Social Engineering, Phishing, Spear-Phishing
Betrug trifft Malware
Die Bedrohung von Unternehmensdaten durch Cyber-Kriminalität nimmt weiter zu, Daten sind schließlich die Währung des 21. Jahrhunderts. Vor diesem Hintergrund wird klar, warum Phishing mittlerweile zur Online-Bedrohung Nummer eins geworden ist. Kriminelle finden mittels Social Engineering zunehmend ausgefeilte Wege, um Zugriff auf Unternehmensdaten zu erlangen.
Wirtschaftsspionage ist keine Erfindung des digitalen Zeitalters. Heute erfolgt sie nur wesentlich subtiler als noch vor wenigen Jahrzehnten. Im Fokus stehen die Unternehmensdaten, denn sie gelten als wichtigster Rohstoff unserer Zeit. Aufgrund der Fülle von Datenbeständen, die Rechenzentren vorhalten, stehen diese im Fokus von Angreifern, denn ein erfolgreicher Angriff verspricht satte Gewinne. Die Möglichkeiten für Hacker, aus einem Angriff Kapital zu schlagen, sind vielfältig. Sie reichen vom Datendiebstahl und dem Verkauf der Daten im kriminellen Untergrund bis zur Verschlüsselung bestimmter Teile kritischer Daten mit einer anschließenden Lösegeldforderung für deren Entschlüsselung (Ransomware). Hinzu kommen gefälschte Anweisungen an Mitarbeiter, Gelder an unberechtigte Personen zu überweisen.
Bösartige Makros
Kriminelle verwenden gerne Social Engineering (Übertölpelung mittels Ausnutzen menschlicher Schwächen) zusammen mit bösartigen Makros in Office-Anwendungen, um Angriffe auf eine ausgewählte Unternehmens-IT zu starten. Im Zuge des Social Engineerings verwenden Hacker vorab recherchierte Informationen über Unternehmen oder Anwender, um bestimmte Aktionen anzustoßen. Bei einem Angriff mit einem bösartigen Makro erhält eine ausgewählte Person beispielsweise im Rechenzentrum eine E-Mail, die sehr persönlich gehalten ist und dem persönlichen oder beruflichen Umfeld entspricht. Das Opfer hat den Eindruck, die E-Mail komme aus einer vertrauenswürdigen Quelle, beispielsweise von einem Kollegen oder Vorgesetzen. Die Chance ist groß, dass diese E-Mail sowie die enthaltenen Mails oder Links geöffnet werden. Auf diese Weise gelangen bösartige Makros ins Netz und infizieren den Anwendercomputer mit Malware. Häufig wird dadurch auch eine Backdoor installiert, die den Angreifern einen Zugang zum Netzwerk ermöglicht und Angriffen auf das Rechenzentrum Tür und Tor öffnet.
Schulungen und regelmäßige Workshops über mögliche Angriffe sind hier ein wichtiges Hilfsmittel, um Aufklärung zu betreiben, Mitarbeitern Verhaltensregeln zu geben und sie damit für Angriffsformen zu sensibilisieren. Darüber hinaus haben Administratoren aber auch die Möglichkeit, Makros in Office-Anwendungen zu deaktivieren und damit den unberechtigten Zugriff zu verhindern.
Schwieriger wird es in der Personalabteilung. Hier hat die Digitalisierung längst Einzug gehalten, weshalb Mitarbeiter dieser Abteilung natürlich Anhänge von unbekannten Absendern öffnen müssen, um die Bewerbungsunterlagen einzusehen. Immer wieder kommt es vor, dass solche Anhänge infiziert sind. Um das Firmennetz zu schützen, bietet es sich an, den Rechner für den Bereich Human Resources (HR) separat vom restlichen Netzwerk oder aber in einem gesonderten Bereich eines Cloud-Anbieters zu betreiben, um die übrigen Unternehmensdaten zu schützen. Eine weitere Methode ist die Mikro-Virtualisierung. Dabei werden Applikationen oder Browser-Sessions von der Hardware abstrahiert und in einer isolierten Umgebung ausführt.
Anmeldedaten-Phishing
Ein wichtiger erster Schritt für einen Angriff ist es häufig, Anmeldeinformationen bestimmter Personen eines Unternehmens abzugreifen (Anmeldedaten-Phishing, Credential Phishing), vor allem Benutzernamen und Passwörter für wichtige Systeme oder Dienste. Laut Untersuchungen von Proofpoint sind URLs mit Links zu Phishing-Seiten, die Anmeldeinformationen abgreifen, nahezu dreimal häufiger als Links zu Seiten, die Malware hosten.
Bei einer E-Mail-Phishing-Kampagne verschickt der Angreifer Links zu Webseiten, die so aufgebaut sind, dass sie die Mitarbeiter dazu verleiten, ihre Logins und andere persönliche Informationen anzugeben. Im Prinzip übernimmt das Opfer selbst die Arbeit von Keyloggern, Datendiebstahlssoftware und anderer automatisierter Malware, die in früheren Kampagnen verwendet worden wären, um diese Informationen zu stehlen.
Spear-Phishing
Bei Spear-Phishing handelt es sich um persönlich adressierte E-Mails mit zielgerichtetem Inhalt. Über einen integrierten Link soll der Empfänger dazu gebracht werden, zum Beispiel ein Passwort einzugeben. Diese Form des Passwortdiebstahls bleibt unter Umständen lange unentdeckt, weil der Adressat tatsächlich auf eine reguläre Seite mit den empfohlenen Informationen gelangt. Dem Hacker öffnet das gestohlen Passwort aber das Tor zum RZ.
Einen hundertprozentigen Schutz gegen Phishing und Spear Phishing gibt es nicht. Allerdings hilft die Sensibilisierung der Mitarbeiter. Zudem sind Softwarelösungen verfügbar, mit denen sich die angeklickten Links auf Schadhaftigkeit oder Phishing analysieren lassen. Die Software blockt solche Links, bevor der Anwender auf einen Link zugreifen kann. Wurde der schadhafte Link bereits aktiviert, erhält die IT automatisch einen Warnhinweis. Das erlaubt die sofortige Kontaktaufnahme zum Anwender und die zeitnahe Änderung des Passworts. Entscheidend für eine solche Software ist eine ausgefeilte Datenforensik, um die Art des Angriffs zu erkennen: Geht es darum, Nutzernamen und Passwörter abzufangen? Oder will der Angreifer Schadcode platzieren, um wichtige Informationen abzurufen? Je nach Klassifizierung kann die IT Schutzmaßnahmen ergreifen.
Hochstapler-E-Mails
Der sogenannte CEO-Betrug ("CEO Fraud", auch "Impostor-Mails", also Hochstapler-Mails genannt) hat innerhalb des letzten Jahres weltweit einen enormen Aufschwung genommen. In einer solchen E-Mail gibt sich der Angreifer beispielsweise als Führungskraft mit Weisungsbefugnis aus. Der angeschriebene Mitarbeiter wird in dem Schreiben aufgefordert, dringend eine Überweisung vorzunehmen. Nach Angaben des FBIs haben Angreifer mit dieser Art betrügerischer E-Mails in den letzten zwei Jahren mehr als zwei Milliarden Dollar gestohlen. Diese Nachrichten enthalten meist keine Links oder Anhänge; sie scheinen direkt aus dem Unternehmen zu kommen, da eine scheinbar bekannte Adresse als Absender verwendet wird. Erst genauere Untersuchungen zeigen leichte Abweichungen, die aber in der Hektik des Arbeitsalltags leicht zu übersehen sind. Die geforderte Überweisung ist schnell auf dem Weg und das Geld dann in der Regel verloren.
Betroffen sind Firmen in aller Welt, die Verluste sind hoch. So hat ein in Hong Kong ansässiges Tochterunternehmen von Ubiquiti Networks herausgefunden, dass es über einen längeren Zeitraum mehr als 45 Millionen Dollar an Kriminelle überwiesen hatte, die sich mit betrügerischen E-Mails als Lieferant ausgegeben hatten. Die belgische Bank Crelan wiederum verlor über 70 Millionen Dollar durch betrügerische E-Mails. Der Schwindel flog erst bei einer internen Betriebsprüfung auf.
Zwar ist der Mensch nach wie vor das schwächste Glied in der Sicherheitskette, aber die meisten Nutzer können herkömmliche Spam-Belästigung sehr wohl von legitimen E-Mails unterscheiden. Betrügerische E-Mails dagegen sind heute oft sehr raffiniert aufgebaut, individuell auf den Empfänger und seinen Arbeitsbereich zugeschnitten und daher nur schwer zu erkennen. Schützen können sich Unternehmen nur durch sorgfältige Prüfung der Absender und eine genaue Kontrolle der gewünschten Aufgabe. Im Zweifelsfall hilft der Griff zum Telefon, um zu klären, ob ein Absender tatsächlich einen Prozess veranlasst hat oder ob es sich um einen Betrugsversuch handelt.
Welche Maßnahmen sollten also die Betreiber von Rechenzentren ergreifen, um sicherzugehen, dass ihre Mitarbeiter nicht Opfer eines dieser Angriffe werden? Verschiedene Maßnahmen sind angebracht: Ein Unternehmen sollte die Angriffsfläche möglichst reduzieren. Dazu sollte es Tools einsetzen, die Nachrichten, URLs, Anhänge und Benutzerklicks mit dynamischen Verhaltenstechniken überwachen und analysieren. Es empfiehlt sich, die interne Verteidigung um Cloud-basierte Abwehrverfahren zu erweitern, die die Mitarbeiter schützen, wo immer sie arbeiten. Die IT-Organisation sollte sicherstellen, dass ihre Sicherheitstechnik die Vorteile von Big Data und maschinellem Lernen nutzt, um aufkommende oder ganz neue Angriffe vorausschauend abzufangen, bevor der Benutzer klickt.
Wichtig ist es zudem, sich einen möglichst guten Einblick in die eigene Umgebung und die allgemeine Bedrohungslandschaft zu verschaffen. Echtzeit-Bedrohungsanalyse und eine Einschätzung der Bedrohungsaktivität im Netzwerk helfen, schneller zu reagieren und Schäden schneller zu beheben. Moderne Security-Tools helfen zu erkennen, welche Bedrohungen auf wen zielen, welche Bedrohungen die Verteidigungslinien durchbrochen haben und wer getroffen wurde. Und schließlich sollte ein Unternehmen seine Mitarbeiter für das Thema Sicherheit und Cyber-Kriminalität sensibilisieren. Regelmäßige Auffrischungen und Workshops mit Informationen über neue Angriffsformen halten das Thema stets präsent.
Angesichts der zunehmenden Menge an sensiblen und vertraulichen Informationen und einer wachsenden Angriffsfläche von Geräten, Cloud-Anwendungen und mobilen Arbeitsplätzen können Unternehmen es sich nicht leisten, allein auf herkömmliche Verteidigung zu setzen, um Social-Engineering-Bedrohungen zu stoppen. Innovative neue Tools funktionieren innerhalb des Arbeitsablaufs, überwachen URLs und Anhänge, geben Echtzeit-Bedrohungsanalysen weiter und überwachen die Benutzeraktivität innerhalb und außerhalb des Unternehmensnetzwerks. Ein Schutz vor gezielten Angriffen kann Rechenzentren helfen, Bedrohungen zu erkennen, abzuschwächen und auf sie zu reagieren, bevor sie Erfolg haben.
Lesen Sie mehr zum Thema
