Phishing ist eine der beliebtesten Cyberangriffsarten. Im Unternehmensumfeld nutzen Social-Engineering-Betrüger bevorzugt die Mitarbeiter als Schwachstelle aus, um an sensible Informationen wie Log-in- und Finanzdaten zu gelangen oder schädliche Aktionen auszulösen.
Obwohl im Markt bereits zahlreiche Werkzeuge und Verfahren für die E-Mail-Sicherheit angeboten werden, nimmt Phishing weiter zu. Wie im Katz- und Maus-Spiel gelingt es den Cyberkriminellen immer wieder, ihre Angriffstechniken anzupassen und weiterzuentwickeln. Zu den neuesten Betrugsmaschen zählen der Diebstahl von Sitzungs-Cookies und Conversation Hijacking, also das unbemerkte Einklinken in bestehende E-Mail-Korrespondenzen.
Trotz der steigenden Gefahrenlage sind viele Unternehmen nicht ausreichend vorbereitet. Sie sollten schleunigst eine umfassende Cybersecurity-Strategie implementieren, die von fortgeschrittenen E-Mail-Sicherheitstechniken bis zu Security-Awareness-Trainings für die Mitarbeiter reicht. Für den Fall der Fälle sollte ein Incident-Response-Plan existieren, um die Auswirkungen erfolgreicher Phishing-Attacken zu begrenzen.
Phishing-Mails zählen zu den Haupteinfallstoren für Cyberkriminelle – Tendenz steigend. Wie sich die Unternehmen gegen die immer raffinierteren Social-Engineering-Attacken schützen können.
Die Zahlen sprechen für sich. Nach einer Studie der National Cybersecurity Alliance (NCA) gehen 82 Prozent der Cybersicherheitsvorfälle auf menschliches Fehlverhalten zurück. Im Unternehmensumfeld nutzen Social-Engineering-Angreifer bevorzugt die Mitarbeiter als Schwachstelle aus, um sensible Informationen wie Passwörter und Finanzdaten zu ergattern oder bestimmte Aktionen auszulösen: zum Beispiel das Herunterladen einer Schadsoftware oder die Ausführung einer Überweisung. Ganz oben auf der Beliebtheitsskala rangieren E-Mail-Attacken in Form von Phishing, wie der Cybersicherheits-Anbieter Hornetsecurity in seinem aktuellen Cyber Security Report herausfand. Danach ist Phishing mit 39,6 Prozent die häufigste Angriffsart per elektronischer Nachricht.
Das liegt zum einen daran, dass Phishing erheblich weniger Fachkenntnisse und Aufwand erfordert als das Hacken technischer Sicherheitslücken. Selbst unerfahrene Bedrohungsakteure können im Darknet Millionen E-Mail-Adressen erstehen, um massenhaft Spam-Mails zu versenden. Auch wenn die Erfolgsquote nur jeweils ein halbes Prozent beträgt, macht sich die Investition mehr als bezahlt. So können Betrüger in unternehmensinterne Systeme eindringen, um dort Erpressersoftware zu platzieren. Auch individuell zugeschnittene Spear-Phishing-Mails lassen sich mithilfe persönlicher Daten, die über Mitarbeiter in den sozialen Netzwerken und anderen Internet-Quellen zu finden sind, relativ einfach herstellen. Hinzu kommt, dass es sich bei den Nutzern in den Unternehmen häufig um unbedarfte Laien handelt, die sich mithilfe psychologischer Tricks leicht hereinlegen lassen. So geben sich die Phishing-Betrüger in ihren E-Mails als Chef, Kollege, Geschäftspartner oder Kunde aus und appellieren so geschickt an die Hilfsbereitschaft, Angst, Autoritätshörigkeit oder Neugier ihrer Opfer, dass diese ohne nachzudenken eine schädliche E-Mail öffnen.
Immer neue Schlupflöcher im Visier
Trotz der zahlreichen im Markt verfügbaren Tools und Verfahren für die E-Mail-Sicherheit nimmt Phishing weiter zu, da die Angreifer ihre Techniken immer wieder anpassen und weiterentwickeln: Cybersecurity ist ein ständiges Katz-und-Maus-Spiel zwischen Tätern und IT-Sicherheitsexperten. Hier einige Beispiele für Angriffsmethoden, die Phishing-Betrügern neue Schlupflöcher eröffnen:
- Session-Cookie-Diebstahl
Die Sicherheitsexperten vom Security Lab bei Hornetsecurity beobachten die Zunahme von Session-Cookie-Diebstählen mithilfe neuer und verbesserter Malware, die per Phishing-Mail eingeschleust wird. Normalerweise dienen Sitzungs- oder Authentifizierungs-Cookies dazu, den Nutzer eines Web-Dienstes wiederzuerkennen, nachdem er sich angemeldet hat. So muss er sich nicht bei jedem Besuch neu identifizieren. Mit gestohlenen Session Cookies können Cyberkriminelle sogar die Zwei- oder Multi-Faktor-Authentifizierung (2FA/MFA) aushebeln und in eine neue Web-Sitzung eindringen. Da ein Großteil der Arbeitsplätze mittlerweile webbasiert ist, erhalten Session-Cookie-Diebe Zugriff auf wichtige Unternehmensressourcen.
Ein aktuelles Beispiel liefert das Medienunternehmen Linus Media Group. Nachdem die Angreifer per Phishing-Mail an die kompletten Browserdaten eines Mitarbeiters gelangt waren, erhielten sie Zugang zum Youtube-Konto und weiteren Channels der Unternehmensgruppe. Dort konnten sie Krypto-Videos und Scams-Streams starten sowie Videos löschen.
- Conversation Hijacking
Ein starker Anstieg ist auch beim Conversation Hijacking zu verzeichnen, bei dem sich die Phishing-Angreifer in bestehende Geschäftskorrespondenzen einklinken oder neue Konversationen in Gang setzen. Dazu kapern sie die E-Mail-Konten von Mitarbeitern und spähen deren interne und externe Korrespondenz auf wichtige Informationen aus – ob es sich um betriebliche Abläufe, aktuelle Geschäftsvorgänge oder Zahlungsverfahren handelt. Dann nutzen sie diese Informationen, um authentisch wirkende Phishing-Mails anzufertigen, die von gefälschten Domains aus versendet werden. Da die Betrüger mit dem Account Takeover auch Zugriff auf das komplette E-Mail-Adressbuch ihrer Opfer erhalten, können sie ihren Aktionsradius beliebig erweitern. Prominente Opfer von Conversation Hijacking waren die Technologieriesen Google und Meta. In beiden Fällen mischte sich ein Betrüger in eine laufende Konversation mit einem Geschäftspartner ein und erreichte mit gefälschten E-Mails, dass hohe Geldsummen auf seine eigenen Konten überwiesen wurden. Während Google dabei rund 23 Millionen US-Dollar verlor, waren es bei Meta sage und schreibe 100 Millionen US-Dollar.
- Ausnutzung von Single-Sign-on-Systemen (SSO)
Bei Systemen, die eine Single-Sign-on-Authentifizierung (SSO) verwenden, haben die Phishing-Angreifer ein noch leichteres Spiel. So können Session-Cookie-Diebe eine aktive Sitzung nutzen, um sich bei sämtlichen anderen Diensten im Unternehmen anzumelden, die sich über SSO authentifizieren. Dasselbe gilt für Hacker, die sich Zugriff auf die E-Mail-Posteingänge von Mitarbeitern verschafft haben. Denn damit können sie feststellen, welche Services diese Beschäftigten nutzen, und sich über Single-Sign-on problemlos einloggen.
Cybersecurity als Unternehmensstrategie
Obwohl die Zahl der Phishing-Attacken kontinuierlich wächst, sind die IT-Fachleute und die Unternehmen häufig nicht ausreichend vorbereitet. So kam der Ransomware Report 2022 von Hornetsecurity zum Schluss, dass der Prozentsatz an Unternehmen, die keinen Notfallplan für Cyberangriffe haben, zunimmt. Betrug der Anteil im Jahr 2021 noch 16 Prozent, waren es 2022 bereits 19 Prozent.
Angesichts der steigenden Phishing-Gefahren ist eine umfassende Cybersecurity-Strategie zwingender denn je. Auf technischer Seite nicht fehlen dürfen Spam- und Virenschutz, E-Mail-Verschlüsselung, Advanced Threat Protection zum Schutz vor Ransomware-, Fraud- und Industriespionage-Angriffen sowie die Replikation und Wiederherstellung von E-Mails.
Gleichzeitig sollten die Mitarbeiter im Rahmen spezieller Security-Awareness-Trainings im Erkennen von Phishing-Mails geschult werden. Besonders effektiv sind Spear-Phishing-Simulationen, bei denen authentische Attacken im Arbeitsalltag nachgestellt werden. Die Mitarbeiter lernen dabei, auf welche verdächtigen Merkmale einer E-Mail sie achten müssen: zum Beispiel auf Buchstabendreher in der Mail-Adresse, Fake-Subdomains oder zweifelhafte Links.
Ein Plan für den Fall der Fälle
Auch für den Fall der Fälle sollten die Unternehmen gerüstet sein. Wird ein Mitarbeiter trotz aller Präventions- und Schutzmaßnahmen Opfer einer Phishing-Attacke, müssen der Geschäftsbetrieb und die Daten schnellstmöglich wiederhergestellt werden. Verstärkter Handlungsbedarf besteht vor allem für die Betreiber Kritischer Infrastrukturen (KRITIS). So hat die Europäische Union (EU) Anfang 2023 als Reaktion auf die steigende Cyberbedrohungslage und Digitalisierung die neue Cybersicherheitsrichtlinie NIS2 (Network and Information Security) erlassen, die bis Oktober 2024 in nationales Recht umzusetzen ist. Danach müssen KRITIS verschärfte Maßnahmen zur Vermeidung von IT-Systemausfällen und als Reaktion auf IT-Sicherheitsvorfälle ergreifen. Ihnen wie allen anderen Unternehmen sei ein systematischer Incident-Response-Plan empfohlen, um die Auswirkungen erfolgreicher Cyberangriffe zu limitieren.
