Spear Phishing, Whaling und Co.: Die Angriffe werden ausgefeilter

2020-09-28
Autor:
Jan Tissler

Die Zeiten, in denen gefälschte Login-Seiten und E-Mails leicht zu erkennen waren, sind längst vorbei. «Phishing»-Attacken werden immer raffinierter. Manche zielen gar nur noch auf eine einzige Person. Wie sie funktionieren und was gegen sie hilft, erklären wir in diesem Beitrag.

Beim Phishing «angeln» Kriminelle nach wertvollen Daten wie Passwörtern oder Kreditkarten-Informationen. Das kann nicht zuletzt ein erstes Einfallstor für einen grösseren Angriff sein.

Den Opfern wird dazu beispielsweise eine E-Mail geschickt, die von einer bekannten Organisation wie ihrem Mobilfunkanbieter zu kommen scheint. Ein Link leitet sie auf eine Website, weil angeblich bestimmte Angaben dringend bestätigt werden müssen. Tatsächlich aber wird die Seite von Kriminellen betrieben und die sammeln auf diese Weise nach und nach ihre virtuelle Beute ein.

Ein anderes Ziel kann es sein, eine Schadsoftware einzuschleusen, die die gewünschten Informationen liefert. Diese Malware kann sich als harmloser E-Mail-Anhang tarnen oder als Download in einem Cloudspeicher.

Wie Phishing-Attacken ihre Opfer austricksen

In der Anfangszeit waren solche E-Mails und Websites noch recht gut erkennbar – zumindest für geübte Augen. Inzwischen aber werden sie immer ausgefeilter und kommen sogar mit vertrauenerweckenden Details wie dem Vorhängeschloss in der Adressleiste daher.

Manche Methoden sind selbst für Fachleute schwer zu erkennen. JavaScript lässt sich beispielsweise nutzen, um eine andere URL in der Browserleiste vorzutäuschen. Oder es wird eine Schwachstelle der Originalseite ausgenutzt: In dem Fall landen die Opfer tatsächlich auf einer legitimen Seite, die aber ihre Eingaben an die Angreifer weitergibt.

Zudem sprechen wir heute nicht mehr allein über E-Mails und Websites. Angriffsversuche erfolgen ebenso per Textnachricht oder über Telefonanrufe mit gefälschter Rufnummernanzeige («Call ID Spoofing»). Über passende Tools lassen sich heute sogar Stimmen täuschend echt nachahmen.

Generell setzen Phishing-Attacken regelmässig auf bestimmte Psychotricks:

  • Vertrauen wecken über bekannte Absender (Personen, Organisationen). Die Absenderadresse einer E-Mail lässt sich leicht fälschen. Das gilt selbst dann, wenn moderne Sicherungsmassnahmen zum Einsatz kommen, wie auf der Sicherheits-Konferenz „Black Hat“ demonstriert wurde. Auch werden bisweilen Details und Informationen aus anderen Quellen eingestreut: Die stammen beispielsweise aus Social Networks oder aber aus anderen Hacks und Datenlecks.
  • Druck ausüben über angeblich schwerwiegende Konsequenzen, wenn nicht schnell reagiert wird. Kommt die Mail dann augenscheinlich vom Vorgesetzten, überstimmt das Stresszentrum schnell den gesunden Menschenverstand.
  • Neugier auslösen, indem brisante Informationen in einem Anhang versprochen werden.
  • Hilfsbereitschaft ausnutzen, wenn ein Kunde oder Kollege angeblich Unterstützung braucht.

«Spear Phishing»: personalisierte Attacken

Nicht zuletzt hat sich Phishing weiter spezialisiert. Beim «Spear Phishing» richtet sich der Angriff gezielt gegen ein bestimmtes Unternehmen oder sogar eine einzelne Person. Von «Whaling» wird gesprochen, wenn dabei ein hochrangiger Manager im Visier steht. Und wie Experimente nahelegen, können die sogar anfälliger für solche Attacken sein. Zugleich sind diese Angriffe schwer zu erkennen, weil sie oftmals langfristig und detailliert vorbereitet werden.

Inzwischen gibt es darüber hinaus Dienste, um Spear Phishing im grossen Massstab umzusetzen. Dazu werden beispielsweise automatisiert oder halb-automatisiert Informationen im Web gesammelt, um die Nachrichten für die jeweilige Person zu personalisieren.

Die Konsquenzen aus erfolgreichen Angriffen können sehr unterschiedlich sein, wie diese drei Beispiele zeigen:

  • Telefonanrufe angeblicher Twitter-Kollegen brachten Mitarbeiter im Juli 2020 dazu, Zugangsdaten für interne Werkzeuge herauszugeben. Etliche hochrangige Profile wurden in der Folge übernommen und für einen Bitcoin-Scam genutzt.
  • Die Hackergruppe «Evilnum» nutzt die strengen Regeln rund um die Überprüfung neuer Kunden im KYC-Prozess aus, um Fintechs Schadsoftware unterzuschieben. Dabei enthalten die eingereichten Dokumente jeweils nur Teile der Schadsoftware, um nicht von Sicherheitstools entdeckt zu werden. Ist die Malware erfolgreich installiert, kann sie unter anderem Login-Daten abgreifen.
  • Mitarbeiter der Leoni AG aus Nürnberg wurden 2016 mithilfe gefälschter Dokumente und Identitäten sowie «elektronischer Kommunikationswege» dazu gebracht, Gelder auf ein anderes Konto umzuleiten. Schaden: 40 Millionen Euro.

Gegenmassnahmen

Eine der wichtigsten Schutzmassnahmen gegen solche Angriffe: Bewusstsein schaffen. Wie sich in Studien zeigt, sind solche Manipulationen deutlich weniger erfolgreich, wenn das Gegenüber die Maschen kennt.

Dabei wird empfohlen, nicht einfach nur das Wissen zu vermitteln. Vielmehr sollten alle in der Organisation das Erkennen solcher Angriffsmuster eintrainieren, z.B. durch eine Simulation.

Wichtig sind zudem klare Abläufe: Wer darf welche Informationen wann an wen herausgeben? Denn natürlich möchte man einem Kunden oder Kollegen in Not helfen. Aber dabei muss trotzdem sichergestellt sein, dass die anfragende Person tatsächlich dazu berechtigt ist. Eventuell ist für bestimmte Handlungen immer eine zweite Person notwendig. Oder eine Bestätigung über einen weiteren Kanal ist einzuholen.

Und natürlich braucht die Organisation eine solide Grundsicherung. Dazu gehört beispielsweise Zwei-Faktor-Authentisierung: Neben einem Passwort benötigt man für das Login dann beispielsweise noch Zugriff auf sein Smartphone. Auch Kleinigkeiten können helfen, wie externe E-Mails deutlich als solche zu kennzeichnen.