Phishing entwickelt sich ständig weiter
Neue Wege, menschliche Verhaltensweisen auszunutzen
Phishing nutzt, wie jede Art von Cyberangriff, das schwächste Glied aus. Im Gegensatz zu vielen anderen Angriffen werden beim Phishing jedoch eher menschliche Verhaltensweisen als technische Schwachstellen ausgenutzt. Ob Sie nun eine Reise buchen, auf eine Zoom-Einladung antworten, oder einfach nur Ihre E-Mails überprüfen — jeder, der online ist, ist ein Ziel.
Wie im jüngsten Bericht zu Phishing-Bedrohungen beschrieben, der auf Daten von etwa 13 Milliarden E-Mails basiert, konzentrieren sich Angreifer darauf, authentisch zu erscheinen: Sie versuchen, sich als die Marken auszugeben, die wir kennen und schätzen, um das Vertrauen in normale geschäftliche Interaktionen auszunutzen.
Angreifer sind unerbittlich geworden, wenn es darum geht, authentisch aussehende Nachrichten zu erstellen, um die übliche E-Mail-Sicherheit zu umgehen. Im Folgenden sind einige wichtige Trends zu den spezifischen Taktiken aufgeführt, die sie anwenden, sowie Strategien, mit denen Unternehmen verhindern können, dass diese Taktiken zu einem Datenverstoß führen.
Klicken Sie nicht hier, dort – oder sonst wo
Betrügerische Links sind die Nummer 1 unter den Phishing-Bedrohungen – sie kommen in 35,6 % der entdeckten Bedrohungen vor.Da der Anzeigetext für einen Link (Hypertext) in HTML beliebig eingestellt werden kann, können Angreifer eine URL so aussehen lassen, als ob sie auf eine harmlose Website verweist, obwohl sie in Wirklichkeit schädlich ist.
Die meisten Unternehmen haben irgendeine Form von Schulung zum Thema Cybersicherheit eingeführt, um ihre Nutzenden daran zu erinnern, auf Links in verdächtigen Arbeits-E-Mails zu achten. Allerdings werfen die Angreifer ihre Phishing-Köder zunehmend in Kanäle, in denen die Nutzenden weniger vorsichtig sind, wo sie klicken.
Bei einem als „Multi-Channel“-Phishing bezeichneten Ansatz beginnen die Angriffe möglicherweise mit einer E-Mail, werden dann aber über SMS, Instant Messaging, soziale Medien, Cloud-Collaboration-Dienste und andere mit dem Internet verbundene Tools fortgesetzt, die normalerweise nicht durch Anti-Phishing-Kontrollen geschützt sind.
Eine Multi-Channel-Phishing-Kampagne war beispielsweise der vielbeachtete „0ktapus“-Angriff, der mehr als 130 Organisationen ins Visier nahm. Einzelpersonen erhielten Textnachrichten, die sie auf eine Phishing-Website weiterleiteten, die sich als der beliebte Single-Sign-On-Dienst (SSO) Okta ausgab. Letztendlich wurden die Anmeldedaten von fast 10.000 Konten gestohlen.
Im Rahmen einer anderen Kampagne, die auf mehrere Kommunikationskanäle abzielte, phishten Angreifer einen Mitarbeitenden von Activision und stahlen dann vertrauliche Daten über die internen Slack-Kanäle des Unternehmens.
Eine von Cloudflare in Auftrag gegebene und von Forrester Consulting* durchgeführte weltweite Umfrage ergab:
89 % der Sicherheitsverantwortlichen sorgen sich um die Bedrohung durch Multi-Kanal-Phishing.
8 von 10 berichteten von der Exposition ihres Unternehmens über mehrere Kanäle hinweg, wie IM/Cloud Collaboration-/Produktivitätstools, Mobile/SMS und Social Media.
Dennoch ist nur einer von vier Befragten der Meinung, dass sein Unternehmen vollständig auf Phishing-Bedrohungen über verschiedene Kanäle vorbereitet ist.
Angreifer verwenden nach wie vor Links, weil selbst die am besten „geschulten“ Mitarbeitenden (und Sicherheitslösungen) schädliche Links nicht immer zu 100 % erkennen können.Schon ein einziger Nutzender, der auf einen falschen Link klickt, kann zum Diebstahl von Zugangsdaten, Malware und erheblichen finanziellen Verlusten führen.
Das bringt uns zu einem weiteren wichtigen Phishing-Trend: Bösartige E-Mails, die Dienste umgehen (oder sogar nutzen), die die Identität des Absenders authentifizieren sollen.
Angreifer „bestehen“ Sicherheitskontrollen
Phisher geben sich als jedes bekannte Unternehmen oder jede Marke aus, um Sie zum Klicken zu bewegen. Den Untersuchungen zufolge gaben sich die Angreifer als fast 1.000 verschiedene Unternehmen aus. Microsoft und andere Marken, mit denen Menschen häufig interagieren, um ihre Arbeit zu erledigen, wie Salesforce, Box und Zoom, führten die Liste an.
Diese Taktik, die als Markennachahmung bekannt ist, wird mit einer breiten Palette von Techniken durchgeführt, darunter:
Spoofing von Anzeigenamen, bei dem der Anzeigename des Absenders in den sichtbaren E-Mail-Headern einen bekannten oder legitimen Markennamen enthält.
Domain-Imitation oderDomain-Spoofing, bei dem der Angreifer eine Domain registriert, die der Domain der imitierten Marke ähnlichsieht, diese aber zum Versenden von Phishing-Nachrichten verwendet.
Neu registrierte Domains, die noch nicht als bösartig eingestuft wurden. (Bei der 0ktapus-Kampagne nutzten die Angreifer eine Domain, die weniger als eine Stunde vor dem Angriff registriert worden war).
E-Mail-Authentifizierungsstandards (SPF, DKIM und DMARC) werden oft als wichtiger Schutz gegen die Nachahmung von Marken angeführt. Diese Methoden haben jedoch ihre Grenzen. Tatsächlich ergab die Untersuchung, dass die Mehrheit, nämlich 89 %, der E-Mail-Bedrohungen SPF-, DKIM- und/oder DMARC-Prüfungen „bestanden“.
Hierfür kann es viele Ursachen geben. So haben Universitätsforscher kürzlich Schwachstellen in der E-Mail-Weiterleitung beschrieben, die es Angreifern ermöglichen könnten, die E-Mail-Authentifizierung von Microsoft Outlook auszunutzen.
Zu den weiteren Einschränkungen der E-Mail-Authentifizierung gehören:
Fehlende Überprüfung des Inhalts: Genau wie beim Versand eines Briefes per Einschreiben stellt die E-Mail-Authentifizierung die Zustellung sicher; sie prüft nicht, ob der Inhalt einer Nachricht schädliche URLs, Anhänge oder Nutzlasten enthält.
Begrenzter Schutz vor ähnlichen Domains: Die E-Mail-Authentifizierung warnt Sie nicht vor einem ordnungsgemäß registrierten ähnlichen oder verwandten Domainnamen; z. B. eine Nachricht, die von name@examp1e.com anstatt von name@example.com gesendet wird.
Komplexität der Konfiguration und laufende Wartung: Wenn Ihre Konfiguration zu strikt ist, werden legitime E-Mails abgewiesen oder als Spam markiert. Wenn sie zu lax ist, könnte Ihre Domain für E-Mail-Spoofing und Phishing missbraucht werden.
Phishing ist zu dynamisch, um „sicheren“ Absendern zu vertrauen
An der Tatsache, dass selbst die E-Mail-Authentifizierung die versuchte Nachahmung von Marken nicht unterbinden kann, erkennt man klar, dass sich die Angreifer ständig anpassen und ihre Vorgehensweise verändern. Waren es kürzlich noch betrügerische Nachrichten über COVID-19 (die WHO war im letzten Jahr die am zweithäufigsten nachgeahmte Organisation), so sind es und heute Betrügereien bei der Rückzahlung von Studentenkrediten. Welche Inhalte könnten die Phishing-Kampagnen von morgen haben?
Die große Herausforderung besteht darin, dass die kostspieligsten Phishing-Angriffe sehr gezielt und in geringem Umfang erfolgen. Sie werden von reaktiven sicheren E-Mail-Gateways (SEGs), die nach „bekannten“ Bedrohungen suchen, nicht leicht erkannt.
So ist beispielsweise die Übernahme geschäftlicher E-Mail-Konten (BEC, eine Art von Social-Engineering-Angriff, der keine schädlichen Anhänge oder Malware enthält) auf einen bestimmten Empfänger in einem Unternehmen zugeschnitten. Der Angreifer kann sich als jemand ausgeben, dem das beabsichtigte Opfer regelmäßig Nachrichten schickt, oder der Angreifer kann einen bestehenden, legitimen E-Mail-Thread „kapern“.
BEC hat Unternehmen und Privatpersonen weltweit 50 Milliarden Dollar gekostet; die BEC-Verluste übertreffen inzwischen sogar die durch Ransomware verursachten finanziellen Verluste. Hier sind einige Beispiele, die zeigen, wie Angreifer zunächst ein tiefes Verständnis der Arbeitsabläufe des Opfers erlangten (und wem es vertraute), um diese BEC-Kampagnen erfolgreich zu starten:
Angreifer haben die E-Mails des Leiters eines öffentlichen Schulsystems im US-Bundesstaat Connecticut und dessen Zulieferer überwacht und sich dann als diese ausgegeben, um Anfang des Jahres mehr als 6 Millionen USD zu stehlen. (Mehr über diese komplexe Form von BEC, auch bekannt als Übernahme der E-Mail-Konten von Anbietern bzw. Lieferanten oder Supply-Chain-Phishing, erfahren Sie hier).
Mit einer Reihe von BEC-Methoden wurden in den USA staatliche Medicaid-Programme, Medicare Administrative Contractors und private Krankenversicherungen dazu gebracht, mehr als 4,7 Millionen USD an die Angreifer zu überweisen, anstatt auf die Bankkonten der betreffenden Krankenhäuser.
2022 gaben sich Angreifer als vier (nichtexistierende) Unternehmen aus und ergaunerten bei einem Lebensmittelhersteller Lieferungen im Wert von 600.000 USD. Diese Art von Vorfällen hat sich so stark verbreitet, dass das FBI, das US-Landwirtschaftsministerium (USDA) und die Food and Drug Administration (FDA) eine gemeinsame Empfehlung für Unternehmen herausgegeben haben, „um BEC-gestützte Produktdiebstähle zu verhindern, zu erkennen und darauf zu reagieren“.(Gestohlene oder „gefälschte“ Lebensmittel kosten die Weltwirtschaft schätzungsweise bis zu 40 Milliarden USD pro Jahr.)
Spezifische Phishing-Kampagnen können eine traditionelle SEG überlisten. Vermutlich schrieben Forrester-Analysten deswegen in einem Blogbeitrag über Angreifer, die eine Barracuda Email Security Gateway-Schwachstelle ausnutzten: „2023 hat angerufen. Es will seine E-Mail-Sicherheitsanwendungen nicht zurück.“
Forrester empfiehlt, die E-Mail-Sicherheit stattdessen in die Cloud zu verlagern, und zwar aus mehreren Gründen, darunter:
Schnellere, automatisch bereitgestellte Updates
Einfachere Architektur
Skalierbarkeit, um der Nachfrage gerecht zu werden
Keine Hardware, die ausgetauscht oder gewartet werden muss
Einfachere Abhilfe und Abwehr
Das Ersetzen eines SEG durch Cloud-E-Mail-Sicherheit ist der wichtigste Schritt, um Phishing zu verhindern. Aber so wie Angreifer mehrere Kanäle nutzen, um ihre Kampagnen zu starten, sollten auch Unternehmen sicherstellen, dass sie sich auf mehreren Ebenen gegen Phishing schützen.
Mehrschichtiger Phishing-Schutz ist ein Muss, vor allem, wenn die geräteübergreifende Verwendung von Messaging-Apps, Cloud-Collaboration- und SaaS-Anwendungen Risiken bergen. Jess Burn, Senior Analyst bei Forrester, stellt fest: „Die für den E-Mail-Posteingang entwickelten Schutzmaßnahmen müssen sich auf diese Umgebungen und die täglichen Arbeitsabläufe Ihrer Mitarbeitenden erstrecken.“ Sie ergänzt: „Wenn Sie sich für einen E-Mail-Sicherheitsanbieter für Ihr Unternehmen entscheiden oder den Vertrag verlängern, sollten Sie sich darüber im Klaren sein, welcher Anbieter einen umfassenderen Ansatz für den Schutz aller Arbeitsabläufe Ihrer Mitarbeitenden anbietet bzw. diesem Priorität einräumt.“
Die Wirksamkeit eines mehrschichtigen Ansatzes zur Abwehr künftiger Bedrohungen
Selbst wenn eine Nachricht die E-Mail-Authentifizierung bestanden hat, von einer seriösen Domain stammt und von einem „bekannten“ Absender kommt, sollte man ihr nicht per se vertrauen. Wer einen potenziellen Phishing-Angriff verhindern möchte, benötigt ein Zero-Trust-Sicherheitsmodell. Dieses stellt sicher, dass der gesamte Traffic des Nutzenden überprüft, gefiltert, inspiziert und von Internet-Bedrohungen isoliert wird.
Cloudflare Zero Trust schützt umfassend vor Phishing-Bedrohungen und beinhaltet:
Integration der cloudbasierten E-Mail-Sicherheit mit der Remote-Browserisolierung (RBI), um verdächtige E-Mail-Links automatisch zu isolieren; dies verhindert, dass die Geräte der Nutzenden bösartigen Webinhalten ausgesetzt werden.
Proaktives Scannen des Internets nach der Infrastruktur, Quellen und Übermittlungsmechanismen der Angreifer, um Phishing-Infrastrukturen bereits Tage vor dem Start von Phishing-Kampagnen zu identifizieren und zu stoppen.
Erkennung von Hostnamen, die speziell für das Phishing legitimer Marken erstellt wurden; dies funktioniert durch Sichtung der Billionen täglicher DNS-Anfragen.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
*Quelle: Forrester Opportunity Snapshot: A Custom Study Commissioned by Cloudflare, „Leverage Zero Trust to Combat Multichannel Phishing Threats,“ Mai 2023.
Vertiefung des Themas:
Wenn Sie mehr über moderne Phishing-Bedrohungen erfahren möchten, die gängige E-Mail-Sicherheitsmechanismen austricksen, lesen Sie den aktuellen Bericht zu Phishing-Bedrohungen!
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Angreifer geben sich als Marken aus, denen wir vertrauen, und wirken authentisch
Die Entwicklung zum Multi-Channel-Phishing
Warum die Umstellung auf Cloud-E-Mail-Sicherheit der wichtigste Schritt ist, um Phishing zu verhindern
Welche zentrale Rolle Zero Trust beim Schutz des modernen Unternehmens spielt