Wie funktioniert E-Mail Phishing? Angriffstaktiken erklärt
Phishing-Mails treten wieder verstärkt auf. Insbesondere gezielte Angriffe auf Firmen und deren Mitarbeiter häufen sich. Diese gezielten Angriffe, auch Spear-Phishing genannt, können für erheblichen Schaden im Unternehmen sorgen. Wieso finden diese Angriffe statt und welche Mittel setzen die Angreifer ein?
Auswertungen von proofpoint ergeben, dass E-Mail-basierte Phishing-Angriffe auf Unternehmen um über ein Drittel im ersten Halbjahr gestiegen sind. Zu den Top 3 Zielen gehören Mitarbeiter im operatives Geschäft, Management sowie in der Forschung.
Wie funktioniert E-Mail Phishing? Angriffstaktiken erklärt
Beachtenswert ist die hohe Anzahl an Angriffe auf die Führungsetagen. Fünf Prozent der Angriffe zielen auf Firmenchefs und Geschäftsführer ab. Setzt man die Chefs ins Verhältnis zu den übrigen Mitarbeitern ergibt das eine besorgniserregende Anzahl an Angriffen auf die Führungsetagen.
Dabei sind die meisten Phishing-Attacken ein Mittel zum Zweck und dienen als erstes Einfallstor in das Unternehmen. Das Ziel des Angriffs reicht von Industrie-Spionage bis zur Verseuchung des Firmennetzes mit Erpressungs- oder Krypto-Mining-Trojaner.
Die Angreifer versuchen dazu den Empfänger der Phishing-Mail zum Download und zur Ausführung von Schadcode zu bewegen. Ist das erfolgreich, kontrollieren die Angreifer Teile des Rechners des Opfers, über den sie dann Zugang zum Firmennetz erhalten.
Ebenfalls kommt es vor, dass Angreifer mittels Social Engineering (psychologischer Manipulation) versuchen Firmengelder auf fremde Konten überweisen zu lassen. Dabei geben die Angreifer sich als Vorgesetzter oder Firmenchef aus. Auch bekannt als CEO Scam.
Angriffe via Phishing-E-Mails sind deutlich gezielter als Phishing-Spam im privaten Bereich. Bei gezielten Angriffe auf einzelne Firmen oder gar einzelne Firmenmitarbeitern spricht man von Spear-Phishing. Eine Anlehnung an das gezielte Jagen im Wasser mit einem Speer oder einer Harpune.
Damit Spear-Phishing E-Mails erfolgreich sind, benötigen die Angreifer vorab Informationen über das Opfer um die E-Mails für die Person individualisieren zu können. Beim Spear-Phishing gilt Klasse statt Masse. Tausend unterschiedliche Spam-Mails führen nicht zum Ziel.
Tricks der Spear-Phisher
Dafür investiere die Angreifer viel Zeit in die Vorbereitung. Informationen sind dafür der Schlüssel zum Erfolg. Wie viele Mitarbeiter hat das Unternehmen, wie lauten die Mail-Adressen der Mitarbeiter, welcher Mitarbeiter kommen als Ziel in Frage? Je mehr Informationen und um so genauer diese vorliegen, desto höher der Erfolg eines Angriffs.
Soziale Netzwerke machen es Angreifern besonders einfach, an berufliche Informationen von Mitarbeitern zu gelangen. Wie iX berichtet, lassen sich über gefälschte Newsletter extra Profile über die Mitarbeiter und deren Systeme erstellen.
Aus den persönlichen und technischen Informationen zum Mitarbeiter wird eine gute Geschichte für die Spear-Phishing-Kampagne gebaut. Das Opfer erhält eine höchst personalisierte Phishing-E-Mail mit dem Ziel, Daten abzugreifen oder einen Rechner zu infizieren.
Was können Firmen gegen Spear-Phishing tun?
Wie bei privaten E-Mails müssen Mitarbeiter auch bei beruflichen E-Mails stets argwöhnisch sein. Da nicht alle Mitarbeiter gleich technisch versiert sind, gilt es die Mitarbeiter innerhalb des Unternehmens zu sensibilisieren. Und zwar regelmäßig und stets angepasst auf die neusten Trends beim Spear-Phishing.
Dabei helfen Schulungen, Übungen sowie Test-E-Mails, die Mitarbeiter entsprechend als „Spam“ erkennen und markieren müssen. Neben den Mitarbeitern müssen auch Partner und Dienstleister mit einbezogen werden, um einen „Breach“ oder die Herausgabe interner Daten an unautorisierte Personen zu vermeiden.
Neben personellen Maßnahmen müssen auch organisatorischen Prozesse (wie Incident Response) sowie technische Maßnahmen ergriffen werden. Das Ausführen von Code über DDE lässt sich durch eine Gruppenrichtlinie unterbinden. E-Mails, die von außen kommen, sollten mit einem [EXTERN] versehen werden, um die Achtsamkeit der Mitarbeiter zu erhöhen.
Persönliche Meinung
Unternehmen müssen ihre Mitarbeiter schulen und sensibilisieren. Mitarbeiter sind in der heutigen Zeit aber auch selbst in der Pflicht, vorsichtig und achtsam vorzugehen. Der Beitrag zu „Wie schütze ich meinen Computer?“ erklärt das Grundsätzliche zur IT-Sicherheit.
Dabei hört das Thema beim Computer nicht auf. Immer mehr Angriffe zielen auf Smartphones und Tablets. Die Sicherheit auf dem Smartphone muss somit ebenfalls in den Fokus rücken.
Dabei sollten Unternehmen und Nutzer nicht jedem Vorschlag blind folgen. Denn einige Ratschläge haben sich über die Jahre als nutzlos erwiesen. Deshalb empfehle ich einen Blick in den Beitrag zu den IT-Sicherheit Mythen.
Geek, Blogger, Consultant & Reisender. Auf seiner Detail-Seite findest du weitere Informationen über Benjamin. In seiner Freizeit schreibt Benjamin bevorzugt über Technik-Themen. Neben Anleitungen und How-To’s interessieren Benjamin auch Nachrichten zur IT-Sicherheit. Sollte die Technik nicht im Vordergrund stehen, geht Benjamin gerne wandern.