Eine Spear-Phishing-Kampagne versendet gefälschte „Kundenbeschwerden“, die einen Link zu einer bösartigen Website enthalten, wie Paul Ducklin von Sophos eigenem IT-Security-Blog Naked-Security beschreibt. Die Phishing-E-Mails geben vor, von einem Manager des Unternehmens des Opfers zu stammen und fragen den Empfänger nach einer Kundenbeschwerde, die er angeblich erhalten hat. Der Link in der E-Mail gibt vor, zu einem PDF der Beschwerde über den Mitarbeiter zu führen, führt jedoch zu einer Seite, auf der das Opfer dazu verleitet wird, Malware herunterzuladen.
In dem Blog wird erläutert, dass vor allem unerfahrene Nachwuchskräfte, die häufig in ausgelagerten Jobs wie dem First-Line-Support arbeiten, oft Anrufern und Beschwerden ausgesetzt sind. Sie sind damit sehr attraktive Ziele für solche Spear-Phishing-Attacken. Eine weitere Problematik ist, dass sich die Mitarbeiter im Support nur im äußersten Notfall bei der Geschäftsleitung melden. Die Betroffenen möchten in diesen Fällen zu ihrer eigenen Sicherheit, dass der Vorfall zu Protokoll genommen wird.
Grundlegende Struktur von Spear-Phishing Kampagnen
1. Identifizieren der E-Mail-Adressen
Es gibt zwei Möglichkeiten, wie Hacker Phishing-Kampagnen verschicken: Die erste ist das „Spray-and-Pray“-Verfahren. Hierbei sammeln sie so viele E-Mail-Adressen des Unternehmens wie möglich und senden ihnen allen eine Spam-Mail. Der zweite Ansatz besteht darin, die Personen gezielt anzusprechen, die Zugriff auf die Daten haben und auf die es der Bedrohungsakteur abgesehen hat. Hierbei handelt es sich um den klassischen Spear-Phishing-Ansatz.
2. Umgehung von Antivirenprogrammen
Die Spear-Phishing-Mail muss zunächst die von der Zielperson verwendete Antivirensoftware umgehen. Eine schnelle Suche auf den IT-Job-Websites nach offenen Systemadministrator-Positionen im Unternehmen der Zielperson liefert eine erstaunliche Menge an hilfreichen Informationen für die Bedrohungsakteure. Sobald das Antivirenprogramm bekannt ist, wird es auf einem Testsystem installiert, um sicherzustellen, dass die E-Mail dennoch ankommen kann.
3. Aushebeln des Egress-Filters
Die Angreifer können die sensiblen Daten nur dann aus dem anvisierten Unternehmen extrahieren, wenn die mit dem Angriff versandte Nutzlast den Datenverkehr aus dem Unternehmen herauslässt.
4. Spear-Phishing-Szenario
Mitarbeiter, die nicht über ein hochwertiges Security-Awareness-Training verfügen, sind ein leichtes Opfer für Spear-Phisher. Der Angreifer stellt Nachforschungen über seine Zielpersonen an, findet heraus, mit wem sie regelmäßig kommunizieren und sendet eine personalisierte E-Mail an diese Person, um sie dazu zu bringen, auf einen Link zu klicken oder einen Anhang zu öffnen.
5. Versenden der Betrugsmails
Meist kaufen die Bedrohungsakteure einen gültigen Domänennamen, z.B. bei dem Webhoster „GoDaddy“, und nutzen den kostenlosen E-Mail-Server, der mit der Domäne geliefert wird. Das Ziel ist es nun, dass alle Spam-Mails zu den Zielpersonen durchkommen, die mit einem beliebigen E-Mail-Client oder mit einem Skript gesendet werden und dass somit das eigentliche Ziel, der Datendiebstahl, erfolgreich durchgeführt werden kann.
6. Ziel der Spear-Phishing Kampagne
Wenn die Zielperson auf den schadhaften Link geklickt hat, gilt es für den Angreifer, die stündliche Übertragung von Tastaturdaten an den Server abzuwarten und nach den gewünschten Anmeldeinformationen zu suchen. Sobald der Angreifer diese erlangt hat, erfolgt der Versuch in die Workstation einzudringen, alle Netzwerk-Passwort-Hashes auszulesen, sie zu knacken und sich schließlich als Administrator Zugang zum gesamten Netzwerk des Unternehmens zu verschaffen.
Security-Awareness als Schlüssel zur Verteidigung gegen Spear- Phishing-Kampagnen
Die effektivste Maßnahme zur Vorbeugung solcher Angriffe ist, ein umfassendes Security-Awareness-Training für die Mitarbeiter anzubieten und umzusetzen. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Zunächst werden sogenannte Baseline-Tests durchgeführt, die es ermöglichen, den Anteil der für Phishing anfälligen Benutzer zu ermitteln. Zudem sollte man herausfinden, auf welche Art von Angriffen sie hereinfallen und auf welche nicht, um entsprechende Daten zur Messung des eintretenden Trainingserfolgs zu generieren.
Die Schulung der Benutzer mit interaktivem und ansprechendem On-Demand-Material ist notwendig, damit die Botschaft wirklich verinnerlicht wird und nicht nur oberflächlich behandelt und schnell wieder vergessen wird. Weiterhin sollten die internen Schulungen monatlich wiederholt und auf einer Plattform gespeichert und analysiert werden, um die Inhalte zu vertiefen und den künftigen Lernprozess erfolgreich fortzusetzen. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als „menschliche Firewall“ geschult und eingesetzt werden.
Von Jelle Wieringa, Security Awareness Advocate bei KnowBe4
#KnowBe4