Phishing Definition: Wie gehen Angreifer vor?
14. März 2018 | Allgeier CyRis
Phishing Definition
Phishing ist eine Form von Social Engineering. Dabei werden E-Mails, gefälschte Webseiten oder andere Kanäle verwendet, um vertrauliche Informationen einer Person oder eines Unternehmen zu erlangen.
Phishing Angriffe werden häufig über E-Mails ausgeführt. Angreifer versenden Nachrichten an Benutzer, die angeblich von einer Institution oder einem Unternehmen stammen, mit dem die Person Geschäfte tätigt. Das Ziel dieser Angriffe ist es, den Empfänger dazu zu verleiten, die gewünschte Aktion des Angreifers auszuführen. Beispielsweise die Eingabe von vertraulichen Informationen, die Ausführung einer Software oder das Besuchen einer bösartigen Webseite.
Phishing Definition gemäß Bundesamt für Sicherheit in der Informationstechnik (BSI):
Phishing ist ein Kunstwort aus “Passwort” und “Fishing” und bezeichnet Angriffe, bei denen Benutzern gezielt Passwörter, Kreditkartendaten oder andere vertrauliche Informationen entlockt werden.
Vorgehensweise beim Phishing
Allgemein
Beim Phishing werden häufig seriöse Webseiten von Banken oder Online-Dienstleistern nachgeahmt, um Zugangsdaten abzugreifen. Die Angriffe erfolgen oft über E-Mails. Teilweise verwenden die Angreifer auch andere Techniken, wie Direktnachrichten über soziale Netzwerke, SMS-Nachrichten oder Messenger-Dienste.
Eine typische Phishing Nachricht enthält eine Aufforderung, eine bestimmte Aktion auszuführen. “Klicken Sie auf den Link und ändern Sie Ihr Passwort” könnte beispielsweise solch eine Aufforderung sein. Um die Opfer zusätzlich einzuschüchtern, üben Angreifer Druck aus. Sie drohen, die Konten der Empfänger zu blockieren, falls diese die Anweisungen nicht befolgen.
Phishing Angriffe werden oft um wichtige Ereignisse, Feiertage und Jahrestage versendet oder nutzen die Aktualität von Nachrichten aus aller Welt aus, die sowohl wahr als auch fiktiv sein können.
Zielgerichtet
In der ersten Phase eines zielgerichteten Angriffs (Spear Phishing / Whaling) sammeln die Angreifer Hintergrundinformationen. Diese können Interessen, Aktivitäten sowie persönlicher und beruflicher Verlauf der Zielperson sein. Die Angreifer nutzen öffentliche Informationsquellen wie Xing, Facebook, Twitter, sowie Social Engineering Angriffe, um an diese Informationen zu gelangen. Nach dieser Phase haben die Angreifer detaillierte Auskünfte über die Zielperson. Sie kennen die Namen von Freunden und Angehörigen, Berufsbezeichnungen und E-Mail Adressen der Zielperson, sowie Informationen über Kollegen und wichtige Mitarbeiter im Unternehmen. Angreifer verwenden dieses Wissen, um glaubwürdige E-Mails zu erstellen.
Im nächsten Schritt erhält die Zielperson eine Nachricht, die anscheinend von einem Bekannten oder einer bekannten Organisation stammt. Die Nachricht beinhaltet einen Dateianhang mit Malware oder einen Link zur einer Webseite, die der Angreifer kontrolliert. Das Ziel der Angriffe ist Malware auf dem Gerät des Benutzers zu installieren oder über eine präparierte Webseite vertrauliche Informationen wie Benutzername und Passwort zu bekommen.
Häufig berichten die gefälschten E-Mails von angeblichen Systemausfällen oder Änderungen der Infrastruktur, sodass die Zielperson aufgefordert wird, persönliche Zugangsdaten neu einzugeben und zu bestätigen. Über einen Link in der E-Mail wird die Zielperson auf die gefälschte Webseite geleitet, um dort die Zugangsdaten abzugreifen.
Diese Phishing Mails sind schwer von authentischen Nachrichten zu unterscheiden. Sie enthalten Logos, Grafiken und Daten von Unternehmen und sehen somit täuschend echt aus. Die Links werden so dargestellt, als würden sie zum offiziellen Unternehmen führen. Die Verwendung von Subdomains und falsch geschriebenen URLs sind gängige Tricks der Angreifer.
Phishing Methoden
Im Laufe der Jahre hat sich Phishing zu einer bedeutenden Bedrohung entwickelt. Nicht nur Privatpersonen, sondern auch immer mehr Unternehmen sind davon betroffen. Phishing stellt neben Malware eine der größten Gefahren für Internetnutzer dar. Dabei setzen die Angreifer immer raffiniertere Methoden ein, um die Nutzer zu täuschen. Die häufig genutzten Methoden werden im Folgenden erläutert:
Was ist Spear Phishing?
Beim Spear Phishing (Spear engl. für Speer) handelt es sich um eine besondere Form von Phishing. Dieser Angriff zielt meist auf einzelne Mitarbeiter in Unternehmen ab und erfolgt häufig über eine E-Mail, die von einer vertrauenswürdigen Quelle zu stammen scheint. Die Angreifer gehen raffiniert vor und suchen den Empfänger sorgfältig aus. Da Spear Phishing Angriffe zielgerichtet auf Organisationen oder Personen abzielen, ist die Vorbereitung, aber auch die Wirksamkeit dieses Angriffs deutlich höher, als bei normalen Phishing Angriffen.
Was ist Whaling?
Eine wichtige Person wird gerne mal als “dicker Fisch” bezeichnet. Die Methode “Whaling” zielt darauf ab diese “dicken Fische” zu fangen. Der Begriff kommt aus dem Englischen und bedeutet ins deutsche übersetzt “Walfang”. Genau genommen ist ein Wal ein Säugetier und kein Fisch, jedoch hat sich dieser Begriff etabliert.
Whaling besitzt alle Merkmale von Phishing. Der Angriff richtet sich jedoch gegen bestimmte Zielpersonen wie ranghohe Manager, Administratoren oder wichtige Personen der Buchhaltung. Whaling erfordert im Vergleich zu Phishing zusätzliche Nachforschungen. Der Angreifer muss wissen, mit wem die Zielperson kommuniziert und welche Art von Diskussionen geführt werden. Angreifer fangen üblicherweise mit Social Engineering an, um Informationen über die Zielperson und das Unternehmen zu sammeln. Für die Durchführung des Angriffs verwenden die Angreifer meist E-Mails. Ein Beispiel für einen erfolgreichen Whaling Angriff ist Überweisungsbetrug, bei dem der Angreifer sich als CEO ausgibt und einen hohen Überweisungsbetrag veranlasst (auch CEO Fraud genannt). Der Angriff ist derzeit sehr populär und auch das Computer Emergency Response Team der Bundesverwaltung (CERT Bund) warnt davor.
Was ist Clone Phishing?
Clone Phishing ist eine Methode, die mit einer Kopie einer authentischen E-Mail oder Webseite vertrauliche Information abfängt oder Malware verteilt. Ein Angreifer erstellt eine nahezu identische Kopie einer Nachricht, die die Zielperson bereits in der Vergangenheit erhielt. Der Angreifer versendet diese Nachricht zum zweiten Mal an den Empfänger. Der Nachrichtentext sieht genauso aus wie die vorherige Nachricht und auch der Absender wurde nachgeahmt. Der Anhang wurde jedoch durch eine Schadsoftware ersetzt. Der Angreifer schreibt, dass er die Datei aktualisiert hat und den Empfänger somit zum Öffnen des nun schädlichen Anhangs verleitet.
Eine andere Variante ist die Bereitstellung einer geklonten Webseite mit einer gefälschten Domain, welche oftmals Schadsoftware enthält oder auf Phishing von Zugangsdaten abzielt.
Phishing Techniken
Es gibt eine Reihe verschiedener Phishing Techniken, um an persönliche Informationen von Benutzern zu gelangen. Mit fortschreitender Technologie werden auch die Techniken weiterentwickelt. Um Phishing zu verhindern, sollten Benutzer die verschiedenen Phishing Techniken kennen. Sehen wir uns einige dieser Techniken an:
Email Phishing
Die Angreifer versenden E-Mails mit identischem Inhalt an Tausende von Benutzern. Die Benutzer werden aufgefordert persönliche Informationen einzugeben. Angreifer verwenden diese Informationen anschließend für eigene Zwecke oder verkaufen die gesammelten Daten für illegale Aktivitäten. In den meisten Phishing Mails üben Angreifer zusätzlich Druck aus und drohen die Konten der Empfänger zu blockieren, falls diese der Aufforderung in der Phishing Mail nicht nachkommen.
Link Manipulation
Link Manipulation ist eine simple Technik beim Phishing. Ein Angreifer versendet eine E-Mail mit einem Link zu einer bösartigen Webseite an die Zielperson. Der Linktext zeigt eine legitime Webseite an. Ein Klick auf den Link lädt jedoch die bösartige Webseite des Angreifers. Diese Angriffe lassen sich jedoch erkennen, indem man mit der Maus über den Link fährt, ohne darauf zu klicken. Stimmt der Ziel-Link nicht mit dem angezeigten Link überein, handelt es sich meist um manipulierte Links und somit um Phishing.
Vishing (Voice Phishing)
Für diese Technik nutzen die Angreifer das Telefon. Typischerweise empfängt die Zielperson einen Anruf oder eine Sprachnachricht, die als Mitteilung eines Finanzinstituts getarnt ist. Der Empfänger soll dabei eine Nummer anrufen oder eine PIN eingeben. Die hinterlegte Nummer führt nicht zum Finanzinstitut sondern direkt zum Angreifer. Mehr zu Vishing …
Ein Beispiel: Derzeit rufen Angreifer als Supportmitarbeiter von großen Computerunternehmen an und drängen die Benutzer dazu, ein vermeintliches Sicherheitsproblem an Ihren Computern zu lösen. Diese Masche ist nicht neu, bereits in der Vergangenheit riefen angeblichen Service-Centern Benutzer an, um vorgegebene Probleme auf ihren Computern zu lösen. Dazu mussten die Benutzer ein Programm zur Fernsteuerung herunterladen und dem vermeintlichen Mitarbeiter Vollzugriff auf Ihren Computer geben – nach wenigen Minuten war der Rechner infiziert.
Smishing (SMS Phishing)
Diese Technik nutzt den Short Message Service (SMS). Mit einer Textnachricht versuchen die Angreifer eine Zielperson zu verleiten einen Link zu öffnen, der zu einer Phishing Seite führt.
Content Spoofing
Durch Content Spoofing werden Inhalte auf einer Webseite durch präparierte Inhalte ersetzt. Die Angreifer nutzen dazu Fehler auf Webseiten aus und binden eigenen Inhalt von einer anderen Ressource ein. Diese Technik ist für einen Benutzer nur schwer zu erkennen.
Suchmaschinen Phishing
Auch Suchmaschinen werden für Phishing Angriffe eingebunden. Suchmaschinen zeigen Werbung für Produkte an. Das versuchen Angreifer für sich auszunutzen. Sie erstellen Werbung mit einem günstigen Angebot, um die Benutzer auf eine Phishing Seite zu locken. Anschließend sammeln Angreifer die eingegebenen Daten wie Kontoinformationen oder Kreditkartennummern.
Malware
Angreifer nutzen Phishing, um Malware (Schadsoftware) zu verteilen. Normalerweise wird diese Malware als E-Mail Anhang versendet. Alternativ verstecken die Malware in einer legitimen Software und bieten diese zum kostenlosen Download auf verschiedenen Webseiten an.
Gefahr für Unternehmen
Phishing Mails sind insbesondere für Unternehmen eine enorme Gefahr. Der aktuellen Studie “Threat Landscape Survey 2017” zufolge, die im Auftrag des SANS Institutes durchgeführt wurde, stellen sowohl Mitarbeiter von Unternehmen als auch deren Geräte eines der Primärziele für Angreifer dar. Im Ergebnis der Studie wurde Phishing mit 72 Prozent von 263 befragten Sicherheitsexperten als die größte Sicherheitsbedrohung eingestuft. Die Unternehmen wurden in den letzten Jahren immer wieder mit Phishing konfrontiert. Die Angriffe richten sich immer öfter gegen einzelne Angestellte der Unternehmen. Die Angreifer nehmen dabei die Angestellten teilweise mit sehr präzisen Methoden ins Visier, beispielsweise mittels Spear Phishing.
Bei den Implikationen der Attacken für Unternehmen befindet sich Phishing vor Malware- und Spam-Angriffen und verursacht dementsprechend den größten Schaden. Rund 40 Prozent der befragten IT- und Sicherheitsexperten haben im Jahr 2017 Erfahrungen mit Phishingangriffen gemacht. Genau aus diesem Grund kommt der richtigen und regelmäßigen IT-Schulung der Angestellten eines Unternehmens eine äußerst wichtige Rolle zu, denn Experten zufolge wird die Gefahr, die von Phishing- und Spam-Attacken ausgeht, weiterhin zunehmen.
Layer8 ist die Plattform, um Mitarbeiter für Phishing und Security Awareness zu sensibilisieren. Verschiede Module wie Schulungs- oder Phishing-Module steigern die Achtsamkeit Ihrer Mitarbeiter und erhöhen somit die IT-Sicherheit in Ihrem Unternehmen.
Unser kostenloses Layer8 Phishing melden AddIn für Outlook ermöglicht es den Mitarbeitern die Header und Links einer E-Mail zu analysieren und verdächtige E-Mails an die zuständige Abteilung weiter zu leiten.