Phishing ist eine Form der Tricktäuschung oder des Datendiebstahls, bei der mögliche Kunden von ISPs, Geldinstituten, Online-Banking-Anbietern, Behörden etc. als Zielgruppe verwendet werden. Die Abwehr von Phishing-Betrug gehört daher zu den wichtigen Themen der Sicherheitsexperten.
Sie erhalten eine E-Mail-Einladung von jemandem, den Sie nicht kennen. Ihnen wird ein Angebot für günstige oder kostenlose Tickets für ein Spiel oder Show angeboten. Ihr Finanzinstitut teilt mit, dass ein Problem besteht und sie Ihre Zugangsdaten eingeben müssen, um Ihr Konto zu reparieren. Es scheint, dass Ihr E-Mail-Provider einige Informationen von Ihnen benötigt, aber die Anfrage sieht einfach nicht korrekt aus. Dies alles sind Phishing-E-Mails.
Definition: Phishing
Unter dem Begriff Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Nutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den entsprechenden Personen zu schaden. Es handelt sich dabei um eine Form des Social-Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird. Der Begriff ist ein englisches Kunstwort, das sich an fishing (Angeln, Fischen), bildlich das Angeln nach Passwörtern mit Ködern, anlehnt. Die Schreibweise mit Ph- entstammt dem Hacker-Jargon.
Das FBI definiert Spear-Phishing als gezielten Phishing-Angriff und konzentriert sich dabei auf ausgewählte Gruppen von Menschen, die etwas gemeinsam haben, für dasselbe Unternehmen arbeiten, im selben Finanzinstitut arbeiten, dieselbe Universität besuchen oder Waren von denselben Websites bestellen.
Phishing-Statistiken
Ich habe einige interessante Statistiken in der PhishMe-Infografik „Data Breaches and The Great Security Disconnect“ (https://phishme.com/wp-content/uploads/2016/10/Data-Breach-Infographic.pdf) entdeckt. Diese Infografik beleuchtet die zwei Hauptanliegen der Sicherheitsexperten: Phishing (58 Prozent) und Malware (56 Prozent). Die Ransomware kommt meist einigem Abstand auf den dritten Platz (23 Prozent). Die Infografik weist auch darauf hin, dass die Angriffe üblicherweise über Social-Engineering (46 Prozent) gefolgt von gezielten Angriffen (43 Prozent) erfolgen.
Die Angreifer profitieren beim Phishing meist in finanzieller Hinsicht. Natürlich kann ein Unternehmen auch durch Diebstahl von geistigem Eigentum, nicht autorisierte Ressourcennutzung und die Lieferung von Waren an die Phisher geschädigt werden. Kriminelle, die über persönlichen Daten eines Nutzers verfügen h, können auf dessen Finanzkonten zugreifen, seine Kreditkarten nutzen und sogar eine völlig neue Identität mit dessen Informationen aufbauen.
Beim Spear-Phishing soll ein Benutzer dazu verleitet werden, bösartige Codes oder Malware herunterzuladen. Hierzu muss man nur auf einen in einer E-Mail eingebetteten Link klicken. Diese Angriffsvariante wird beispielsweise bei Wirtschaftsspionage genutzt. Nach einem erfolgreichen angriff wird auf die interne Kommunikation zugegriffen und es können Geschäftsgeheimnisse gestohlen bzw. abgezweigt werden. Malware kann einen Computer kapern. Entführte Computer lassen sich in Botnets integrieren und können bei DoS-Angriffen (Denial of Service) eingesetzt werden.
Erfolgreiche Taktiken
Als die E-Mail erfunden wurde, hat man sich noch keine Gedanken um die Sicherheit gemacht. Inzwischen wurden Add-Ons zu den gängigen E-Mail-Protokollen bereitgestellt, die helfen, Spam- und Phishing-Versuche zu reduzieren. Diese Zusatzfunktionen sind jedoch nicht zu 100 Prozent erfolgreich. Selbst wenn jemand keine E-Mails verwendet, kann er Opfer eines Phishing-Betrugs werden. Hierzu muss man nur eine Website besuchen, die nicht so ist, wie es erscheint. Ein Nutzer kann auch durch eine gefälschte Website Opfer einer Man-in-the-Middle-Angriff werden.
Hacker benutzen oft fremde Alphabete, mit deren Hilfe gefälschte Webseiten und Adressen kreiert werden, die fast den echten Ressourcen entsprechen. Bereits ein fehlerhafter Buchstabe in meiner Bank-URL kann mich auf eine gefälschte Web- Seite umleiten. Die Phishing-Attacke sind jedoch nicht immer einfach zu erkennen.
Ist Ausbildung genug?
Ein umfassendes Training ist notwendig, aber nicht ausreichend, um mit Phishing-Angriffen umzugehen. Wenn man die Nutzer auf die Phishing-Programme aufmerksam macht, dann ist ein guter Anfang gemacht. Doch wird einem auch noch so gut ausgebildeten Nutzer ein verlockendes Angebot gemacht, besteht immer die Möglichkeit, impulsiv auf diese Phishing-E-Mail zu klicken.
Als Bestandteil des Anti-Phishing-Trainings sollten die Nutzern entsprechenden Phishing-Angriffe ausgesetzt werden. Anhand der Reaktion der Nutzer kann man anschließend überprüfen, wie weit das Anti-Phishing-Training gewirkt hat. Diejenigen, die noch immer auf die falschen Angriffe reagieren, müssen unbedingt ein weiteres Training erhalten. Solche Trainings sollten jedoch nicht nur einmal stattfinden, wenn der Mitarbeiter in das Unternehmen eintritt. Besser ist es, wenn das Unternehmen für alle Mitarbeiter zweimal im Jahr einen Phishing-Kursus anbietet bzw. die Mitarbeiter ein entsprechendes Online-Schulungen mit Fragen und Antworten nutzen können. Sollten die auf das Training oder den Online-Kurs folgenden Tests immer noch Mitarbeiter identifizieren, die an den Anforderungen scheitern, dann müssen die betreffenden Personen unbedingt noch einmal nachgeschult werden.
Best-Practices
So vermeidet man zum Phishing-Opfer zu werden:
- Die meisten Unternehmen, Banken, Regierungsbehörden fordern keine persönlichen Informationen oder Zugangsdaten per E-Mail an. Rufen Sie im Zweifelsfall bei der entsprechenden Organisation persönlich an und erkundigen Sie sich nach dem Vorgang. Nutzen Sie auf keinen Fall die in der Phishing-Mail enthaltenen Telefonnummer. Diese ist höchstwahrscheinlich ebenfalls eine Fälschung.
- Nutzen Sie einen Phishing-Filter. Viele Webbrowser verfügen über integrierte Filter oder bieten diese als Plug-Ins an.
- Klicken Sie niemals auf einem Link in einer E-Mail, der zu einer – Ihrer Meinung nach – sicheren Website führt. Geben Sie immer die in der E-Mail enthaltene URL manuell ein.
- Wenn ein Angebot zu gut klingt, um wahr zu sein, ist es wahrscheinlich gefälscht. Lassen Sie die Finger davon!
- Melden Sie verdächtige E-Mails.
- Achten Sie bei E-Mails auf:
- Inhalte die auf dringende Maßnahmen drängen,
- Schreiben, die Ihnen aus heiterem Himmel Auszeichnungen versprechen,
- Inhalte, Rechtschreibfehler enthalten,
- ungewohnte oder komische Begrüßungen,
- Inhalte mit ungewöhnlichen oder Inkonsistenten E-Mail-Adresse, Domänenname oder Links,
- Verdächtige Anhänge, die von Ihnen Anmeldeinformationen, Zahlungsinformationen oder andere vertrauliche Informationen abfragen wollen.
#Netzpalaver
