Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Katze und FischBei einer Studie klickten mehr als die Hälfte der Mail-Empfänger einen von unbekannten Absendern verschickten Link an. Obwohl sie sich der Gefahren wie Infektion mit einem Virus bewusst waren. Der Hauptgrund: Neugier. Und an der geht bekanntlich die Katze zugrunde.

Diese oder unzählige ähnlich lautende Mails kennt jeder:

Betreff: DRINGEND ERLEDIGEN!

„Ihr Passwort läuft in Kürze ab. Bitte ändern sie es umgehend, um unsere Seite weiter zu besuchen können. Klicken Sie hier zum aktualisieren

Vielen Dank
help desk”

So bedrohlich sieht die Mail ja eigentlich gar nicht aus. Zumindest nicht bedrohlich genug, um nicht aus Neugier einmal auf „hier“ zu klicken. Allerdings kann ein solcher Klick Sie und damit auch Ihr ganzes Unternehmen zum Opfer einer Phishing-Attacke werden lassen. Und leider ist die Wahrscheinlichkeit hierfür ziemlich hoch, bedenkt man, dass 91 Prozent aller Cyber-Attacken auf Phishing-Mails zurückgehen.

Sie wären übrigens auch nicht der Einzige, den Phishing trifft: Bei einer Studie der Universität Nürnberg-Erlangen mit 1.700 Teilnehmern klickten mehr als die Hälfte der Mail-Empfänger einen von unbekannten Absendern verschickten Link an. Und das, obwohl sie sich der Gefahren wie Infektion mit einem Virus bewusst waren. Der Hauptgrund: Neugier. Und an der geht bekanntlich die Katze zugrunde.

Die Anatomie einer Phishing-Mail

Eine Phishing-Mail ist der klassische Wolf im Schafspelz: In industriellem Maßstab von Kriminellen programmiert, ist Täuschung ihre einzige Absicht. Phishing-Mails imitieren Nachrichten, die wir aus dem täglichen Mailverkehr gewöhnt sind und verstecken sich hinter der Maske „Aufmerksamkeit“. In den meisten Fällen konzentrieren sie sich auf Themen, die sofortiges Handeln durch den Nutzer einfordern.

Das geschieht aus zwei Gründen. Zum einen findet eine dringende Mail beim Nutzer prinzipiell sofort Beachtung. Eine verzögerte Bearbeitung könnte dazu führen, dass eine als wichtig erkannte Nachricht unter neueren Mails begraben wird und in der täglichen Flut an Mitteilungen verloren geht.

Zum anderen schalten dringende Mails einige natürliche Filtermechanismen in unserem Gehirn aus. Denn wir neigen zu einem "aufgabenorientierten" Ansatz, der kritische Denkmuster und Analysen übergeht, wenn wir uns mit einer dringenden Botschaft beschäftigen.

Content-Strategie 

Bei einem erfolgreichen "Social Engineering"-Angriff, also auch von Phishing-Mails, spricht die Nachricht die Person auf der Empfängerseite unmittelbar an und involviert sie. Die berühmt-berüchtigte Mail eines Prinzen aus Nigeria, die in den neunziger Jahren kursierte, war ein erstes Beispiel einer solchen Content-Strategie. Diese Massenmail, die Tausende von Menschen erreichte, versprach dem Empfänger einen enormen Gewinn, wenn er bereit wäre, eine gewisse Geldmenge zu transferieren – inklusive der Aussicht auf Millionen von Dollar, die nur noch verschoben werden müssten.

Diese und andere Maschen nach der gleichen Bauart appellieren an die Emotionen des Empfängers. Im Mittelpunkt steht zuallererst der Wunsch des Opfers nach Geld. Daneben nutzt die Mail den natürlichen Instinkt des Menschen aus, anderen zu helfen. Die Kombination aus beidem war seinerzeit ein starker Motivator, der sich für manch einen Empfänger jedoch als teuer erwies.

Im Kopf des Opfers überlagert sein Vertrauen in die emotionale Komponente sein Misstrauen gegenüber einem unbekannten Absender oder einer zweifelhaften Informationsquelle. Wir neigen mittlerweile dazu, über diese Art der Betrügerei Witze zu reißen. In Wirklichkeit wird die damals verwendete Content-Strategie mit ihrem spezifischen Motivations-Trigger noch heute in Phishing-Mails implementiert. Das Erstaunliche ist: In vielen Fällen funktioniert sie noch immer. Nach wie vor sind wir für einen Angriff anfällig, wenn unser Wunsch oder unser Instinkt eine Geschichte zu glauben einfach nur stark genug ist, um unsere Wachsamkeit zu überwinden. Letztlich ist dies der Grund, um als Einzelperson und Arbeitgeber aufmerksam und im Verteidigungsmodus zu bleiben. Kennt man seine eigene Verwundbarkeit, lassen sich diese Angriffe als das wahrnehmen, was sie wirklich sind: einfach nur ein Betrug.

Wie lässt es sich verhindern, Opfer von Phishing zu werden?

Die erste und beste Verteidigungslinie gegen Phishing besteht darin, die Handlungskompetenz der Nutzer zu stärken und sie für die Gefahren zu sensibilisieren. Es gilt der Merksatz: Wenn ein Nutzer eine Phishing-Mail als Betrug erkennt und es vermeiden kann auf Links zu klicken, sinkt die Chance deutlich, dass persönliche oder professionelle Informationen kompromittiert werden. 

Zugegeben, das ist einfacher gesagt als getan. Denn Betrüger senden diese Nachrichten von so genannten copycat-Adressen. Das sind Absender oder Programme, denen der einzelne Nutzer eigentlich vertraut: Google Docs, der eigene Administrator, die Personalabteilung, der CEO, ein Freund, Ehepartner oder Kind. Vor dieser Situation wird es immer wichtiger, Mitarbeiter in ihren Analysefähigkeiten zu schulen: Sie müssen selbst in der Lage sein, die Botschaft hinter der Mail zu deuten und nach Hinweisen zu suchen, dass die Dinge nicht so sein können, wie es uns die Mail glauben lässt. Auch müssen sie sich „trauen“, sich an den Absender zu wenden und die Echtheit der Mail bestätigen zu lassen, bevor sie sie öffnen. Sind sie dazu nicht in der Lage, gilt ein zweiter Merksatz: Sind Zweifel angebracht, besser erst einmal löschen.

Hier ein paar weitere Tipps für Mitarbeiter und Management zum Schutz vor einem Phishing-Angriff:

  • Seien wir ehrlich: Es ist höchst unwahrscheinlich, dass Ihnen jemand über das Internet Geld schicken wird. Die Mehrzahl dieser „get-rich-quick“-Systeme wurden programmiert, um an persönliche Informationen zu gelangen. Ein zusätzliches Einkommen ist da nicht zu erwarten.
  • Authentische rechtliche Dokumente oder Hinweise werden in der Regel nicht per Mail verschickt. Vorsicht ist angeraten!
  • Vertrauenswürdige Quellen bitten ihre Nutzer nicht per Mail-Link, Passwörter zu ändern oder sensible persönliche Informationen zu senden. Dazu gehören beispielsweise Anfragen zur Sozialversicherungsnummer, Bankinformationen, Steuerformulare, etc. Vor einer Übermittlung von Details sollten sich Kunden oder Mitglieder mit der betreffenden Institution in Verbindung setzen. Wird die Echtheit der Nachricht nicht bestätigt, kann der Empfänger von einer Phishing-Mail ausgehen.
  • Nur weil eine Mail ein vertrautes Logo trägt, bedeutet das noch lange nicht, dass die Nachricht von dieser Firma versandt wurde. Ist die Schriftart verschwommen, das Bild pixelig oder enthält der Text Tippfehler, handelt es sich vermutlich um eine Phishing-Attacke.
  • Auch ein sehr genauer Blick auf die Mailadresse oder hinterlegte Links lohnt sich. Häufig verändert der Angreifer URLs existierender Firmen oder Institutionen minimal. Der Empfänger überliest diese Änderungen allzu leicht. Die Absender einer Phishing-Mail machen sich dabei eine Eigenschaft des menschlichen Gehirns zunutze, die solche minimalen Änderungen an einem Text von sich aus versucht auszugleichen – sozusagen eine eingebaute Autokorrektur.

Eine gesunde Portion Skepsis gehört also heute in der Welt von Mail-Betrug, Phishing und kompromittierten Daten dazu, um einen Klick später nicht zu bereuen. Werfen wir noch einmal einen Blick auf die Mail zu Beginn des Artikels. Finden Sie darin etwas, das „phishy“ aussieht?

Betreff: DRINGEND ERLEDIGEN!

„Ihr Passwort läuft in Kürze ab. Bitte ändern sie es umgehend, um unsere Seite weiter zu besuchen können. Klicken Sie hier zum aktualisieren

Vielen Dank
help desk”

Auffallend ist, dass die Betreffzeile ein falsches Gefühl der Dringlichkeit vermittelt. Auch enthält der Nachrichtentext Fehler in der Interpunktion und Orthografie. Letztlich würde Ihr offizieller Help Desk eine professionellere Mail-Signatur nutzen.

Dies sind nur kleine und unscheinbare Hinweise – können aber den Unterschied ausmachen. Sehen Sie es einmal so: Phishing-Attacken verursachen jährlich Schäden von über 1 Milliarde US-Dollar – Tendenz steigend. Diese enormen Profite sind nur möglich, weil die Neugier über den Verstand siegt. Ein geschultes Auge und ein sensibler Umgang mit Mails dagegen helfen, solche Angriffe ins Leere laufen zu lassen. Ganz nach dem Grundsatz: Sind Zweifel angebracht, besser erst einmal löschen.

Phil RichardsPhil Richards ist Chief Information Security Officer bei Ivanti. Mit mehr als 20 Jahren Arbeitserfahrung in verschiedenen Security-Positionen verfügt er sowohl über die thematische Breite als auch Tiefe, sicherheitsrelevante Fragen einschätzen zu können.

www.ivanti.de
 

GRID LIST
Bill Evans

NATO-Vorstoß in Sachen offensiver Cyber-Kriegsführung

Die NATO soll gerade dabei sein, Leitlinien zur Cyber-Kriegsführung für die Militärs zu…
Tb W190 H80 Crop Int B5b0ff15e508b5ed0e077aec201a86db

Wie eine IT-Security-Architektur die Digitalisierung vereinfacht

Die aktuelle OWASP Top 10 Liste, die vor kurzem veröffentlicht wurde, klärt über…
WLAN Cyber Crime

Vorsichtsmaßnahmen nach WPA2-Sicherheitslücke

Avast warnt vor den Konsequenzen der WPA2-Sicherheitslücke KRACK. Unternehmen und…
Tb W190 H80 Crop Int Fdef4a5c2ffd2a8f9afde14b4aefbad1

Wer soll sich so viele Passwörter merken?

Kein Mbit fließt, ohne dass erneut eine Sicherheitslücke in den Schlagzeilen ist. Von…
Cloud Security

Learnings aus dem Cyberangriff bei Uber

Beim Fahrdienst-Vermittler Uber erlangten Cyberangreifer im Oktober 2016 Zugriff auf eine…
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security