimeter-Lösungen nur bedingt, will man sich vor Phishing-Versuchen auf mobilen Endgeräten schützen, da Geräte mehrheitlich außerhalb des eigenen, kontrollierbaren Netzes genutzt werden. Somit ist es für Cyberkriminelle heute einfacher und profitabler, ein weitgehend ungeschütztes mobiles Endgerät anzugreifen als einen vergleichsweise gut geschützten Laptop oder Desktop.

Herkömmliche Sicherheitsmaßnahmen kapitulieren vor mobilen Phishing-Angriffen

Herkömmliche Sicherheitslösungen wie beispielsweise Secure E-Mail Gateways filtern potenzielle Phishing-E-Mails und bösartige URLs heraus, bevor sie auf dem E-Mail-Server beziehungsweise beim Anwender landen. Secure Web Gateways wiederum analysieren den Internet-Content der Mitarbeiter auf Schadcode und Phishing-Seiten. Beides Methoden, die sich grundsätzlich hervorragend zum Schutz betrieblicher E-Mails eignen. Jedoch nutzen Mitarbeiter auf ihren Endgeräten neben betrieblichen auch privat E-Mails sowie eine Vielzahl verschiedener mobiler Messaging- und Social-Media-Anwendungen.

Und um das Problem noch zu potenzieren, erfolgt die Nutzung von Smartphones mehrheitlich außerhalb des Unternehmens-WLANs – also in Netzen, die Unternehmen nicht kontrollieren können. In Summe sind Unternehmen, was den Schutz vor Mobile Phishing angeht, zunehmend auf verlorenem Posten und kommen nicht umhin, sich ernsthafter als bisher mit dem Thema mobiler Sicherheit auseinanderzusetzen.

Private E-Mails

Hacker sind sich bewusst, dass die teilweise strengen Sicherheitsvorkehrungen für betriebliche E-Mails bei privaten Konten oftmals fehlen. Hinzu kommt, dass die meisten Menschen heute private und berufliche Mails zuerst auf ihrem mobilen Endgerät lesen. Phishing-Versuche, die auf private E-Mail-Konten zielen, funktionieren in etwa so:

Eine Mitarbeiterin erhält von ihrer Freundin eine private E-Mail auf ihrem Mobiltelefon, um Fotos über eine neue Foto-Sharing-App zu teilen. Die besagte Mitarbeiterin findet das nicht weiter ungewöhnlich. Es ist nicht das erste Mal, dass sie und ihre Freundin Fotos per SMS und E-Mail ausgetauscht haben. Also klickt die Mitarbeiterin auf den Link und lädt die App herunter. Nach dem Herunterladen sieht es zunächst so aus als würde die App nicht funktionieren. Später am Nachmittag tätigt die Mitarbeiterin eine Banküberweisung auf das gemeinsame Familienkonto, öffnet ihre Mobile Banking App und gibt ihre Zugangsdaten ein. Was der Mitarbeiterin allerdings entgangen ist, ist, dass sich hinter der angeblichen „Foto“-App ein Banking Trojaner befindet.

Ein ähnliches Szenario haben die Sicherheitsanalysten von Lookout beim BancaMarStealer Banking-Trojaner beobachtet. Sobald dieser auf einem Gerät installiert ist und ein Opfer eine ausgewählte Banking-App öffnet oder eine Website besucht, die für den Angreifer von Interesse ist, verleitet der BancaMarStealer die Opfer, unwissentlich ihre Zugangsdaten einzugeben.

Social Networking und Mobile Messaging Apps

Mobile Endgeräte und deren App-Stores machen eine Flut von Messaging-Apps und Plattformen zugänglich. Die Kehrseite: Sie eröffnen auch Angreifern völlig neue Wege. Stellen Sie sich einen Mitarbeiter vor, der regelmäßig mit Freunden, Familie und sogar Kollegen und Kunden über WhatsApp kommuniziert. Eines Tages sendet ein Kollege, mit dem der besagte Mitarbeiter normalerweise über WhatsApp chattet, eine Nachricht, in der er ihn bittet, einen Stapel Informationen für ein Kundenmeeting so schnell wie möglich zu überprüfen. Aufgrund der gemeinsamen Vorgeschichte zögert der Mitarbeiter nicht lange und klickt auf den besagten Link. Dieser führt ihn zu einer Microsoft-Login-Seite, wo er ganz normal seine Zugangsdaten eingibt, denn das Team nutzt Office 365 für Präsentationen. Anstatt eine Präsentation zu laden, erscheint allerdings eine leere Seite, der betreffende Kundenstapel ist nirgends zu finden. Letztlich ist der Mitarbeiter aber nicht weiter beunruhigt. Wahrscheinlich hat mit dem Link etwas nicht geklappt. Leider handelte es sich aber um einen erfolgreichen Phishing-Versuch, bei dem die Zugangsdaten des Mitarbeiters soeben gestohlen wurden. Nicht einmal er selbst hat das bemerkt, und die IT-Sicherheitsabteilung des Unternehmens hat keinen Einblick in Phishing über Mobile-Messaging-Anwendungen.

Neben privaten E-Mails sind also sämtliche Social-Messaging-Anwendungen eine potenzielle Bedrohung für ein Unternehmen.

SMS/MMS

Der dritte von Angreifern gern genutzte Weg für einen Phishing-Angriff sind SMS oder MMS. Laut einer von Lookout in den USA durchgeführten Studie klicken über 25 Prozent der Mitarbeiter auf einen Link in einer SMS-Nachricht, wenn die gefälschte Telefonnummer so aussieht, als käme sie aus der betreffenden Region. Tatsächlich verwendete Pegasus, einer der ausgereiftesten mobilen Advanced Persistent Threats (mAPT), genau diese Methode. So war es möglich ein iPhone mit nur einem Klick zu knacken, Spyware zu installieren und den Nutzer genauso klug wie zuvor zurückzulassen.

Bernd Ullritz.
Bernd Ullritz. (Bild: Maurice Jager / Lookout)

Wenn man versteht, wie einfach es ist, die genannten Schwachpunkte auszunutzen, ist es keineswegs überraschend, dass mobile Phishing-Angriffe deutlich zunehmen. Überraschend ist demgegenüber eher, dass die meisten Unternehmen und Organisationen weiterhin beispielsweise nur betriebliche E-Mails vor Phishing-Angriffen schützen. Phishing-Angriffe haben sich längst weit über den betrieblichen E-Mail-Vektor hinaus entwickelt und sind eines der primären, aber notorisch unterschätzten Einfallstore für den Zugriff auf sensible Unternehmensdaten.

Über den Autor

Bernd Ullritz ist Regional Sales Manager DACH bei Lookout.

► Mehr Informationen zum ENTERPRISE WORKSPACE SUMMIT 2019

 

 

ENTERPRISE WORKSPACE SUMMIT 2019

Der siebte ENTERPRISE WORKSPACE SUMMIT 2019 (formerly known as ENTERPRISE MOBILITY SUMMIT) am 10. und 11. Oktober in der Villa Kennedy in Frankfurt am Main ist die ideale Plattform, um sich über Best Practices des Digital Workspace auszutauschen. Dabei stehen die Integration der Mitarbeiter, die Mobilisierung der Geschäftsprozesse sowie die Nutzung neuer Technologien wie 5G, IoT, KI, Edge, VR/AR im Fokus.

Keynotes, Peer References und Thinktanks versprechen intensiven Erfahrungsaustausch auf Augenhöhe, wertvolle Use Cases zu den Themen Virtual Desktop Infrastructure, Workplace-as-a-Service, Collaboration und Unified Endpoint Management runden die prall gefüllte Agenda ab. Als besonderes Highlight gibt die ISS-Astronautin Suzanna Randall Insights zu ihrem „Work-Space“.

Hier geht's zur Teilnehmer-Anmeldung!

Mit den begehrten Awards werden auch 2019 wieder spannende Mobility-Workspace-Projekte mit Leuchtturmcharakter ausgezeichnet. Bewerbungen nimmt die Jury ab sofort entgegen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46131596 / Security)