Mitarbeiter an der Angel

So gefährlich ist eine gut gestaltete Phishing-E-Mail

| Autor / Redakteur: Tod Beardsley / Peter Schmitz

Phishing-E-Mails sind immer noch eine der größten Unternehmensbedrohungen, denn Phishing macht 90 Prozent aller Datenschutzverletzungen aus.
Phishing-E-Mails sind immer noch eine der größten Unternehmensbedrohungen, denn Phishing macht 90 Prozent aller Datenschutzverletzungen aus. (Bild: gemeinfrei / Pixabay)

Informationen, die Unternehmen besitzen, sind nicht nur für das Unternehmen selbst wertvoll, sondern auch für Cyberkriminelle. Ein beliebtes Opfer von Cyberangriffen sind Mitarbeiter, denen Informationen entlockt werden, mit dem Ziel, auf das Firmennetzwerk zuzugreifen. Dafür verwenden die Angreifer oft eines der mächtigsten Werkzeuge im Arsenal eines Cyberkriminellen, nämlich die Phishing-E-Mail.

Phishing-E-Mails gelten immer noch als eine der häufigsten Unternehmensbedrohungen. Laut dem diesjährigen Cyber Security Breaches Survey der britischen Regierung sind diese Art Angriffe für Unternehmen viel schwieriger zu verteidigen als die Bedrohung durch Schadsoftware oder konkrete Hacking-Aktivitäten. Phishing macht 90 Prozent aller Datenschutzverletzungen aus, und 76 Prozent der Unternehmen berichten, dass sie 2018 Opfer eines solchen Angriffs geworden sind. 2019 hat in den USA das sogenannte Business E-Mail Compromise (BEC) einen Schaden von über 12 Milliarden Dollar verursacht. Bei einem Business E-Mail Compromise verschafft sich der Angreifer Zugang zu einem E-Mail-Konto des Unternehmens. Um das Unternehmen, Kunden oder Mitarbeiter zu täuschen und zu betrügen, agiert er mit der Identität des eigentlichen Kontoinhabers. Wie also erstellen Cyberkriminelle realistische Phishing-E-Mails?

Hacker imitieren Unternehmen ganz genau

Cyberkriminelle beginnen mit einer Hintergrundrecherche über das Unternehmen, welches sie als Ziel ihres Angriffs definiert haben. Eine Methode, die besonders erfolgreich ist, nennt sich Open Source Intelligence (OSINT). Hierbei werden aus offenen Quellen Informationen über das Unternehmen gesammelt und analysiert, um verwertbare Erkenntnisse zu gewinnen. Dabei werden frei zugängliche Massenmedien genutzt (Zeitschriften, Tageszeitungen, Radio und Fernsehen), aber auch das Internet und Web-basierte Anwendungen wie Google Earth sowie viele andere Quellen. Je mehr Informationen aus den öffentlich zugänglichen Quellen zusammengetragen werden können, desto einfacher ist es, Phishing-E-Mails zu erstellen.

Hacker suchen besonders nach Mitarbeiternamen und Berufsbezeichnungen und nach Hinweisen, auf welche Systeme diese Mitarbeiter am häufigsten zugreifen. Dies wird erreicht, indem die externen Adressen einer Organisation analysiert und dort alles, was in diesen öffentlich zugänglichen Bereichen der internen Netzwerke zugänglich ist, durchsucht wird.

Wenn es um Authentizität geht, klonen Cyberkriminelle Firmen-E-Mails und versuchen oft, ihre Phishing-E-Mails mit den neuesten Nachrichten rund um das Unternehmen zu verknüpfen wie zum Beispiel Hinweise auf Aktienkurse, auf aktuelle Akquisitionen oder auf Partner.

Wenn es beispielsweise Nachrichten über einen Datenverstoß oder einen Systemfehler gibt, können Angreifer versuchen, die Mitarbeiter davon zu überzeugen, ihre Daten zu ändern. Sie führen sie dann zu einer Website, die sich als Unternehmenswebsite oder als Website einer Tochtergesellschaft ausgibt. Oder sie übernehmen die Identität eines Mitarbeiters und bitten andere Mitarbeiter, eine Datei "für einen Kunden" herunterzuladen, in der sie einen Virus verstecken.

Diese Vorgehensweise führt meistens zum Erfolg. Denn wenn ein Hacker in der Lage ist, ein Unternehmen exakt zu imitieren, dann sind die Mitarbeiter des Unternehmens geneigt, die E-Mail als legitim zu betrachten. Das funktioniert dann besonders gut, wenn die E-Mail zur richtigen Zeit oder zum richtigen Anlass kommt. Zum Beispiel wenn ein Mitarbeiter sich an den Service Desk wendet, um zum Beispiel um das Zurücksetzen eines Passworts zu bitten. Wenn dann eine Phishing-E-Mail eintrifft, die diesen Anlass aufgreift und in überzeugender Form in den Content einbindet, dann wird der Mitarbeiter wahrscheinlich in die Falle tappen.

Das Aufdecken und Ausnutzen von Schwachstellen

Um die Effektivität von Phishing-E-Mails zu demonstrieren, hat Rapid7 vor kurzem eine Partnerschaft mit einem Unternehmen geschlossen mit dem Ziel, die Mitarbeiter zu testen und zu sehen, wie wahrscheinlich es ist, dass sie auf eine simulierte Phishing-E-Mail hereinfallen.

Zunächst wurden Informationen über das Unternehmen gesammelt und dabei die gleiche OSINT-Methode angewandt, die auch "echte" Cyberkriminelle verwenden würden. Dies führte zur Entdeckung eines externen Hosts, der den Zugriff auf die internen Netzwerkressourcen ermöglichte. Dort ließen sich Open-Source-Dokumente finden, die die exakten Schritte zum Zugriff aufzeigten, sowie interne Anwendungen, die unter Angabe eines Namens und eines Titels zugänglich wurden. Diese Informationen konnten genutzt werden, um das Vertrauen von Mitarbeitern zu gewinnen, denn schließlich konnten von den internen Anwendungen ja nur Insider wissen.

Im nächsten Schritt wurde unter Verwendung der Identität des Mitarbeiters ein gefälschtes E-Mail-Konto erstellt, von der aus die Phishing-E-Mail verteilt werden konnte. Dieses Konto, gepaart mit den gesammelten Informationen, trug wesentlich zur Authentizität der Kommunikation bei.

Vor der Verteilung wurde die Phishing-E-Mail zur Überprüfung an den Auftraggeber gemailt. Nach einiger Zeit wurde er gefragt, ob er die E-Mail erhalten hätte, was er verneinte. Also wurde überprüft, ob die E-Mail im Spam-Filtern hängen geblieben ist – das war sie aber nicht. Als nächstes wurden die Log-Dateien überprüft. Dadurch konnte entdeckt werden, dass die Anmeldeinformationen unserer Kontaktperson in die gefälschte Webseite eingegeben worden sind. Der Auftraggeber war auf die Test-Phishing-E-Mail hereingefallen, obwohl er wusste, dass sie kommen würde!

Die Phishing-E-Mails wurden anschließend an eine definierte Anzahl von Opfern verteilt. Sie waren vor allem in der Erfassung von Anmeldeinformationen sehr erfolgreich, mit denen der Zugriff auf das interne Netzwerk gelang. Besonders wirkungsvoll im Sammeln von Anmeldeinformationen war diese Phishing-E-Mail, weil in ihr Informationen diskutiert wurden, die bei den Mitarbeitern als Insiderwissen galten, und weil sie auf eine gefälschte Webseite mit einem für die Mitarbeiter vertrauten Erscheinungsbild verwies.

Warnsignale frühzeitig erkennen

Normalerweise weiß ein Unternehmen nicht, wann es mit einer Phishing-E-Mail rechnen muss, zumal sie ja nicht unbedingt wie eine Phishing-E-Mal aussieht. Pro Tag werden etwa 250 Milliarden E-Mails verschickt, von denen jede 2.000ste ein Phishing-Angriff ist. Bei rund 135 Millionen Angriffen pro Tag werden zweifellos einige Phishing-E-Mails durch das Sicherheitsnetz schlüpfen.

Clevere Cyberkriminelle investieren viel Zeit in die Recherche und produzieren überzeugende Botschaften für die Mitarbeiter eines Unternehmens. Sie sind auch Opportunisten. Wenn also eine aktuelle Ankündigung an externe Zielgruppen kommuniziert wird, dann ist es ratsam:

  • die Mitarbeiter darüber zu informieren, dass diese Ankündigung als Grundlage für einen Phishing-Angriff verwendet werden könnte,
  • an die Wachsamkeit der Mitarbeiter zu appellieren und
  • die Gelegenheit zu nutzen, die Mitarbeiter an die möglicherweise bereits vorhandenen Warnschilder in den Büros zu erinnern.

Die Investition von Zeit und Ressourcen in ein ausreichendes unternehmensweites Security Awareness Programm ist äußerst wertvoll. Es ist wichtig, die Mitarbeiter zu schulen, damit sie Phishing-E-Mails identifizieren und spezielle Techniken in den eiligen Momenten des Arbeitsalltages anwenden können. Sie sollten zudem eine Anweisung erhalten, die ihnen erklärt, was sie unternehmen müssen, wenn sie irgendwelche Zweifel an einer erhaltenen E-Mail bekommen.

Über den Autor

Tod Beardsley ist Forschungsdirektor bei Rapid7. Er verfügt über mehr als 20 Jahre praktisches Sicherheitswissen und Erfahrung. Er war in IT-Operations und IT-Sicherheitspositionen in großen Organisationen wie 3Com, Dell und Westinghouse tätig. Heute spricht Beardsley oft auf Sicherheits- und Entwicklerkonferenzen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46137781 / Bedrohungen und Attacken)