Inhaltsverzeichnis:
Video: Spear Phishing & Social Engineering | Der Mensch als Schwachstelle (November 2024)
Als der Adjutant des Chefs des Demokratischen Nationalkomitees (DNC), John Podesta, ihm eine E-Mail weiterleitete, in der behauptet wurde, Podestas Gmail-Konto sei gehackt worden, tat Podesta das, was die meisten von uns getan hätten: Er klickte auf den Link in der E-Mail und wurde zu einer Website weitergeleitet, auf der er dazu aufgefordert wurde um ein neues Passwort einzugeben. Er tat es und ging dann seinem täglichen Geschäft nach. Unglücklicherweise für Podesta, die Demokratische Partei und Hillary Clintons Präsidentschaftskampagne stammte die an Podesta gesendete E-Mail nicht von Google. Es handelte sich vielmehr um einen Speer-Phishing-Angriff einer russischen Hacking-Gruppe namens "Fancy Bear".
Auch wenn Sie noch nie vom Begriff "Spear-Phishing" gehört haben, haben Sie zweifellos von solchen Angriffen gehört. Du warst wahrscheinlich sogar ein Ziel von ihnen. Diese Angriffe erfolgen normalerweise in Form von Kunden-Support-E-Mails, in denen Sie aufgefordert werden, Ihre Anmeldeinformationen zu ändern, oder sie können über gefälschte E-Mail-Adressen an Unternehmen gesendet werden, die nach sehr persönlichen Kunden- oder Mitarbeiterdaten fragen. Beispielsweise überwiesen Mitarbeiter von Ubiquiti Networks im Jahr 2015 46, 7 Millionen US-Dollar auf Konten in Übersee, nachdem E-Mails von Mitarbeitern gesendet worden waren, von denen angenommen wurde, dass sie von Ubiquiti-Führungskräften gesendet wurden. In Wirklichkeit erstellten Hacker gefälschte E-Mail-Konten, die den tatsächlichen Ubiquiti-Executive-Konten ähnelten, und betrogen die Mitarbeiter.
Basierend auf Daten einer kürzlich durchgeführten Studie des E-Mail-Sicherheitsunternehmens IronScales sind 77 Prozent der Angriffe laserfokussiert und zielen auf 10 Konten oder weniger ab, wobei ein Drittel der Angriffe nur auf ein Konto abzielt. Die Angriffe sind kurz, 47 Prozent dauern weniger als 24 Stunden und 65 Prozent dauern weniger als 30 Tage. Herkömmliche Spam-Filter und Endpoint Protection-Tools halten die Angriffe nicht ab. Bei jeweils fünf Angriffen, die durch Spam-Filter identifiziert wurden, gelangten 20 Angriffe in den Posteingang eines Benutzers.
(Bild über: IronScales)
"Wir sehen, dass Angreifer viel mehr Zeit damit verbringen, ihre Ziele zu untersuchen als in den vergangenen Jahren, und einen sehr umfassenden Aufklärungsprozess durchführen", sagte Eyal Benishti, CEO von IronScales. "Infolgedessen sind Phishing-E-Mails sehr zielgerichtet und auf das Zielunternehmen zugeschnitten, da Angreifer Informationen durch Aufklärung sammeln können, die ihnen helfen, E-Mails so zu gestalten, dass sie wie legitime interne Kommunikation aussehen. Wir haben zum Beispiel gesehen, dass einige Angriffe die verwenden." Der Jargon und die Unterschriften der Organisationen und der Inhalt stehen in engem Zusammenhang mit dem, was derzeit im Unternehmen und zwischen vertrauenswürdigen Parteien stattfindet."
Jeff Pollard, Principal Analyst bei Forrester Research, fügte hinzu, dass diese Angriffe auch immer ausgefeilter werden. "Die Angriffe werden sowohl in Bezug auf die Köder, mit denen die Benutzer zum Klicken gebracht werden, als auch in Bezug auf die Malware, mit der der Zugang zu Systemen ermöglicht wird, immer raffinierter", so Pollard. "Aber genau das erwarten wir angesichts der Tatsache, dass Cybersicherheit ein ständiger Kampf zwischen Verteidigern und Angreifern ist."
Die Lösung
Um diese Angriffe zu bekämpfen, wenden sich Unternehmen an Anti-Phishing-Software, um eingehende Angriffe zu erkennen und zu kennzeichnen. Anti-Spam- und Anti-Malware-Tools sind für jedes Unternehmen, das Geschäftsdaten schützen möchte, ein Kinderspiel. Unternehmen wie IronScales gehen jedoch noch einen Schritt weiter, indem sie Tools für maschinelles Lernen (Machine Learning, ML) einbinden, um proaktiv nach skizzenhaften Phishing-E-Mails zu suchen und diese zu kennzeichnen. Darüber hinaus lernt und verbessert die Software bei jedem Scan, da die Tools mit ML Betrugsdaten kompilieren oder speichern können.
"Die Technologie macht es dem Angreifer schwerer, den Verteidiger mit kleinen Änderungen zu täuschen, die normalerweise eine signaturbasierte Lösung umgehen", sagte Benishti. "Mit ML können wir schnell verschiedene Varianten desselben Angriffs gruppieren und Phishing wirksamer bekämpfen. Aus unserer Analyse geht hervor, dass ML die beste Methode ist, um ein System zu trainieren, um den Unterschied zwischen legitimen E-Mails von einem vertrauenswürdigen Partner oder zu erkennen." Kollege gegen einen nicht legitimen."
Technologie ist nicht der einzige Schutz vor diesen Formen von Angriffen. Aufklärung und Vorsicht sind vielleicht die wichtigsten Schutzmechanismen gegen Spear-Phishing-Angriffe. "Einige Unternehmen sind sich der Bedrohungen bewusst, andere glauben jedoch fälschlicherweise, dass ihre aktuelle Lösung vor gezielten Angriffen schützt", sagte Benishti. "Es ist sehr wichtig zu verstehen, dass die Verwendung der gleichen Abwehrmechanismen und die Erwartung unterschiedlicher Ergebnisse bei zukünftigen Angriffen einfach nicht ausreicht. Die alleinige Verwendung von Technologie gegen fortgeschrittene Angriffe, bei denen Menschen als Ziele festgelegt werden, wird immer scheitern, ebenso wie die alleinige Abhängigkeit von der Sensibilisierung der Mitarbeiter." training… Menschen und Maschinen, die eng zusammenarbeiten, um diese Lücke unbekannter Angriffe zu schließen, sind der einzige Weg, um das Risiko zu verringern."
(Bild über: IronScales)
So bleiben Sie sicher
Hier sind einige sehr einfache Möglichkeiten, um sicherzustellen, dass Sie und Ihr Unternehmen nicht betrogen werden:
- Stellen Sie sicher, dass die E-Mails des Unternehmens in der Betreffzeile mit "INTERNAL" oder "EXTERNAL" gekennzeichnet sind.
- Überprüfen Sie verdächtige oder riskante Anfragen telefonisch. Wenn Sie beispielsweise von Ihrem CEO per E-Mail aufgefordert werden, die persönlichen Gesundheitsdaten einer Person zu senden, rufen Sie diese Person an oder senden Sie eine Chat-Nachricht, um die Anfrage zu bestätigen.
- Wenn ein Unternehmen Sie auffordert, Ihr Passwort zu ändern, verwenden Sie nicht den Link in der E-Mail-Benachrichtigung. Rufen Sie stattdessen direkt die Website des Unternehmens auf und ändern Sie von dort aus Ihr Passwort.
- Unter keinen Umständen sollten Sie Ihr Passwort, Ihre Sozialversicherungsnummer oder Ihre Kreditkartendaten an jemanden senden, der sich in einer E-Mail befindet.
- Klicken Sie nicht auf Links in E-Mails, die keinen anderen Text oder Informationen enthalten.
"Wenn sich die Verteidigung verbessert, verbessern sich auch die Angriffe", sagte Pollard. "Ich denke, wir werden gezielter Spear-Phishing- und Walfangkampagnen sehen. Wir werden auch einen Anstieg von Social-Media-Phishing und Betrug feststellen. Dieser Bereich ist aus Sicherheitsgründen nicht so ausgereift wie die E-Mail-Sicherheit."
Egal wie vorsichtig Sie auch sein mögen, Angriffe werden leider verstärkt und intelligenter. Sie können alles in Ihrer Macht Stehende tun, um sich und Ihre Mitarbeiter zu schulen, Sie können eine Phishing-Abwehr aufbauen, die auf neuen Technologien basiert, und Sie können alle möglichen Vorsichtsmaßnahmen treffen. Aber, wie Pollard bemerkte, "dauert es nur einen schlechten Tag, einen Fehlklick oder einen überstürzten Benutzer, der versucht, einen Posteingang aufzuräumen, um zu einer Katastrophe zu führen."
