Vorsicht: So einfach können Cyberkriminelle Daten missbrauchen 

Datendiebstahl ist zu einem gigantischen Problem geworden, weltweit und für Organisationen jeder Größe. Für deren Lenker stellt sich nicht mehr die Frage, „ob“ sie angegriffen werden – sondern lediglich „wann“. //next stellt daher die häufigsten Angriffsmethoden vor und präsentiert Gegenmaßnahmen.

Laut aktuellem Verizon Data Breach Investigations Report begannen in diesem Jahr 91 Prozent der erfolgreichen Datenschutzverletzungen mit einem Spear-Phishing-Angriff. Das lässt aufhorchen, denn immerhin waren diese Attacken im vergangenen Jahr zu 73 Prozent erfolgreich! 

Phishing zählt zu den effektivsten Betrugsaktivitäten im Internet. Es kann zu schwerwiegenden finanziellen Verlusten, zur Offenlegung sensibler Informationen oder zum Diebstahl von Identitäten und Anmeldedaten führen und lässt sich nur durch aufgeklärte und wachsame Anwenderinnen und Anwender verhindern. Einer der effizientesten Ansätze im Kampf gegen diese Bedrohung besteht somit darin, unser Bewusstsein für die möglichen Angriffswege zu schärfen – genau das will dieser Beitrag erreichen. 

Was sind Phishing, Spear-Phishing und Whaling?

Aktuell gibt es mehr als ein Dutzend verschiedene Arten von Phishing-Angriffen, daher konzentrieren wir uns an dieser Stelle auf die häufigsten:

Phishing gehört zu den so genannten Social-Engineering-Angriffen und setzt auf breiter Front auf gefälschte E-Mails vermeintlich legitimer Personen, denen die Opfer vertrauen. In bester Absicht klicken diese auf einen Link oder öffnen einen Mail-Anhang – und das Unglück nimmt seinen Lauf ... 

Spear-Phishing wiederum ist spezialisierte Unterform von Phishing, die sehr gezielt auf bestimmte Opfer zugeschnitten ist. Anders als das breitere Pishing, bei dem oft Tausende identischer Mails an breite Empfängerkreise gehen, um vergleichsweise wahllos möglichst viele Daten zu erbeuten ...

Der Unterschied zwischen Whaling/CEO Fraud und Spear-Phishing besteht darin, dass Whaling ausschließlich auf hochrangige Personen innerhalb eines Unternehmens abzielt, in der Regel auf die oberste Führungsebene (C-Level), um eine betrügerische Aktivität durchzuführen.

Was sind typische Folgen von Phishing-Attacken?

Auch die Branche, in der ERGO aktiv ist: der Versicherungssektor, ist regelmäßig Phishing-Angriffen ausgesetzt.  Diese Methoden scheinen für Kriminelle besonders einfach aufzusetzen zu sein. Die Motive sind jüngsten Studien  zufolge in mehr als 90 Prozent der Fälle finanzielle Gier, zu drei Prozent sind die Attacken staatlich gesteuerte, hochentwickelte Spionageaktionen („Advanced Persistent Threats“, „APTs“). Die restlichen fünf Prozent werden aus Neid auf die Opfer, aus ideologischen Gründen oder einfach aus Spaß verübt.

Die Angreifer verwenden in der Regel mehrere Instrumente und Techniken, um ihre kriminellen Ziele zu erreichen. Eines der Hauptziele ist der Diebstahl von Benutzeranmeldeinformationen, um sie anschließend für weitere Hacking- oder Malware-Angriffe zu verwenden. So kann ein Krimineller beispielsweise entweder neue Konten einrichten oder bestehende Konten kompromittieren und mehrere dringende Betrugsnachrichten versenden oder diese Konten nutzen, um zusätzlichen Zugang zu sensiblen Daten zu erhalten.

Das andere Szenario geht davon aus, dass Malware (bösartige Software, d. h. ein schädliches Programm oder eine Datei) auf den Computer des Opfers geschleust wird. Bei dieser Malware kann es sich um verschiedene Arten von Viren, Trojanern, Würmern, Spyware und insbesondere Ransomware handeln. Je nach Art der Ransomware ist sie so konzipiert, dass sie Dateien auf Ihrem Computer entweder sperrt oder verschlüsselt, bis ein Lösegeld gezahlt wird. Anspruchsvollere Versionen (so genannte „doppelte Erpressung“) können Dateien verschlüsseln und Daten vom Computer des Opfers übermitteln, sprich: stehlen.

Wichtig ist zu wissen, dass Ransomware nicht nur für Einzelpersonen, sondern auch für Unternehmen, Regierungen und Organisationen auf der ganzen Welt zu einer großen Herausforderung geworden ist. Und dass die meisten Ransomware-Versuche durch Phishing-E-Mails eingeleitet werden. Den Berichten von Malwarebytes zufolge haben bekannte Ransomwares wie GandCrab, SamSam, NotPetya und WannaCry einen Schaden von rund 3,9 Milliarden US-Dollar verursacht.

Wie können wir uns schützen?

Um schwerwiegende Folgen solcher Attacken zu vermeiden oder wenigstens zu minimieren, sollten wir beim Umgang mit einer verdächtigen E-Mail die folgenden grundlegenden Regeln beachten:

1. Überprüfen wir den Absender der E-Mail! Cyberkriminalität ist heute zu einem Geschäft geworden, und Cyberkriminelle entwickeln ihre Fähigkeiten ständig weiter. Bösartige E-Mails sehen aus wie legitime Nachrichten von unseren Chefs, Kollegen oder offiziellen Kommunikationskanälen. Überprüfen wir daher immer die E-Mail-Adresse des Absenders, indem wir mit dem Mauszeiger über den Namen des Absenders fahren oder auf die Schaltfläche „Antworten“ klicken.
2. Überprüfen wir die URL! Kriminelle sind gut darin, URLs zu erstellen, die legitimen Websites verblüffend ähnlich sind, um uns potenzielle Opfer zum Anklicken des Links zu verleiten. Verhindern wir das!
3. Lasst uns nicht auf verdächtige Links klicken! Wenn Ihr den Verdacht hat, dass der Absender und/oder der Inhalt nicht legitim sein könnten, klickt bitte bloß nicht nicht darauf!
4. Wir öffnen keine Anhänge von verdächtigen E-Mails! Denn dabei kann es sich um bösartige Dateien handeln, die uns zu Opfern macht. Zwar könnten sie aussehen wie harmlose Office365- oder PDF-Dateien, doch könnten sie nach dem Öffnen sehr wohl auch bösartige Malware in unsere Systeme schleusen.
5. Lasst uns generell skeptisch und misstrauisch bei ungewöhnlichen und nicht standardisierten Anfragen sein! Solche Anfragen überprüfen wir im Zweifel lieber doppelt und greifen hierfür auch mal zum Telefon, um den angeblichen Absender persönlich zu fragen. 
6. Melden wir Phishing-Versuche! Wenn wir eine Phishing-E-Mail erhalten oder auf einen verdächtigen Link geklickt oder einen bösartigen Anhang geöffnet haben, melden wir dies immer sofort den IT-Kollegen oder dem Sicherheitsdienst. Bitte nicht aus Scham nichts tun, das macht alles nur noch schlimmer!

Die obrigen Tipps mögen selbstverständlich klingen, doch sind sie im Alltag gar nicht so leicht anzuwenden, schon gar nicht immer und konsequent. Dabei können sie durchaus die Angriffsfläche für Phishing-Angriffe erheblich verringern! Die Schärfung unserer Instinkte und unseres Bewusstseins und die Einhaltung grundlegender Sicherheitsregeln und -vorkehrungen sind erfahrungsgemäß zwei der wirksamsten Mittel, um die Erfolgsquote von Angriffen zu minimieren und das Cybersicherheitsrisiko zu verringern. //next hofft, dass dieser Beitrag dabei helfen konnte.

Text: Marek Kost, IT Security Manager bei ERGO Technology & Services S.A.