IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Katze und FischBei einer Studie klickten mehr als die Hälfte der Mail-Empfänger einen von unbekannten Absendern verschickten Link an. Obwohl sie sich der Gefahren wie Infektion mit einem Virus bewusst waren. Der Hauptgrund: Neugier. Und an der geht bekanntlich die Katze zugrunde.

Diese oder unzählige ähnlich lautende Mails kennt jeder:

Betreff: DRINGEND ERLEDIGEN!

„Ihr Passwort läuft in Kürze ab. Bitte ändern sie es umgehend, um unsere Seite weiter zu besuchen können. Klicken Sie hier zum aktualisieren

Vielen Dank
help desk”

So bedrohlich sieht die Mail ja eigentlich gar nicht aus. Zumindest nicht bedrohlich genug, um nicht aus Neugier einmal auf „hier“ zu klicken. Allerdings kann ein solcher Klick Sie und damit auch Ihr ganzes Unternehmen zum Opfer einer Phishing-Attacke werden lassen. Und leider ist die Wahrscheinlichkeit hierfür ziemlich hoch, bedenkt man, dass 91 Prozent aller Cyber-Attacken auf Phishing-Mails zurückgehen.

Sie wären übrigens auch nicht der Einzige, den Phishing trifft: Bei einer Studie der Universität Nürnberg-Erlangen mit 1.700 Teilnehmern klickten mehr als die Hälfte der Mail-Empfänger einen von unbekannten Absendern verschickten Link an. Und das, obwohl sie sich der Gefahren wie Infektion mit einem Virus bewusst waren. Der Hauptgrund: Neugier. Und an der geht bekanntlich die Katze zugrunde.

Die Anatomie einer Phishing-Mail

Eine Phishing-Mail ist der klassische Wolf im Schafspelz: In industriellem Maßstab von Kriminellen programmiert, ist Täuschung ihre einzige Absicht. Phishing-Mails imitieren Nachrichten, die wir aus dem täglichen Mailverkehr gewöhnt sind und verstecken sich hinter der Maske „Aufmerksamkeit“. In den meisten Fällen konzentrieren sie sich auf Themen, die sofortiges Handeln durch den Nutzer einfordern.

Das geschieht aus zwei Gründen. Zum einen findet eine dringende Mail beim Nutzer prinzipiell sofort Beachtung. Eine verzögerte Bearbeitung könnte dazu führen, dass eine als wichtig erkannte Nachricht unter neueren Mails begraben wird und in der täglichen Flut an Mitteilungen verloren geht.

Zum anderen schalten dringende Mails einige natürliche Filtermechanismen in unserem Gehirn aus. Denn wir neigen zu einem "aufgabenorientierten" Ansatz, der kritische Denkmuster und Analysen übergeht, wenn wir uns mit einer dringenden Botschaft beschäftigen.

Content-Strategie 

Bei einem erfolgreichen "Social Engineering"-Angriff, also auch von Phishing-Mails, spricht die Nachricht die Person auf der Empfängerseite unmittelbar an und involviert sie. Die berühmt-berüchtigte Mail eines Prinzen aus Nigeria, die in den neunziger Jahren kursierte, war ein erstes Beispiel einer solchen Content-Strategie. Diese Massenmail, die Tausende von Menschen erreichte, versprach dem Empfänger einen enormen Gewinn, wenn er bereit wäre, eine gewisse Geldmenge zu transferieren – inklusive der Aussicht auf Millionen von Dollar, die nur noch verschoben werden müssten.

Diese und andere Maschen nach der gleichen Bauart appellieren an die Emotionen des Empfängers. Im Mittelpunkt steht zuallererst der Wunsch des Opfers nach Geld. Daneben nutzt die Mail den natürlichen Instinkt des Menschen aus, anderen zu helfen. Die Kombination aus beidem war seinerzeit ein starker Motivator, der sich für manch einen Empfänger jedoch als teuer erwies.

Im Kopf des Opfers überlagert sein Vertrauen in die emotionale Komponente sein Misstrauen gegenüber einem unbekannten Absender oder einer zweifelhaften Informationsquelle. Wir neigen mittlerweile dazu, über diese Art der Betrügerei Witze zu reißen. In Wirklichkeit wird die damals verwendete Content-Strategie mit ihrem spezifischen Motivations-Trigger noch heute in Phishing-Mails implementiert. Das Erstaunliche ist: In vielen Fällen funktioniert sie noch immer. Nach wie vor sind wir für einen Angriff anfällig, wenn unser Wunsch oder unser Instinkt eine Geschichte zu glauben einfach nur stark genug ist, um unsere Wachsamkeit zu überwinden. Letztlich ist dies der Grund, um als Einzelperson und Arbeitgeber aufmerksam und im Verteidigungsmodus zu bleiben. Kennt man seine eigene Verwundbarkeit, lassen sich diese Angriffe als das wahrnehmen, was sie wirklich sind: einfach nur ein Betrug.

Wie lässt es sich verhindern, Opfer von Phishing zu werden?

Die erste und beste Verteidigungslinie gegen Phishing besteht darin, die Handlungskompetenz der Nutzer zu stärken und sie für die Gefahren zu sensibilisieren. Es gilt der Merksatz: Wenn ein Nutzer eine Phishing-Mail als Betrug erkennt und es vermeiden kann auf Links zu klicken, sinkt die Chance deutlich, dass persönliche oder professionelle Informationen kompromittiert werden. 

Zugegeben, das ist einfacher gesagt als getan. Denn Betrüger senden diese Nachrichten von so genannten copycat-Adressen. Das sind Absender oder Programme, denen der einzelne Nutzer eigentlich vertraut: Google Docs, der eigene Administrator, die Personalabteilung, der CEO, ein Freund, Ehepartner oder Kind. Vor dieser Situation wird es immer wichtiger, Mitarbeiter in ihren Analysefähigkeiten zu schulen: Sie müssen selbst in der Lage sein, die Botschaft hinter der Mail zu deuten und nach Hinweisen zu suchen, dass die Dinge nicht so sein können, wie es uns die Mail glauben lässt. Auch müssen sie sich „trauen“, sich an den Absender zu wenden und die Echtheit der Mail bestätigen zu lassen, bevor sie sie öffnen. Sind sie dazu nicht in der Lage, gilt ein zweiter Merksatz: Sind Zweifel angebracht, besser erst einmal löschen.

Hier ein paar weitere Tipps für Mitarbeiter und Management zum Schutz vor einem Phishing-Angriff:

  • Seien wir ehrlich: Es ist höchst unwahrscheinlich, dass Ihnen jemand über das Internet Geld schicken wird. Die Mehrzahl dieser „get-rich-quick“-Systeme wurden programmiert, um an persönliche Informationen zu gelangen. Ein zusätzliches Einkommen ist da nicht zu erwarten.
  • Authentische rechtliche Dokumente oder Hinweise werden in der Regel nicht per Mail verschickt. Vorsicht ist angeraten!
  • Vertrauenswürdige Quellen bitten ihre Nutzer nicht per Mail-Link, Passwörter zu ändern oder sensible persönliche Informationen zu senden. Dazu gehören beispielsweise Anfragen zur Sozialversicherungsnummer, Bankinformationen, Steuerformulare, etc. Vor einer Übermittlung von Details sollten sich Kunden oder Mitglieder mit der betreffenden Institution in Verbindung setzen. Wird die Echtheit der Nachricht nicht bestätigt, kann der Empfänger von einer Phishing-Mail ausgehen.
  • Nur weil eine Mail ein vertrautes Logo trägt, bedeutet das noch lange nicht, dass die Nachricht von dieser Firma versandt wurde. Ist die Schriftart verschwommen, das Bild pixelig oder enthält der Text Tippfehler, handelt es sich vermutlich um eine Phishing-Attacke.
  • Auch ein sehr genauer Blick auf die Mailadresse oder hinterlegte Links lohnt sich. Häufig verändert der Angreifer URLs existierender Firmen oder Institutionen minimal. Der Empfänger überliest diese Änderungen allzu leicht. Die Absender einer Phishing-Mail machen sich dabei eine Eigenschaft des menschlichen Gehirns zunutze, die solche minimalen Änderungen an einem Text von sich aus versucht auszugleichen – sozusagen eine eingebaute Autokorrektur.

Eine gesunde Portion Skepsis gehört also heute in der Welt von Mail-Betrug, Phishing und kompromittierten Daten dazu, um einen Klick später nicht zu bereuen. Werfen wir noch einmal einen Blick auf die Mail zu Beginn des Artikels. Finden Sie darin etwas, das „phishy“ aussieht?

Betreff: DRINGEND ERLEDIGEN!

„Ihr Passwort läuft in Kürze ab. Bitte ändern sie es umgehend, um unsere Seite weiter zu besuchen können. Klicken Sie hier zum aktualisieren

Vielen Dank
help desk”

Auffallend ist, dass die Betreffzeile ein falsches Gefühl der Dringlichkeit vermittelt. Auch enthält der Nachrichtentext Fehler in der Interpunktion und Orthografie. Letztlich würde Ihr offizieller Help Desk eine professionellere Mail-Signatur nutzen.

Dies sind nur kleine und unscheinbare Hinweise – können aber den Unterschied ausmachen. Sehen Sie es einmal so: Phishing-Attacken verursachen jährlich Schäden von über 1 Milliarde US-Dollar – Tendenz steigend. Diese enormen Profite sind nur möglich, weil die Neugier über den Verstand siegt. Ein geschultes Auge und ein sensibler Umgang mit Mails dagegen helfen, solche Angriffe ins Leere laufen zu lassen. Ganz nach dem Grundsatz: Sind Zweifel angebracht, besser erst einmal löschen.

Phil RichardsPhil Richards ist Chief Information Security Officer bei Ivanti. Mit mehr als 20 Jahren Arbeitserfahrung in verschiedenen Security-Positionen verfügt er sowohl über die thematische Breite als auch Tiefe, sicherheitsrelevante Fragen einschätzen zu können.

www.ivanti.de
 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet