Phishing gilt in vielerlei Hinsicht als älteste Cyberbedrohung der Welt. Die ersten Angriffe wurden von Kriminellen durchgeführt, die sich als AOL-Mitarbeiter ausgaben und Bestätigungen von Rechnungsadressen bei Unternehmen einforderten.
Der Begriff tauchte dazu 1996 in einer Usenet-Newsgroup namens AOHell erstmals auf. Das Kunstwort beschreibt bildlich das Angeln nach Passwörtern, wobei die Schreibweise „ph“ als Abkürzung für „password harvesting“ gesehen wird bzw. schon beim Begriff „phreaking“ (Untersuchen und Erkunden Telekommunikationssystemen) seinerzeit in Verbindung mit der Warez-Community im Umlauf war.
Phishing ist eine Art von Social-Engineering-Angriff, bei dem der Angreifer betrügerische Nachrichten, meist E-Mails, verwendet, die das mögliche Opfer dazu verleiten sollen, vertrauliche Informationen preiszugeben oder auf einen bestimmten Link zu klicken.
Gerade weil Phishing-Angriffe längst ein fester Bestandteil der Cybersicherheitslandschaft sind, werden sie traditionell von technisch versierteren Benutzern verspottet. Ob schwache Grammatik oder komische Rechtschreibfehler (die manchmal dazu dienen, Spam-Filter zu umgehen), Phishing-Nachrichten stellten für diejenigen, die wussten, worauf sie achten mussten, keine große Bedrohung dar. Doch die Zeiten ändern sich.
Neue Strategien öffnen neue Tore
Die heutigen Phishing-Angriffe jedoch sind weitaus raffinierter als noch vor 25 oder vor 15 oder sogar nur 5 Jahren. Da die Angreifer oftmals nicht mehr auf Einzelpersonen, sondern auf Unternehmen und Organisationen abzielen, mussten sie sich anpassen, um auch nur die geringste Chance auf Erfolg zu haben.
Und in vielen Fällen haben sie genau das geschafft: Nur wenige Cybersicherheitsforscher oder -experten würden sich heute als völlig risikofrei bezeichnen, wenn es um Phishing-Nachrichten geht. Mit genügend Aufmerksamkeit, einer Prise Sorgfalt und bedachter Personalisierung finden Phishing-Angreifer heute immer eine Schwachstelle, um die Abwehrmechanismen ihrer potentiellen Opfer zu überwinden.
Gezielte Angriffe auf Unternehmen mittels Spear-Phishing
Erst kürzlich hat eine Hackergruppe mit Hilfe des Social-Media-Pseudonyms "Marcella Flores" über Kommunikationswege des Unternehmens, aber auch private Kanäle, eine Beziehung zu einem Mitarbeiter eines Unternehmens der Rüstungsindustrie aufgebaut – und das bereits viele Monate vor dem eigentlichen Angriff. Nachdem das Vertrauen aufgebaut war, wurdedem Opfer im Rahmen eines andauernden Mail-Verlaufs eine Version der Schadsoftware "Liderc" geschickt. Sobald diese auf dem Zielsystem installiert worden war, hat sie Informationen gesammelt und weitergeleitet und ihre Spuren verwischt, indem sie die Host-Artefakte des jeweiligen Tages gelöscht hat.
In solchen E-Mails werden Techniken wie Spoofing und Typosquatting verwendet, um den Anschein zu erwecken, dass sie von echten, etablierten Unternehmen gesendet wurden. Unter Typosquatting versteht man die Registrierung oder Verwendung von Domänennamen, die auf den ersten Blick den Anschein erwecken, als stammten sie von einer anderen Quelle als der, die sie tatsächlich sind - zum Beispiel Goggle statt Google oder Facebock statt Facebook. Sie weichen auch vom allgemeinen Ansatz "traditioneller" Phishing-Nachrichten ab, indem sie individuell angepasste Texte haben, die Führungskräfte des Unternehmens namentlich erwähnen und echte Geschäftsadressen und Firmenlogos enthalten.
Darüber hinaus wird meist branchenspezifischer Fachjargon verwendet und auf echte Projekte verwiesen, an denen das angebliche Unternehmen womöglich tatsächlich arbeitet, um die Nachrichten echt erscheinen zu lassen. Sie können Anhänge enthalten, die wie harmlose PDF-Dateien aussehen, in Wirklichkeit aber Malware-Anwendungen sind, die Browsing-Daten sammeln, Tastatureingaben aufzeichnen und sogar Finanzinformationen stehlen können.
Diese Nachrichten, die auf eine bestimmte Person oder ein bestimmtes Unternehmen abzielen, werden als "Spear Phishing" bezeichnet. Spear Phishing ist sehr individuell auf ein bestimmtes Ziel zugeschnitten. Dies ist wesentlich aufwändiger als eine normale Phishing-Nachricht, die an Tausende von Nutzern auf einmal verschickt werden kann.
Aber wenn die zu erwartende Belohnung nur groß genug ist, nehmen Cyberkriminelle gerne die Zeit und den Aufwand auf sich, um ihren Betrug zu perfektionieren und erfolgreich durchzuführen.
Schutz vor Phishing und anderen Social-Engineering-Angriffen
Die Abwehr von Social-Engineering-Angriffen durch Spear-Phishing ist schwierig. Die Angriffe sind so stark individualisiert, dass sie nur schwer zu erkennen sind. Außerdem braucht nur ein einziger Mitarbeiter in einem Unternehmen einen Fehler zu machen - und schon kann es für das betreffende Unternehmen oder die Organisation sehr teuer werden. Die Folgen können von der Weitergabe vertraulicher Geschäftsdaten bis hin zu Spionage oder Vandalismus reichen. Einfach ausgedrückt: Phishing kann die Tür für fast alle anderen Arten von Cyberangriffen öffnen, indem es einen Weg in das Netzwerk und die internen Systeme öffnet.
Wie bei jedem Social-Engineering-Angriff ist Aufklärung der Schlüssel.
Das Gleiche gilt für die Entwicklung einer soliden Cybersicherheitsstrategie, die von allen Mitarbeitern eines Unternehmens verstanden und befolgt wird. Dies beginnt mit einer Bestandsaufnahme der Computerressourcen und der Frage, wie sie am besten geschützt werden können, mit der Festlegung von Prioritäten für die Risiken und mit dem Aufbau eines Teams und einer Strategie für den Umgang mit potenziellen Angriffen.
Um die Sicherheit zu gewährleisten, sollten Sie jedoch in die neuesten und modernsten Cybersicherheits-Tools investieren. Dazu gehören neue, durch maschinelles Lernen unterstützte E-Mail-Schutzsysteme, die Phishing-Versuche erkennen können, Data Loss Prevention (DLP), fortschrittlicher Bot-Schutz, API-Sicherheit, Runtime Application Self-Protection-Tools und vieles mehr.
Fazit:
Phishing-Versuche werden immer raffinierter - und selbst der klügste Mensch ist anfällig für menschliche Fehler. Durch Aufklärung, regelmäßige Schulungen und den Einsatz von Spitzentechnologie zum Schutz vor Phishing und anderen Cybersecurity-Bedrohungen können Unternehmen jedoch ihr Bestes tun, um Angriffsversuche zu vereiteln. Und dank des technologischen Fortschritts der letzten Jahre dieses "Beste, was sie können" schon verdammt gut.
Quellen:
https://www.hackread.com/spear-phishing-attacks-underline-danger/ (übersetzt aus dem Englischen)
https://www.avg.com/de/signal/what-is-phishing
https://www.it-markt.ch/cybersecurity/2021-07-29/wie-hacker-cyberangriffe-vorbereiten