Mit Phishing alle Schranken überwinden
Für Angreifer führt der einfachste Weg, um in die Systeme zu gelangen, über den Menschen. Wir sind nicht perfekt, häufig gestresst und dann auch unachtsam – ideal für jeden Angreifer.
Ruft dann noch jemand an und meldet sich zu einer E-Mail, die uns gerade noch verdächtig vorkam, ist es fast schon vorbei. Der Angreifer versucht jetzt, Misstrauen auszuräumen und uns dazu zu verleiten, auf Links oder Anhänge in der Mail zu klicken.
Wie gehen Angreifer anschliessend vor
Verlief das Phishing erfolgreich, kann sich der Angreifer auf dem ersten System installieren und die Orientierungsphase beginnt: Häufig werden zunächst Unternehmensdaten inklusive Nutzer- und Zugangsdaten wegkopiert und verschlüsselt. Darauf folgt der Versuch, die Produktion oder den Betrieb lahmzulegen, sodass es zu Ausfällen und Verlusten kommt. Im finalen Schritt werden die Opfer erpresst. Diese sollen nicht nur Geld für die Entschlüsselung zahlen, sondern zusätzlich auch dafür, dass die gestohlenen Daten nicht veröffentlicht werden. Mitunter werden diese auch an Dritte verkauft oder direkt von den Kriminellen verwendet. Die Art der Angriffe ist also sehr vielschichtig, das Vorgehen meist schrittweise.
Wie lassen sich Phishing-Mails erkennen?
Um sich vor Datendiebstahl zu schützen, gilt es, Phishing-Mails als solche zu erkennen. Und hier die schlechte Nachricht: Obwohl Phishing-Mails oftmals im Ausland produziert werden, sind die Absender beim Verfassen deutlich besser geworden. Strotzten Texte früher vor Rechtschreibfehlern, lassen sich Phishing-Mails heute oft nur mit einigen Kniffen identifizieren.
Zu empfehlen ist deshalb, sich zugunsten der Sicherheit für das Lesen von E-Mails Zeit zu nehmen. Beim Überfliegen der Texte rutschen Fehler durch, die bereits erste Hinweise liefern könnten.
Immer häufiger werden Original-Mails kopiert und lediglich die darin enthaltenen Links verändert. Empfänger sollten deshalb mit der Maus langsam über die Links fahren (nicht klicken!) und auf die angezeigte Link-Adresse achten. Entsprechen diese dem Absender oder hängen auffällige Endungen an?
Hier ein Beispiel für einen Phishing-Link in einer E-Mail (Quelle: heise.de):
Dieser Link stammt nicht von Google und führt auch auf keine Google-Webseite, sondern zur Seite „platinumplace.co.th“. Diese wurde vermutlich gehackt und leitet durch einen weiteren Redirect zur eigentlichen Phishing-Webseite.
Ratsam ist es auch, bei Kollegen, Ansprechpartnern oder IT-Sicherheitsexperten im Unternehmen nachzufragen. Der beste Hinweisgeber: das Bauchgefühl. Empfangen Mitarbeiter bspw. die Rechnung eines Versandhändlers, sollten sie hinterfragen, ob sie überhaupt etwas bestellt haben.
Achtsamkeit ist auch bei enthaltenen Links und Anhängen geboten – speziell, wenn diese von externen Personen kommen! Mitunter sind Mails mit ZIP-Dateien versehen, die sich nur über ein in der Mail genanntes Passwort öffnen lassen. Ein geeigneter Weg, um Sicherheitsscanner zu umgehen. Auch Office-Dateien, die nur drei statt vier Endungen haben (z.B. doc, xls, ppt) könnten auf einen Angriff hindeuten, da sich in diesen Dateien schadhafte Makros befinden können.
Auch von Mails bekannter Absender kann ein Angriff ausgehen. In der Vergangenheit gab es immer wieder Fälle, bei denen Adressbücher gestohlen, Postfächer gehackt und anschließend Phishing-Mails an Kontakte verschickt wurden.
Wie sich Unternehmen vor Angriffen schützen können
In diesem Zusammenhang sollten Mitarbeiter den zuständigen Stellen im Unternehmen ihren Verdacht melden, wenn sie annehmen, eine Phishing-Mail bekommen oder geöffnet zu haben. Hier ist falsche Scham nicht angebracht!
Und auch das gehört leider zur Wahrheit: Hat eine Phishing-Mail erst einmal den Eingang in das Unternehmen gefunden, haben im Vorfeld einige Kontroll- und Schutzmechanismen versagt. Neben Virenscannern sollten deshalb weitere Technologien zur Grundausstattung zum Schutz vor Angriffen gehören. Dazu zählen etwa Scanner, die Mails prüfen und klassifizieren. Diese können viele, aber nicht alle Angriffe abwehren, da sich die Techniken der Angreifer nahezu täglich ändern.
Für eine tiefergehende Untersuchung dienen Analyzer, die jede Mail in einer Sandbox öffnen und genau prüfen. Daneben sollten Proxy-Server verwendet werden, die den Internetverkehr kanalisieren. Inbegriffen sind außerdem Intrusion-Prevention-Systeme, über die Unternehmen den Datentransfer im Blick behalten können.
Sollten Unternehmen diese grundlegenden Sicherheitsvorkehrungen nicht gewährleisten können, empfiehlt es sich, auf einen IT-Dienstleister zu setzen. Diese stellen einen 24/7-Service sicher, verfügen über geschulte Experten und die aktuellste Technik.
Mehr Informationen rund um sicheres Arbeiten erfahren Sie in unserer Webinarreihe „Smart Office Academy“! Lesen Sie außerdem unseren Blog-Beitrag IT-Sicherheit: Wie Cyberkriminelle die Corona-Krise für sich nutzen.