Zu hoch DDoSiert für die eigene Abwehr

Zu hoch DDoSiert für die eigene Abwehr

Wenn Denial-of-Service-Attacken Organisationen lahmlegen

 

Immer wieder sind Meldungen zu lesen, die eine DDoS-Attacke als Grund für den Ausfall einer Unternehmenswebseite anführen. Hierbei handelt es sich um eine Angriffsform, die über gekaperte Systeme bewusst generierte Datenfluten erzeugt, die Unternehmen lahmlegt. Auch E-Mail-Server sind nicht selten von einer DDoS-Attacke betroffen.

 

Diese Angriffe führen dazu, dass Webseiten sowie einzelne Services über einen bestimmten Zeitraum hinweg nicht mehr erreichbar sind. Das kann von wenigen Minuten über mehrere Stunden bis hin zu einem tagelangen Ausfall reichen. Downtime – ein Albtraum für jedes Unternehmen.

 

Dabei können DDoS-Attacken nicht mehr nur die IT-Infrastrukturen großer, international agierender Konzerne treffen, die in der Regel über ein ausgereiftes Sicherheitskonzept verfügen, sondern durchaus auch kleine Unternehmen. Ebenfalls Ziel der Angriffe sind öffentliche Einrichtungen, Verwaltungen und Behörden. Die Gründe hierfür sind vielfältig: Sie können der puren Lust auf „Zerstörung“ geschuldet sein, aber auch die gezielte Schädigung von Konkurrenten oder fremden Regierungen kann ein Antriebsmotiv sein. Selbst Hass und Rache sind oftmals nicht auszuschließen. Aus diesem Grund ist der Rückgriff auf ein zuverlässiges IT-Sicherheitskonzept unumgänglich.

 

DDoS-Attacke: Digitaler Vandalismus schädigt Reputation

 

Jede Sekunde, in der beispielsweise ein Mailserver oder bestimmte Webseiten-Services nicht erreichbar sind, kostet ein Unternehmen Geld. Dies gilt vor allem für Unternehmen, die primär ihre Geschäfte im Internet abwickeln und dort ihre Produkte oder Services anbieten. Gleiches gilt für Geschäftsbereiche, in denen der Support für die Kunden über E-Mail abläuft. Die Kosten beziehen sich jedoch nicht nur auf die entgangenen Einnahmen während der Ausfallzeit. Die schnelle Ergreifung von Abwehrmaßnahmen und eventuelle Zuhilfenahme externe Experten kann ebenfalls zum Kostentreiber werden. Die Schädigung der Reputation des Unternehmens ist zudem ein weiteres Problem.

 

Ein Unternehmen, in welches der Kunde kein Vertrauen hat, wird langfristig gesehen über keine solide Geschäftsbasis verfügen. Aus diesem Grund ist es natürlich allgemein nachvollziehbar, dass knapp 50 Prozent aller betroffenen Unternehmen bei Auftreten eines Cyberangriffs Stillschweigen bewahren. Zu groß ist die Angst, in der Öffentlichkeit einen Imageverlust hinnehmen zu müssen.

 

Diese Art der Schadensbegrenzung funktioniert vielleicht bei einfachen Formen der Cyber-Kriminalität, bei einer DDoS-Attacke sowie weitaus komplexeren Angriffsformen jedoch nicht. Diese Formen stören nämlich nicht nur die Tätigkeiten und Abläufe des Geschäftsbereichs, sondern dringen auch häufig nach außen durch. Kunden nehmen diese Störung wahr, da auch sie unmittelbar davon betroffen sind. Die Sicherstellung einer funktionierenden E-Mail-Kommunikation muss daher stets oberstes Ziel sein.

 

Zuverlässige IT-Sicherheitskonzepte als Lösung

 

Unternehmen sollten daher gegen DDoS-Attacken und jede andere Art von Cyberangriffen gewappnet sein. Sicherheitslösungen wie der Hornetsecurity Spamfilter sind in der Lage, eine DDoS-Attacke auf einen Mailserver rechtzeitig zu erkennen und zuverlässig abzuwehren. Für komplexere Angriffsformen wie Erpressungstrojaner oder Identitätsdiebstahl sind zudem Advanced Threat Protection empfehlenswert. Hierbei handelt es sich um eine Sicherheitslösung, die Ransomware, Blended- und Targeted Attacks sowie digitale Spionage zuverlässig erkennen und verhindern kann. Dafür sorgen schon allein die speziellen Analyse-Engines von Advanced Threat Protection (ATP).

Business E-Mail Compromise

Wie können sich Unternehmen von einer DDoS-Attacke schützen?

 

Doch zurück zu DDoS-Attacken: Um diese zu verhindern, sollten Unternehmen und Behörden bereits im Vorfeld bestimmte Sicherheitsmaßnahmen befolgen. Was zu tun ist, um sich vor einer DDoS-Attacke effektiv zu schützen:

 

1. Die Brisanz einer DDoS-Attacke

 
Im Prinzip kann jede Organisation zum Ziel eines solchen Angriffs werden. Letztlich muss sich jede Firma und jede Veraltung selbst immer die Frage stellen: „Welche Auswirkungen hätte der Ausfall des Mailservers für mich?“. Denn die Brisanz einer DDoS-Attacke kann sich etwa im Unternehmensumfeld unterschiedlich stark ausprägen. Die Downtime wird für einen Händler, der im Internet sein Warenshop betreibt, deutlich schwerwiegender sein als bei einem lokal ansässigen Handwerksbetrieb. Im Ergebnis ändert das allerdings wenig. Beide möchten letztlich den Kommunikationsweg mit den Kunden über E-Mail aufrechterhalten. Ein Sicherheitskonzept ist daher unumgänglich.

 

2. IT-Risikomanagement

 
Wichtig ist ebenfalls, dass bereits im Vorfeld im Fall einer DDoS-Attacke konkrete Handlungsabläufe im Unternehmen implementiert sind. Im Fall eines Cyberangriffs sollte stets ein Ansprechpartner greifbar sein. Dies kann ein IT-Sicherheitsbeauftragter im Unternehmen selbst oder externer Mitarbeiter eines IT-Dienstleisters sein, der entsprechende Security Services anbietet und sich um das IT-Security-Management kümmert.

 

3. Reaktion auf Erpressungen

 
Ähnlich wie bei Ransomware kann auch eine erfolgreiche DDoS-Attacke als beliebte Angriffsform mit einer Geldforderung verbunden sein. Für Cyberkriminelle handelt es sich um ein lukratives Geschäftsmodell. Dies gilt vor allem deshalb, da die betroffenen Unternehmen häufig auf die Forderungen der Täter eingehen, um vermeintlich schwerwiegendere Folgen abzuwenden. Das BSI rät jedoch dazu, sich nicht erpressbar zu machen und die Zahlung entsprechender Summen abzulehnen. Stattdessen sollten Betroffene polizeiliche Schritte einleiten und sich durch professionelle IT-Sicherheitsexperten unterstützen lassen.

 

4. Implementierung von Abwehrmaßnahmen

 
Die wichtigste Maßnahme zur Vermeidung einer DDoS-Attacke ist, diese erst gar nicht zuzulassen und somit den Kommunikationsweg E-Mail offen und stabil zu halten Hierzu ist eine kompetente IT-Security-Lösung unabdingbar – im Idealfall eine cloudbasierte. Der Grund hierfür liegt darin, dass diese Anbieter über eine wesentlich leistungsstärkere Infrastruktur verfügen und auch große Angriffe problemlos parieren können. Zudem müssen sich Kunden nicht um die Installation und Wartung der Hard- und Software kümmern.

 

Weiterführende Informationen:

 

  1. Hornetsecurity ATP
  2. Hornetsecurity Spamfilter 
  3. BSI – Verhalten bei Cyberangriffen
Business E-Mail Compromise – Eine altbewährte Angriffsform in einem neuen Gewand

Business E-Mail Compromise – Eine altbewährte Angriffsform in einem neuen Gewand

Wie aus den aktuellen Zahlen des FBIs hervorgeht, konnte in den vergangenen Monaten eine Zunahme von E-Mail-Betrug beobachtet werden. So lag die Gesamtschadenssumme bei Unternehmen, die in den letzten fünf Jahren durch Cyberkriminelle verursacht worden ist, bei über 5,3 Milliarden US-Dollar. Dies entspricht einem Anstieg von mehr als 2,3 Prozent. (Quelle: Stellungnahme des FBIs vom 04.05.2017 zum Thema Business E-Mail Compromise)

 

Und auch in Deutschland warnt das BKA vor Cyberkriminellen. Offiziell spricht das BKA von Schäden in dreistelliger Millionenhöhe. Allein im Jahr 2016 wurden rund 83.000 Vorkommnisse dieser Art bekannt (Quelle: Cybercrime Bundeslagebild 2016). Dabei handelt es sich jedoch lediglich um offizielle Zahlen. Die reale Zahl dürfte wesentlich höher liegen. Zu groß ist die Befürchtung vieler Unternehmen – aufgrund eines solchen Vorfalls – eine schlechte Außenwirkung zu erzielen.

 

Ein Business E-Mail Compromise ist durch unterschiedliche Formen gekennzeichnet. Neben der Kompromittierung eines E-Mail-Kontos eines Mitarbeiters gelangen u.a. auch Methoden wie Spear-Phishing oder CEO-Fraud zum Einsatz, wobei Letztere von den Kriminellen bevorzugt wird. Über diese Masche versuchen Angreifer, an sensible Unternehmensdaten oder Geld zu gelangen. Dabei werden Unternehmen nicht selten um Geldsummen in sechs-, sieben- oder gar achtstelliger Höhe erleichtert. So geschehen im Jahr 2016 bei einem bekannten Autoteilzulieferer mit Sitz in Nürnberg. Die beträchtliche Schadenshöhe – rund 40 Millionen Euro. (Quelle: Beitrag von Heise vom 16.08.2016)

 

Dabei ist die Vorgehensweise der Täter fast immer gleich, mit dem Unterschied, dass nicht nur auf vertrauenswürdige E-Mails gesetzt wird, sondern zunehmend auch Malware zum Einsatz gelangt. Dabei besteht der Business E-Mail Compromise nicht selten aus einer zusätzlichen Ransomware-Attacke. Im Fokus der Täter stehen, wie bereits erwähnt, primär finanzielle Ziele. Dabei sind die erbeuteten Geldsummen – je nach Angriffsmuster – unterschiedlich hoch ausgeprägt.

 

Raffiniert gestalten die Täter ihr Vorgehen. Um herauszufinden, ob ein Unternehmen erpressbar ist bzw. wie es um die Liquidität des ins Visier genommenen Unternehmens steht, erfolgt zunächst eine Lösegelderpressung über einen Ransomware-Angriff. Stellt sich diese Attacke für die Täter als lohnenswert heraus, kann im Nachgang noch ein zusätzlicher Spearphishing-Angriff erfolgen.

 

Business E-Mail Compromise – Nicht nur eine Frage der Unternehmensgröße

 

Die Täter beschränken sich bei einem Business E-Mail Compromise nicht ausschließlich auf eine bestimmte Unternehmensgröße. Dies liegt primär darin begründet, dass häufig Mitarbeiter als Angriffsziel dienen. Insgesamt betrachtet erscheint die Vorgehensweise der Täter nachvollziehbar. Denn wie der IT-Branchenverband Bitkom erst kürzlich bekannt gab, haben 60 % der Internetnutzer keine Kenntnis darüber, was polymorphe Viren überhaupt sind. (Quelle: Presseinformation von Bitkom vom 05.12.2017)

 

Und selbst 41 % der Internetnutzer, die schon einmal mit dem Thema Ransomware in Berührung gekommen sind, wissen zwar um die Gefahren, die mit einem solchen Angriff einhergehen, möchten jedoch keine aktiven Sicherheitsmaßnahmen ergreifen. Dies zeigt, dass das Wissen in Teilen sogar vorhanden ist, die Auswirkungen jedoch verharmlost werden. Schließlich glauben die meisten, dass es immer nur andere trifft und das eigene Unternehmen höchstwahrscheinlich nicht ins Visier von Cyberkriminellen gerät.

Business E-Mail Compromise

Inwieweit diese Annahme in der Praxis Bestand hat, ist letztlich aufgrund der Dunkelziffer nicht überprüfbar. Denn von den betroffenen Unternehmen gelangen kaum Informationen an die Öffentlichkeit.

 

Generell ist jedoch zu beobachten, dass die Täter äußerst professionell agieren. Es handelt sich nicht mehr nur um den technikversierten Einzeltäter, der ein paar Euro nebenher verdienen möchten. Vielmehr zeigt sich, dass die Angreifer den Bereich der Cyberkriminalität primär aus wirtschaftlichen Gründen auswählen und diesen für äußerst lukrativ halten. Dies gilt insbesondere für Business E-Mail Compromise.

 

Was zählt? Schnelligkeit!

 

Schutzmechanismen, die Unternehmen vor einem Worst Case dieser Art bewahren, gibt es. Eine Firewall oder ein Antivirenprogramm gehören allerdings nicht dazu. Besondere Angriffsformen erfordern spezielle Verteidigungsmechanismen, die in einem solchen Fall besonders schnell greifen müssen.

 

Gerade Unternehmen, die sich mit der Implementierung von Sicherheitsmechanismen dieser Art nur wenig auskennen, sollten sich überlegen, auf Managed Security Services zu setzen. IT-Sicherheit outsourcen lautet das Zauberwort – denn nur so kann das Ungleichgewicht zwischen Cyberkriminellen und Unternehmen reduziert werden.

 

Automatisierte Prozesse auf Cloud-Basis sowie eine innovative Technologie, die Unternehmen zuverlässig vor komplexen Cyberattacken schützt – solch eine Lösung bietet Hornetsecurity an. Mit Advanced Threat Protection sind wir in der Lage, Business E-Mail Compromise nachhaltig einzudämmen. So schützen wir unsere Kunden nicht nur vor CEO-Fraud, sondern auch vor Ransomware-Angriffen und Spear-Phishing-Attacken.

 

Erfahren Sie im nachfolgenden Video mehr über die Schutzmechanismen von Hornetsecurity Advanced Threat Protection:

Weiterführende Informationen:

 

  1. Sie möchten nähere Details zu Advanced Threat Protection erhalten? Mehr erfahren.
  2. Informationen zu Managed Security Services in Unternehmen: Zur Security Automation Studie 2017.
CEO Fraud – Angriffswelle nimmt nicht ab!

CEO Fraud – Angriffswelle nimmt nicht ab!

Erst kürzlich meldete das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Tendenz hin zu gezielten CEO Frauds auf Unternehmen. Während die Schäden in Deutschland im Millionenbereich liegen und regelmäßig vom BKA neu beziffert werden, liegt das Ausmaß der internationalen Schäden deutlich höher. Die Sicherheitsbehörden der USA gehen hier sogar von Schadenssummen im Milliardenbereich aus – und das allein durch CEO Fraud als verursachende Angriffsform. Bei dieser Methode geben sich die Cyber-Ganoven als leitende Angestellte oder Vorgesetzte aus und bringen Mitarbeiter dazu, hohe Summen ins Ausland zu transferieren.

Bei einem CEO Fraud handelt es sich um eine Masche im Bereich der Cyberkriminalität, die mittlerweile immer häufiger zum Einsatz kommt. So tauchte unlängst eine Liste auf, die aktuell knapp 5.000 Betroffene umfasst, die ins Visier von Cyberkriminellen geraten sind. Aus diesem Grund erfolgt derzeit eine allgemeine Benachrichtigung etwaiger Betroffener, in denen das BSI auf die Gefährdungslage sowie auf die von CEO Fraud ausgehenden Risiken aufmerksam macht.

 

CEO Fraud ist eine Form des Social Engineerings und ist derzeit bei Cyber-Kriminellen en vogue. Zu den besonders gefährdeten Personengruppen in einem Unternehmen zählen Mitarbeiter aus der Buchhaltung sowie jene, die im Auftrag der Geschäftsführung handeln dürfen. Gemeint sind Personengruppen, die z.B. durch eine Prokura dazu berechtigt sind, entsprechende Geldanweisungen vorzunehmen. Diesen Umstand nutzen Angreifer häufig für sich aus. Dabei erfolgt die Kontaktaufnahme gezielt per E-Mail oder direkt über ein Telefonat. Die Angreifer haben diese Sonderrechte sowie die damit zusammenhängenden Hierarchien der Mitarbeiter vorab genau recherchiert.

 

Das Vorgehen der Täter bei einem CEO Fraud

In der Regel wählen die Angreifer über allgemein zugängliche Daten die Zielperson in einem Unternehmen aus. Dabei werden die Informationen über Unternehmensnetzwerke, Personensuchmaschinen, Karrierenetzwerke oder über die unternehmenseigene Homepage in Erfahrung gebracht. Aber auch die persönliche oder telefonische Kontaktaufnahme gehört im Vorfeld zu den gängigen Vorgehensweisen von Cyberkriminellen. Diese personenbezogenen Daten dienen den Tätern als Ausgangsbasis für die weiteren Handlungsschritte. Somit sind die Angreifer in der Lage, E-Mails individuell auf die Zielperson abzustimmen und einen bestimmten Sprachstil zu wählen, der das Opfer letztlich überzeugen soll. Das Ziel ist die Anweisung einer bestimmten Geldsumme durch den Betroffenen.

 

Dabei wird das Zeitfenster bei einem CEO Fraud möglichst klein gehalten, sodass das Opfer in einem Unternehmen innerhalb weniger Sekunden oder Minuten zu einer Handlung genötigt wird. Der Täter baut auf geschickte Art und Weise Druck bei seinem Gegenüber auf. Beliebte Überweisungsziele sind dabei chinesische sowie osteuropäische Auslandskonten. Als Grund für die Überweisung wird gerne einmal ein vermeintlicher Zukauf von einem neuen Unternehmen angeführt. Die Ausführungen des Täters wirken gegenüber dem betroffenen Mitarbeiter zumeist äußerst plausibel, sodass dieser ohne nachzudenken eine vom Täter geforderte Überweisung vornimmt.

 

Häufig merken die Betroffenen erst kurz danach, welch unbedachte Handlung sie vorgenommen haben. In einem solchen Fall wird angeraten, schnellstmöglich die Bank zu kontaktieren, um die Überweisung rückgängig zu machen. In einzelnen Fällen ist dies durchaus noch möglich. Daneben sollte der CEO Fraud umgehend zur Anzeige gebracht werden. Die weiteren Empfehlungen des BSI gehen dahingehend, dass Sie vorbeugende Schutzmaßnahmen empfehlen.

 

Präventivmaßnahmen bei CEO Fraud

 

Entsprechende Schutzmechanismen, die sich gegenüber CEO Fraud als sinnvoll herausgestellt haben, sind die nachfolgenden vier Handlungsempfehlungen:

 

1. Veröffentlichung von Mitarbeiterinformationen beschränken

Mittlerweile ist häufig zu beobachten, dass Mitarbeiter ihre Durchwahlnummern auf XING, LinkedIn oder anderen Karriere-Portalen publizieren. Gleiches gilt für personalisierte E-Mail-Adressen.

 

Unachtsamkeit herrscht häufig auch in Bezug auf die Veröffentlichung von Beiträgen auf dem Unternehmens-Blog oder in den sozialen Medien. Diese Informationen geben häufig Aufschluss darüber, an welchen Veranstaltungen Führungskräfte zu einem bestimmten Zeitpunkt teilnehmen. Hierbei handelt es sich um einen wertvollen Hinweis für Cyberkriminelle, die einen CEO Fraud planen.

 

2. Mechanismen zur Kontrolle unternehmensinterner Vorgänge

 

Hier wird Unternehmen empfohlen, auf entsprechende Schutzmaßnahmen zurückzugreifen. Das Vier-Augen-Prinzip ist dabei eine mögliche Kontrollinstanz. Gemeint ist die Gegenprüfung einer Zahlungsaufforderung durch eine zweite Person in Form eines weiteren Mitarbeiters im Unternehmen. Auch wenn bereits gesetzliche Vorgaben eine beleglose Überweisung in einem Unternehmen unmöglich erscheinen lassen, so muss immer wieder auf diesen Umstand hingewiesen werden. Eine einfache Regelung lautet hier: „Keine Überweisung ohne vorherigen Beleg“.

 

Was bedeutet das konkret? In der Praxis gilt, dass eine Zahlungsaufforderung ohne die Erfüllung kaufmännischer Voraussetzungen von der Buchhaltung nicht beglichen werden darf. Dies erfordert grundsätzlich eine konsequente Handlungsweise aller beteiligten Mitarbeiter. Diese Maßstäbe müssen auch gegenüber Vorgesetzten gelten. Eine E-Mail des Geschäftsführers mit der Bitte, eine Zahlung vorzunehmen, ist ohne Beleg nicht ausreichend. Generell müssen diese Regelungen auch gelten, wenn einzelne Mitarbeiter urlaubsbedingt abwesend sind.

 

3. Sensibilisierung der Mitarbeiter zur Vorbeugung eines CEO Frauds

Mitarbeiter müssen bereits im Vorfeld über die Gefahren von einem CEO Fraud aufgeklärt werden. Nur so haben Unternehmenszugehörige die Möglichkeit, gegenüber einem Angreifer selbstbewusst aufzutreten. Das Ziel einer jeden Geschäftsführung sollte es sein, bei Mitarbeitern in Zahlungsangelegenheiten eine kritische Grundhaltung zu etablieren, die das Unternehmen davor schützt, zum Ziel von einem CEO Fraud zu werden. Mitarbeiter dürfen Fragen stellen und diese sollten ebenfalls durch ein gesundes Maß an Skepsis gekennzeichnet sein.

4. Wachsamkeit in Bezug auf etwaige Abweichungen bei Transaktionsvorgängen

Wie sollen Mitarbeiter eines Unternehmens mit Abweichungen im Zahlungsverkehr umgehen? Prinzipiell steht zunächst einmal die Kontrolle der E-Mail-Adresse des Absenders im Vordergrund. Danach sollte neben der Orthographie des Inhalts auch immer die Echtheit der Zahlungsaufforderung geprüft werden. Die Verifizierung kann durch eine schriftliche Nachfrage oder besser durch einen persönlichen Rückruf erfolgen. Im Zweifelsfall ist eine Rückfrage bei der Geschäftsführung die beste Lösung. Bestehen letztlich immer noch Zweifel an der Glaubhaftigkeit der Geldforderung, gibt es die Möglichkeit, sich an die zuständigen Polizeidienststellen zu wenden. Nur so können negative Konsequenzen abgewendet werden.

 

Welche Folgen entstehen bei einem erfolgreichen CEO Fraud?

Die ökonomischen Folgen, die durch einen CEO Fraud verursacht werden, sind je nach Höhe der überwiesenen Geldsumme und Größe des Unternehmens schwerwiegend und können in ganz drastischen Fällen ein Unternehmen sogar in die Insolvenz befördern.

 

Die Beteiligten – häufig Mitarbeiter – müssen ernsthafte rechtliche Folgen befürchten. Das kann harmlos mit einer Abmahnung beginnen und bis hin zu einer Entlassung gehen. Hierbei kann sich der Arbeitgeber auf einen außerordentlichen Kündigungsgrund berufen. Diesen Konsequenzen kann sich ein Mitarbeiter häufig nicht entziehen.

 

Sofern ein CEO Fraud erfolgreich durchgeführt wurde, sehen sich Unternehmen und Mitarbeiter den Folgen eines solchen Angriffs oft hilflos ausgesetzt, wobei die Auswirkungen zumeist nicht absehbar sind. Aus diesem Grund sollten Unternehmen – unabhängig von ihrer Größe – besonderen Wert auf präventive Schutzmaßnahmen legen, um dieser Angriffsform effektiv entgegentreten zu können

 

Weiterführende Informationen

 

Sicherheitsrisiko Mensch – wie Spear Phishing unsere Emotionen ausnutzt

Sicherheitsrisiko Mensch – wie Spear Phishing unsere Emotionen ausnutzt

Cyberkriminalität stellt eine der schnellst wachsenden Bedrohungen der Digitalisierung dar. Allein in Deutschland zählte das BKA rund 83.000 Fälle im Jahr 2016, die einen wirtschaftlichen Schaden in Höhe von ca. 51 Millionen Euro verursachten – Tendenz steigend. Dies spiegelt allerdings nur einen geringen Teil des globalen Gesamtschadens wieder. Klassische Betrugsmethoden wie Spam-E-Mails werden dabei zunehmend raffinierter. Wie professionell Cyberkriminelle heutzutage agieren und welche wachsende Bedeutung dem Spear Phishing dabei zukommt, das erfahren Sie im Nachfolgenden.

 

Bereits im Jahr 2014 hat die Cyberkriminalität den Handel mit illegalen Substanzen – bezogen auf die Lukrativität – überholt. Das geht aus einem Artikel des „manager magazin“ hervor. Dies ist einer der Hauptanreize für Cyberkriminelle, immer neue, ausgeklügeltere Betrugsmaschen anzuwenden. Spear Phishing ist dabei nur eine von ihnen.

 

Zwar basiert Spear Phishing im Wesentlichen auf dem altbewährten Phishing-Modell, doch ist diese Angriffsform bezogen auf den Schaden, den sie verursachen kann, kaum mit der Ausgangsform vergleichbar. Während herkömmliche Phishing E-Mails oftmals so schlecht aufbereitet sind, dass sie bereits direkt nach dem Eintreffen im Papierkorb landen, sieht die Sache bei Spear Phishing schon ganz anders aus. „Selbst Sicherheitsexperten fallen gelegentlich darauf herein. Wir neigen dazu, Fehler zu machen“, wie Roark Pollock, Senior Vice President von Ziften Technologies in einem Artikel des „Security Insider“ über Spear Phishing berichtet. Leider haben die Cyberkriminellen genau diesen wunden Punkt für sich entdeckt.

 

Der Ablauf einer Spear Phishing Attacke und warum wir sie nur sehr schwer erkennen können

 

Beim Spear Phishing handelt es sich um einen gezielten E-Mail-Betrug. Dieser kann auf ein einzelnes Unternehmen, meist sogar auf eine einzelne Person ausgerichtet sein. Das Ziel von Spear Phishing ist es, sensible Unternehmens-, Finanz- oder Login-Daten zu stehlen.

 

Zunächst wird versucht, so viele persönliche Daten wie möglich über das Opfer oder seine Umgebung zu erlangen. Dies gelingt heutzutage mithilfe sozialer Medien recht problemlos. Haben die Angreifer genügend relevante Daten gesammelt, schicken sie der Zielperson eine E-Mail, die die eigentliche Spear Phishing Attacke darstellt. In dieser geben sie sich dann beispielsweise als Chef oder Finanzvorstand aus.

 

Sämtliche im Vorfeld gesammelten, persönlichen Daten werden anschließend dazu genutzt, um eine möglichst reelle E-Mail zu erstellen. Für das Opfer wird es dadurch besonders schwer, eine Spear Phishing E-Mail von einer echten zu unterscheiden. Um dem Ganzen noch ein wenig Glaubwürdigkeit zu verleihen, wird selbst die E-Mail-Adresse des vermeintlichen Absenders gefälscht. Beliebt sind hierbei unter anderem Adressen, die beispielsweise ein großes „i“ beinhalten. Wird dies durch ein kleines „l“ ersetzt, ist dies für einen Laien nur sehr schwer ersichtlich. Aber auch die Angabe falscher Absendernamen ist in der Praxis häufig anzutreffen.

 

Im Anschluss leiten die Angreifer das Opfer über einen in der Spear Phishing E-Mail enthaltenden Link auf eine mit Malware infizierte Webseite weiter. Auf diese Weise können sie sensible Daten stehlen, Login-Credentials abgreifen oder ultimativ eine gezielte Erpressung durchführen.

 

 

Gibt es Möglichkeiten, sich vor Spear Phishing zu schützen?

 

Spear Phishing Attacken zu erkennen ist aufgrund des hohen Grads der Personalisierung sehr komplex, allerdings keineswegs unmöglich. Die meisten herkömmlichen Sicherheitslösungen verfügen jedoch nicht über die nötigen technischen Mittel, um diese Art von Bedrohung erkennen zu können.

 

Hornetsecurity Advanced Threat Protection bekämpft Spear Phishing effektiv durch ein ganzes Bündel an Sicherheitsmechanismen. URL-Scans sowie URL Rewriting sorgen dafür, dass der Zugriff auf eine Malware-Webseite gezielt unterbunden wird. Darüber hinaus erkennt ATP nur schwer zu entdeckende polymorphe Viren mittels einer Sandbox-Engine und begegnet diesen mit dem sogenannten „Freezing“: Verdächtig wirkende E-Mails werden über einen bestimmten Zeitpunkt hinweg zurückgehalten, um sie anschließend erneut zu analysieren. Spear Phishing Angriffe, die Horrorszenarien, wie Industrie- sowie Wirtschaftsspionage oder Lösegelderpressung mit sich bringen können, lassen sich dadurch wirksam abwehren.

 

Weiterführende Informationen

„Zu Ihrer Sicherheit“ – Vorsicht vor ING-DiBa Fake E-Mails

„Zu Ihrer Sicherheit“ – Vorsicht vor ING-DiBa Fake E-Mails

Aktuell versuchen Cyberkriminelle, mit dubiosen Fake E-Mails an sensible Daten von Kunden der ING-DiBa zu gelangen. Dabei enthält die Fake E-Mail den Hinweis, dass bei einem routinemäßigen Sicherheits-Check des Online-Banking-Systems ein Problem aufgetreten sei. Zudem wird darauf hingewiesen, dass sich Kunden umgehend zum Login auf eine externe Webseite begeben sollen, um Unannehmlichkeiten mit ihrer Bank zu vermeiden.

 

In Wahrheit handelt es sich hierbei jedoch um einen Phishing-Angriff, der dazu dient, personenbezogene Informationen in Erfahrung zu bringen. Wie Sie sich ganz konkret vor Fake E-Mails bzw. Phishing-Angriffen schützen können, erfahren Sie im Folgenden im Detail.

 

Die Fake E-Mail aus unserem Beispiel

 

Fake E-Mail

Fake E-Mail ING DIBA (Zum Vergrößern auf Abbildung klicken)

Die nebenstehende Abbildung zeigt genau den Aufbau der Fake E-Mail, die angeblich von der ING-DiBa stammen soll und in dem Postfach eines iPhones eingegangen ist. Denn in Wirklichkeit steht die E-Mail in Verbindung mit einem massenhaften Phishing-Angriff, wobei die Nachricht an eine Vielzahl von E-Mail-Empfängern in betrügerischer Absicht versendet wurde.

 

Die Betreffzeile lautet beispielsweise „Zu Ihrer Sicherheit (Referenznummer: xyz)“, wobei die wohl willkürliche Reihenfolge der Kombination in unserem Beispiel mit „kx5qrvnzx3h“ festgesetzt wurde. Bevor wir aus datenschutzrechtlichen Gründen die Schwärzung von Personeninformationen vorgenommen haben, war an der eingehenden E-Mail primär auffällig, dass sowohl die Empfänger- als auch die Absenderadresse die gleichen Angaben aufwiesen. Demnach handelte es sich hierbei schon um ein erstes Indiz einer gefälschten E-Mail.

 

Dabei ist die Masche der Täter nicht unüblich, wenn es darum geht, über Phishing entsprechende Informationen ihrer zumeist zufällig ausgewählten Opfer in Erfahrung zu bringen. Gerade wenn, wie in diesem Fall die Phishing bzw. Fake E-Mail über ein mobiles Endgerät in den Posteingang gelangt, sind die Betroffenen schnell dazu geneigt, dem beigefügten Link zu folgen. Dies vor allem dann, wenn sie tatsächlich Kunden des in der E-Mail genannten Bankinstituts sind.

 

Aber auch sonst ist ein Empfänger von einer Phishing Mail im Alltag schnell einmal dabei, beiläufig dem Link zu folgen. Denn auch für den Fall, dass ein Empfänger kein Konto bei der ING-DiBa hat, bietet der Angreifer der Zielperson entsprechende Optionen an. In unserem Beispiel hat der Empfänger die Möglichkeit, einem auffällig roten Button zu folgen und angeblich mitzuteilen, dass er nicht Kunde der ING-DiBa ist. Ziel des Links ist allerdings eine Phishing-Webseite, die dazu bestimmt ist, Nutzerdaten im großen Stil von den teils ahnungslosen Opfern abzugreifen. Dabei ist die vorgetäuschte Sicherheitsbenachrichtigung der ING-DiBa kein Einzelfall.

 

 

6 Tipps zur Erkennung von Phishing bzw. Fake E-Mails

 

Um zu verhindern, dass auch Sie von einem solchen Angriff betroffen sind, zeigen wir Ihnen nachfolgend, an welchen Hauptmerkmalen Sie jede Phishing bzw. Fake E-Mail erkennen können.

 

 

Merkmal Nr. 1: Die Ansprache

 

Auffällig ist häufig, dass entweder eine Standardfloskel zur Ansprache der Zielperson verwendet wird oder die Anrede ganz fehlt. Sehr selten werden Empfänger von Phishing Mails mit dem ganzen Namen angesprochen. Dies liegt in dem Umstand begründet, dass Fake E-Mails nicht nur vereinzelt, sondern teilweise automatisiert millionenfach versendet werden. Individuelle Anreden gehören hier eher der Ausnahme an. In unserem Beispiel war überhaupt keine Anrede vorhanden.

 

 

Merkmal Nr. 2: Inhalt der E-Mail

 

Eine Phishing Mail ist vom Kontext her so gestaltet, dass die wahren Absichten gegenüber dem Empfänger zumindest bis zum ersten Klick auf einen der beigefügten Links verborgen bleiben soll. Hier sind folgende Köder bei Cyber-Ganoven sehr beliebt:

 

  • Fake E-Mails in Form von angeblichen PayPal-Sicherheitsbenachrichtigungen
  • Phishing Mails, die angeblich von Kreditinstituten stammen
  • Gefälschte E-Mail-Benachrichtigungen, die scheinbar Amazon oder Ebay entspringen
  • Vorgetäuschte Sicherheitslücken von Social Media Konten, die zeitnah beseitigt werden sollen

Die Cyberkriminellen sind somit sehr einfallsreich, wenn es darum geht, ihre Opfer hinter das Licht zu führen.

 

 

Merkmal Nr. 3: Die Handlungsaufforderung

 

Hat der Angreifer durch seine Fake E-Mail die ersten Hürden gemeistert, geht es darum, den Empfänger aktiv zum Handeln zu bewegen. Hier wird die Zielperson zunächst durch einen Link auf eine externe Seite gelotst. Diese ähnelt zumeist dem Login-Bereich einer Bank, eines Online-Händlers oder eines sonstigen Unternehmens, welches bestimmte Internetdienste anbietet.

 

Sobald das Opfer die Eingaben in den entsprechenden Formularfeldern vorgenommen und durch einen Klick auf ein Bestätigungsfeld abgesendet hat, ist der Cyberkriminelle im Besitz der Login-Daten. Nun kann er z.B. Bestellungen in Online-Shops unter falschen Namen vornehmen oder Einsicht in sensible Konten- oder Firmendaten erhalten. Der Phishing-Angriff ist somit erfolgreich gewesen.

 

 

Merkmal Nr. 4: Die Zeitverknappung

 

Ein probates Mittel, welches gerne einmal von Angreifern genutzt wird, ist die Forcierung des Zeitfaktors. Hier wird versucht, den Empfänger erst gar nicht zum Nachdenken zu bringen. In unserem Beispiel erfolgt die Zeitverknappung durch folgende Formulierung: „Bitte loggen Sie sich so bald wie möglich in ihr Konto ein, um jegliche Verspätung Ihrer Banking Tätigkeiten zu vermeiden.“

 

Auch recht beliebt sind angstverbreitende Floskeln in der Betreffzeile, wie beispielsweise „Ihr Konto wurde gesperrt.“ oder „Es wurde ein Betrag von Ihrem Konto abgebucht.“. Diese Sätze treiben manch einem Empfänger im ersten Augenblick Schweißperlen auf die Stirn, so dass ohne groß nachzudenken dem beigefügten Link gefolgt wird.

 

 

Merkmal 5: Fragwürdige Buttons und Links

 

Um den Prozess des Phishings erfolgreich durchführen zu können, gehört ein weiterführender Link in Text- oder Buttonform zum Standardrepertoire einer jeden Phishing bzw. Fake E-Mail. So auch in unserem Beispiel.

 

Unser Rat an Sie: Wenn es um fragwürdige Sicherheitsabfragen geht, die mit einem Link hinterlegt sind, empfehlen wir Ihnen grundsätzlich, diese Links nicht aus dem E-Mail-Programm aufzurufen. Stattdessen sollten Sie sich zum Login in Ihre Nutzerkonten immer direkt über den Browser bzw. über die offizielle Webseite des Anbieters per manuelle Eingabe einloggen. Dies gilt für Online-Services jeglicher Art.

 
 

Merkmal Nr. 6: So gehen seriöse Firmen und Institute vor

 

Hinsichtlich der Erkennung von Phishing Mails bzw. Fake E-Mails sollten Sie sich immer vor Augen halten, dass seriöse Unternehmen oder Institute Sie niemals über eine E-Mail dazu auffordern würden, personenbezogene Daten preiszugeben. Dies gilt für vorgetäuschte Sicherheits- bzw. Verifizierungsabfragen gleichermaßen. Ganz unabhängig davon, um welche Bank oder Firma es sich im konkreten Einzelfall handelt.

 

Aus diesem Grund weisen diverse Bankinstitute regelmäßig auf die Problematik der Fake E-Mails bzw. der sogenannten Phishing Mails hin. Bei der nachfolgenden Bank heißt es z.B.:

 

„Die Volksbank Raiffeisenbank oder der BVR werden Bankkunden niemals per E-Mail nach persönlichen Informationen wie PIN oder Kontonummer fragen, in E-Mails einen Link zum Online-Banking einfügen oder Bankkunden dazu auffordern, Test- oder Rücküberweisungen vorzunehmen. Diese Punkte sind immer sichere Anzeichen für Betrugsversuche.“ (Quelle: Volksbank Raiffeisenbank)
 

Daher können Sie nach Eingang von einer solchen E-Mail, diese sofort löschen. Dies ist letztlich die einfachste Variante, um einen Phishing-Angriff zu begegnen.

  

Weiterführende Informationen

 

  • Entdecken Sie jetzt Hornetsecurity ATP
  • Kostenloses Webinar zum Thema “Live-Attacken: Heute sind wir die Täter – Die Gefahr von CEO Fraud, Ransomware & Co.” – Jetzt anmelden!