IT-Sicherheit

Was ist eigentlich Phishing?

Eine gute Phishing-Mail kann auf den ersten Blick täuschend echt wirken. Gelingt es einem Angreifer das Opfer zu täuschen, gelangt er je nach Ziel des Angriffs an Firmeninterna bzw. Anmeldeinformationen.

Die Kommunikation in der digitalen Geschäftswelt ist ohne die E-Mail kaum noch vorstellbar. Innerhalb kürzester Zeit können digitale Briefe samt Anhang von einem Ende der Welt zum anderen transportiert werden, wodurch ein effizienter und globaler Austausch von Informationen ermöglicht wird. Jedoch können diese Vorteile auch für bösartige Zwecke missbraucht werden:

Phishing in der Geschäftswelt

Da in der heutigen Zeit das Empfangen und Versenden von E-Mails schon fest im Arbeitsalltag vieler Menschen verankert ist, stellen Mitarbeiter oder gar Führungspositionen in Unternehmen besonders attraktive Phishing-Ziele dar. Gelingt es einem Angreifer das Opfer zu täuschen, gelangt er je nach Ziel des Angriffs an Firmeninterna bzw. Anmeldeinformationen des Opfers oder kann gar das System der Zielperson übernehmen und somit in das interne Netzwerk vordringen.

Die Angreifer haben hierbei meist eine finanzielle Motivation, in manchen Fällen steht aber auch das bloße Schädigen eines Unternehmens im Vordergrund. Durch das Einschleusen von sogenannter Ransomware, nach einem erfolgreichen Angriff der Zugriff auf das System der Zielperson gewährt, verschlüsselt der Angreifer das Dateisystem und fordert anschließend Lösegeld für das Entschlüsseln der Daten. In Szenarien, wo der Angreifer Anmeldeinformationen des Opfers oder Firmeninterna erlangen konnte, werden diese meist für weitere Angriffe verwendet oder an Dritte weiterverkauft.

Phishing Simulationen

Durch realitätsnahe Simulationen von Phishing-Angriffen können wir Ihnen bei der Erfassung des aktuellen Sicherheitsniveaus der menschlichen Komponente Ihres Unternehmens helfen.

mehr erfahren

Die Merkmale einer Phishing-Mail

Eine gute Phishing-Mail kann auf den ersten Blick täuschend echt wirken und das Opfer zum Klick des Links motivieren, bevor die Authentizität der Mail überhaupt angezweifelt werden konnte. Allerdings gibt es einige Gesichtspunkte, unter denen die Authentizität einer empfangenen E-Mail ohne viel Aufwand ausgewertet werden kann.

Ein Merkmal hierfür ist die Adresse des Absenders. Meist ist die Absenderadresse entweder eine auffällig fremde Adresse oder sie unterscheidet sich im Domänenteil nur ganz subtil von vertrauenswürdigen Webseiten durch beispielsweise optisch-ähnliche Buchstaben. Versierte Angreifer versuchen allerdings das Opfer auch durch gefälschte Absendernamen von der verwendeten Absenderadresse abzulenken oder nutzen DNS-Fehlkonfigurationen aus, um auch die Absenderadresse fälschen zu können, ohne dass die Mail als Spam gefiltert bzw. markiert wird.

Ein weiteres Merkmal ist die Aufbereitung des Inhaltes der Mail. Werden beispielsweise merkwürdige Formatierungen, veraltete Logos oder eine andere Sprache ohne ersichtlichen Grund verwendet, kann dies auf einen möglichen Phishing-Versuch hindeuten.

Das ausschlaggebendste Merkmal ist allerdings der Inhalt der empfangenen Mail. Wird beispielsweise dazu aufgefordert, dass man einen nachstehenden Link öffnet und sich dort anmeldet, um etwas zu erledigen oder eine Datei heruntergeladen und ausgeführt werden soll, dann kann dies häufig auf einen möglichen Betrugsversuch hindeuten. Hier sollte zunächst durch Maus-Hovern über dem Link geprüft werden, auf welche Seite dieser Link wirklich verweist bzw. die Legitimität der angehängten Dateien überprüft werden.

Angriffsszenarien

Ein verbreitetes Angriffsszenario ist das sogenannte „Credential Harvesting“, bei welchem ein Angreifer die Login-Seite eines bekannten bzw. im Unternehmen verwendeten Dienstes klont und selbst im Internet hostet. In der Mail wird dann der Link zu der geklonten Seite, entlang der Aufforderung sich aus Gründen erneut bei dem Dienst anzumelden, geschickt. Das Ziel hierbei ist es, dass das Phishing-Opfer seine Anmeldeinformationen auf der geklonten Seite eingibt, welche beim Login-Versuch an den Angreifer geschickt werden, statt den Benutzer einzuloggen. Um den Täuschungsversuch zu verschleiern, wird das Opfer nach Übermittlung der Anmeldeinformationen auf die echte Login-Seite des jeweiligen Dienstes weitergeleitet, damit der nächste Anmeldeversuch gelingt und kein Misstrauen geweckt wird.

Ein weiteres, sehr verbreitetes Angriffsszenario sind bösartige Mailanhänge. Angreifer verbreiten hier meist Microsoft Office-Dateien, welche über Makros automatisch Schadcode auf dem System des Opfers ausführen können. Das Ziel dieses Angriffsszenarios ist es, Zugriff auf das System des Phishing-Opfers über den ausgeführten Schadcode zu erhalten. In aktuellen Versionen von Office-Produkten werden die Markos allerdings standardmäßig deaktiviert und erfordern, dass der Benutzer sie explizit über einen Klick auf den Knopf in der Warnung aktiviert. Um das Opfer zu diesem Schritt zu bringen, täuschen Angreifer beispielsweise durch ausgedachte Kompatibilitätsprobleme oder ähnlichem vor, dass das Aktivieren der Makros für die Bearbeitung bzw. Anschaubarkeit der Datei notwendig sei. Außerdem erschweren Anti-Viren-Programme die erfolgreiche Ausführung des Schadcodes, in dem das Makro vor der Ausführung geblockt wird, falls bösartige Signaturen erkannt werden. Allerdings kann das Makro auch als sogenannter „Stager“ fungieren, welcher den Schadcode erst von einem Zielserver herunterlädt und anschließend auf dem System ausführt, wodurch Anti-Viren-Programme den ausgeführten Schadcode schwerer erkennen und blockieren können.

Schutzmaßnahmen vor Phishing-Angriffen

Wie zuvor erwähnt, können Angreifer DNS-Fehlkonfigurationen ausnutzen, damit Mails mit gefälschter Absenderadresse trotzdem zugestellt und nicht von Spam-Filtern gefiltert oder markiert werden. Die DNS-Einträge um eine Domäne vor solchen Tricks sind „Sender Policy Framework“ (SPF), „DomainKeys Identified Mail“ (DKIM) und „Domain-based Message Authentication Reporting and Conformance“ (DMARC). Alle drei DNS-Einträge werden als TXT-Eintrag angelegt und können in Kombination die Authentizität und Integrität der verschickten und empfangenen Mails gewährleisten und ermöglichen eine automatisierte Filterung von Mails, die den in den Einträgen definierten Regeln widersprechen. Darüber hinaus können solche Vorfälle auch zeitgleich an eine hinterlegte Mailadresse gemeldet werden. Eine weitere technische Maßnahme für den Schutz vor Phishing-Angriffen sind Anti-Viren-Programme und Endpoint-Detection-and-Response (EDR) Lösungen, wodurch die Ausführung von Schadcode auf den Clientsystemen verhindert oder zumindest erschwert werden kann. Außerdem können so rechtzeitig weitere, gezielte Maßnahmen zum Schutz eingeleitet werden, sollten Alarm-Meldungen ausgelöst werden.

Der wichtigste Schutz vor Phishing-Angriffen liegt allerdings in der Verantwortung des Endnutzers. Besonders im Arbeitsalltag sollten Mails stets mit Weitsicht und einem gesunden Maß an Misstrauen behandelt werden. Außerdem ist es hilfreich, Verdacht auf aktuelle Phishing-Angriffe an Kollegen zu kommunizieren und beispielsweise über eine Rundmail oder den „Flurfunk“ Aufmerksamkeit und Awareness schaffen. Komplementär dazu können durch gezielte Awareness-Schulungen und Phishing-Simulationen die Sicherheit des gesamten Unternehmens erheblich aufgefrischt und verbessert werden.

Ihre Reise mit OHB Digital Services

Nutzen Sie das Wissen aus der Raumfahrt für Ihr Business. OHB Digital Services GmbH ist seit vielen Jahren ein verlässlicher Partner für sichere & innovative IT-Lösungen. Wir sind Teil eines der erfolgreichsten Raumfahrt- und Technologieunternehmen in Europa. Mit unseren Produkten und Services unterstützen wir Sie u.a. bei der Digitalisierung Ihrer Unternehmensprozesse entlang der Wertschöpfungskette und bei allen sicherheitsrelevanten Fragen. Kontaktieren Sie uns gerne.