Was sind die häufigsten Arten von Phishing-Angriffen und wie können Sie sich vor ihnen schützen?“

Zunächst ist es wichtig zu betonen, dass Luxemburg, wie die meisten Länder Europas, keinen umfassenden Überblick über das tatsächliche Volumen und die Art der Phishing-Angriffe hat. Dies liegt vor allem daran, dass die Vorfälle nur teilweise aufgedeckt werden und nur eine begrenzte Anzahl davon tatsächlich den verschiedenen öffentlichen Stellen gemeldet wird. Darüber hinaus deckt der Begriff „Phishing“ ein breites Spektrum an kriminellen Aktivitäten ab, die von mindestens drei Variablen abhängen:

Wer ist das Opfer?

• Ist es eine Privatperson? Ein kleines Unternehmen, z. B. ein mittelständisches Unternehmen? Ein Großunternehmen? Ein staatlicher Rechtsträger? usw.

Wer ist der Täter?

• Handelt es sich um eine einzelne und möglicherweise unbedarfte Person?
• Handelt es sich um eine einfallsreiche kriminelle Organisation?
• Handelt es sich um eine regierungsnahe Gruppe?

Was beabsichtigt der Täter?

• Ist er/sie auf einen schnellen „Raubzug“ aus, der in diesem Fall nicht wirklich zielgerichtet und höchstwahrscheinlich stark automatisiert sein wird?
• Geht es darum, einen bedeutenden finanziellen Gewinn von einem bestimmten Unternehmen zu erzielen?
• Geht es darum, sich Zugang zu verschaffen und anschließend einem bestimmten Unternehmen oder einer Kategorie von Unternehmen zu schaden oder sie zu bestehlen? Je nach diesen Dimensionen werden sich die Vorgehensweise und die Hartnäckigkeit des Angreifers stark unterscheiden. Dies wird erhebliche Auswirkungen auf die Art der Sicherheitsmaßnahmen und die entsprechenden Ressourcen haben, die eingesetzt werden müssen.

Es ist jedoch möglich, ein gewisses Gefühl für die Verbreitung von Phishing-Angriffen in Luxemburg zu bekommen, indem man auf das vom NC3 (https://nc3.lu/pages/observatory.html) geschaffene Observatorium für Cybersicherheitsbedrohungen zugreift, das in seinem Bulletin vierteljährlich einige Einblicke in die Trends gibt. Das NC3-Observatorium wird in Kürze ein spezielles Bulletin über die Analyse von SPAMBEE-Berichten herausgeben, in dem die von Luxemburgern gemeldeten Trends zu Phishing- und Spamming-Angriffen dargestellt werden. Einige ereignisspezifische Daten sind auch über die offenen Statistiken des CIRCL, dem CERT der Wirtschaft, verfügbar (https://www.circl.lu/opendata/statistics/#ticketing-system-statistics).

Je nach Zielobjektgibt es unterschiedliche Arten von Auflagen, auch wenn wir einige allgemeingültige Anforderungen hervorheben können.

Handelt es sich bei dem Ziel um eine Privatperson oder ein nicht reguliertes Unternehmen, werden meist „bewährte Praktiken“ empfohlen. Ziel dabei ist es, die Früherkennung durch Sensibilisierung zu verbessern. Nutzer von E-Mails oder sozialen Netzwerken sollten sich auf einige Punkte konzentrieren.

Gibt es etwas Ungewöhnliches an der Nachricht, wenn sie von einem bekannten Absender stammt?

• Entspricht der Inhalt dem üblichen Stil und den Themen, die von diesem Absender kommen?
• Ist die tatsächliche Absenderadresse dieselbe wie sonst auch?
• Sind an die Nachricht ungewöhnliche Dateien angehängt (PDF, Office-Dokumente, Bilder usw.)?
• Schafft die Nachricht ein ungewöhnliches Gefühl der Dringlichkeit?
• Fordert die Nachricht dazu auf, auf einen Link zu klicken, der nicht zu dem Unternehmen gehört, das die Nachricht angeblich gesendet hat?

Verschiedene Arten von Sensibilisierungskampagnen auf nationaler oder organisatorischer Ebene können zur Verringerung der Anfälligkeit für Social-Engineering-Techniken, die von Angreifern in der Regel eingesetzt werden, um ihre Opfer mit Phishing-Angriffen zu ködern, beitragen. Einige Sicherheitsunternehmen bieten ihren Kunden gefälschte Phishing-Kampagnen an, damit die Mitarbeiter ein besseres Gefühl dafür bekommen, was es bedeutet, ein Ziel dieser zu sein, und damit sie Erfahrung mit der Erkennung der häufigsten Phishing-Tricks sammeln können.

Um den Absender einer Nachricht besser authentifizieren zu können, können Unternehmen, die über genügend Ressourcen verfügen, alle oder einige der folgenden Standards umsetzen:

• DKIM (DomainKeys Identified Mail) - https://dkim.org/
• SPF (Sender Policy Framework)
• DMARC (Domain-based Message Authentication, Reporting & Conformance) - https://dmarc.org/

Ihr Hauptzweck besteht darin, die Widerstandsfähigkeit des ursprünglichen E-Mail-Protokolls gegen Fälschungen und Impersonation zu verbessern.

Eine weitere Reihe von Maßnahmen soll das Risiko, diesen Angriffen zum Opfer zu fallen, verringern, indem sie die Ausnutzung der bei Phishing-Angriffen erlangten Daten erschwert.

Dies geschieht meist durch die Verwendung eines zweiten Authentifizierungsfaktors, der als stark gilt, weil er nur für eine Transaktion verwendet werden kann und über einen Kanal verfügbar ist, der für den „Phisher“ nur schwer oder gar nicht zu kontrollieren ist.

Der „Token“, den eine Bank ihren Kunden zur Verfügung stellt, ist ein Beispiel für einen solchen zweiten Authentifizierungsfaktor.

Eine weitere Möglichkeit, die Zahl der Opfer zu verringern, besteht darin, identifizierte Phishing-Websites zu entfernen. Dies geschieht meist durch Unternehmen, die den Host-Providern melden, welche Seiten betrügerisch sind. Die Nutzer können auch dazu beitragen, indem sie URLs verdächtiger Websites an einen Dienst wie „URL Abuse“ (https://www.circl.lu/urlabuse/) melden. Das Melden von E-Mails über SPAMBEE (spambee.lu) ist eine weitere Möglichkeit für die Endbenutzer, um sicherzustellen, dass verdächtig aussehende Seiten überprüft und bei Bestätigung von Betrug entfernt werden.

Tools wie SPAMBEE, aber auch die Browser selbst, sind in der Lage, die Nutzer zu warnen, wenn sie eine bereits als Phishing-Seite eingestufte Webseite aufrufen. Eine visuelle Warnung wird es ihnen ermöglichen, nicht mit dem Zugriff aud diese Seite fortzufahren.

Für regulierte Unternehmen wird es von einer Regulierungsbehörde festgelegte Verpflichtungen geben, bestimmte Sicherheitsmechanismen zu verwenden oder umzusetzen, diese werde werden in der Regel unter den zuvor genannten ausgewählt. In Luxemburg könnte ein Beispiel das „Circulaire CSSF 15/603“ sein, das den Zahlungsanbietern vorschreibt, bei Internetzahlungen eine starke Kundenauthentifizierung einzusetzen. Ein weiterer wichtiger Punkt in Bezug auf regulierte Unternehmen ist, dass sie sich regelmäßig, im Auftrag der Regulierungsbehörde, Prüfungen der operativen Risiken unterziehen müssen, was bedeutet, dass sie einen soliden Rahmen für das Risikomanagement einführen müssen. Dieser sollte auch internetbezogene Tätigkeiten umfassen. Dies führt in der Regel dazu, dass angemessene Sicherheitskontrollen die Gefährdung ihrer Kunden durch Angriffe wie Phishing verringern.

Ursprünglich erfolgten die meisten Phishing-Angriffe per E-Mail, und das „Spear-Phishing“ war eine dieser Methoden. Das Hauptmerkmal von „Spear-Phishing“ ist nicht der verwendete Kommunikationskanal, sondern die Art des Ziels, das es definiert. Dieser Angriff zielt in der Tat auf eine bestimmte Person oder eine Kategorie von Personen in einem bestimmten Unternehmen ab. In einem Unternehmen kann ein Spear-Phishing-Angriff beispielsweise auf die Buchhaltungsabteilung abzielen, um mindestens einen der Buchhalter dazu zu verleiten, Zugangsdaten zu übermitteln, mit denen später betrügerische Banküberweisungen veranlasst werden können. Wie jeder gezielte Angriff erfordert auch das Spear-Phishing vor dem eigentlichen Angriff eine gewisse Aufklärungsarbeit, um die möglichen Zielpersonen, ihre Interessen, ihre mögliche Motivation oder andere persönliche Informationen zu ermitteln, die dazu beitragen, Vertrauen aufzubauen und sie zu manipulieren.

Whaling ist ein Angriff, der in der Regel auf einen wichtigen Entscheidungsträger in einem Unternehmen abzielt. Das kann zum Beispiel der CEO oder der CFO eines Unternehmens sein. Es handelt sich dabei um eine spezielle Art von „Business Email Compromise“ (BEC), die eine erhebliche Vorarbeit der Angreifer erfordert, um den besten Ansatz zu finden, um die Opfer entweder zur Preisgabe vertraulicher Informationen oder zur Installation von Malware auf ihrem Computer zu verleiten.

Der Angler-Angriff besteht darin, sich in einem sozialen Netzwerk als Kundendienstmitarbeiter eines bekannten Unternehmens auszugeben, um sich beschwerende Nutzer des besagten Dienstes dazu zu bringen, persönliche Informationen und möglicherweise Zugangsdaten preiszugeben. Er beruht auf der Tatsache, dass die Kunden wissen, dass Unternehmen oft schneller auf Probleme reagieren, die in den sozialen Medien aufgeworfen werden, da dies sichtbarer ist und zu Problemen für den Ruf der Marke führen kann, wenn nicht reagiert wird.

Bei einem Smishing-Angriff handelt es sich um einen Phishing-Betrug, der SMS als Kommunikationskanal für die Übermittlung schädlicher Inhalte nutzt. Da es sich um ein schriftliches und asynchrones Kommunikationsmittel handelt, ähnelt es stark den traditionellen Phishing-Angriffen per E-Mail. Es war tatsächlich eine der ersten „Innovationen“ der Phishing-Banden, als sie erkannten, dass Angriffe per E-Mail aufgrund der positiven Auswirkungen von Sensibilisierungsschulungen immer weniger erfolgreich waren.

Vishing ist ein Phishing-Angriff, der über einen Sprachkanal erfolgt. Das kann ein Telefonanruf sein oder ein Anruf über eines der zahlreichen Kommunikationsmittel oder Nachrichtendienste per „Voice over IP“ (VoIP). Er kann gezielt oder „blind“ erfolgen. Die dahinter stehenden Social-Engineering-Mechanismen sind die gleichen wie bei jeder anderen Art von Phishing. Es ist nicht ungewöhnlich, dass ausgeklügelte Angriffe, wie z. B. „BEC“, mit E-Mails beginnen und dann zu direkten Anrufen übergehen.