»Phishing ist ein Hackerangriff, der üblicherweise versucht, über E-Mail einen Benutzer in der Organisation, im Unternehmen, davon zu überzeugen, dass es sich um eine normale E-Mail handelt«, erklärt Aaron Hartel, kaufmännischer Geschäftsführer Trufflepig Forensics. Versteckt in dieser Mail ist dann aber ein Link, der den Empfänger auf eine gefälschte Webseite führt. Sie entspricht optisch der Seite, die der Benutzer beim Klicken auf den Link erwartet hat. Anstelle der vertrauten Seite sitzen hier aber am anderen Ende Hacker, die jegliche Daten, die der Benutzer eingibt, abgreifen können.
Typische Phishing-Angriffe sind beispielsweise auch Mail-Anhänge, die Schadcode beinhalten. »Ganz klassisch sind Office-Dateien, die auch noch ein Makro beinhalten. Wenn man draufklickt, wird das ausgeführt. Damit hat man ein Code-Execution, ein ausführbares Programm, auf dem Computer, das die Schadsoftware ausführen kann«, warnt Hartel. Für derartige Phishing-Kampagnen müssen Betrüger meist noch nicht einmal viel Geld ausgeben: Häufig werden Standard-Kampagnen verwendet, zum Beispiel eine vermeintliche Anmeldeseite der Bank. Per E-Mail wird dann auf eine vermeintliche Unstimmigkeit des Kontos hingewiesen und das Opfer dazu gebracht, sich einzuloggen. Ohne es zu merken, werden so den Betrügern die persönlichen Bankendaten ganz einfach zugespielt.
Neben den Standard-Kampagnen, nutzen Hacker auch Spear-Phishing, welches eigens auf das anvisierte Opfer zugeschnitten ist. »Spear-Phishing ist ein gezielter Angriff auf ein Individuum, auf einen Menschen, meist unter Zuhilfenahme von öffentlich zugänglichen Informationen«, erklärt Hartel. Im Vorfeld des Angriffs versuchen die Betrüger beispielsweise über Soziale Medien herauszufinden, welche Orte oder Einrichtungen das Opfer kürzlich besucht hat. Per Mail schicken sie dann eine Nachricht vom kürzlich besuchten Restaurant, dem gebuchten Hotel oder ähnlichem, mit der Aufforderung, Geld dorthin zu überweisen.
Auch der tatsächliche Arbeitgeber kann als vermeintlicher Absender einer solchen Mail benutzt werden: »Das können auch Mails sein, in denen ein gefakter Vorgesetzter zum Beispiel einen Angestellten auffordert, Geld auf dieses oder jenes Konto zu überweisen.« Die Betrüger nutzen hierfür scheinbar logische Begründungen, berichtet Hartel. Ein Szenario könnte lauten:
Ich kann jetzt hier nicht den normalen Dienstweg gehen. Es muss super schnell gehen und auch nur du weißt davon. Also mach das bitte in zwei Stunden und erzähl keinem was davon. Wir unterhalten uns dann in einer Woche noch mal darüber oder in ein paar Tagen, wenn ich wieder da bin.
Die Hacker versuchen so den Mitarbeiter unter Zeitdruck zu setzen und ihm damit weniger Zeit für logische Überlegungen oder Nachfragen zu bieten. Je nach Kampagne kann auch das bewusste Erzeugen von Angst oder Neugier Teil der Strategie sein, das Opfer zu manipulieren und zum Handeln zu bringen.
Die Zahl von (Spear)-Phishing-Angriffen wächst rapide, Kampagnen werden kontinuierlich verbessert und verfeinert - und damit immer mehr Unternehmen Opfer derartiger Betrugsmaschen. »Wenn man darauf geschult wurde, kann man solche Mails üblicherweise relativ gut erkennen«, erklärt Hartel. Und gerade das ist besonders wichtig: »Phishing-Mails können der initiale Entrypoint für den Hacker sein, über den er das erste Mal den Fuß in die Tür des Unternehmens bekommt und von dem aus er sich dann über Lateral Movement in der Infrastruktur des Unternehmens immer mehr Privilegien sichern kann. Am Ende ist der Hacker dann in der Lage, einen verschlüsselten Ransomware-Angriff, eine Erpressersoftware, zu starten.«
Trufflepig Forensics ist es deshalb ein Anliegen, in Ihrem Unternehmen ein Bewusstsein für Phishing-Angriffe zu schaffen. Das kann auf zwei Wegen erreicht werden: Eine Möglichkeit ist die klassische Simulation –wir entwickeln einen auf Ihr Unternehmen individuell zugeschnittenen Plan, schicken Phishing-E-Mails an die Mitarbeiter und versuchen sie zur vermeintlichen Eingabe von Daten oder Anklicken von Links zu bewegen. Wenn der Mitarbeiter auf eine der Maschen hereinfällt, wird er darüber aufgeklärt, dass ein echter Hacker mit seinem Phishing-Angriff an dieser Stelle erfolgreich gewesen wäre. »Und das ist eigentlich auch das, wo der größte Lerneffekt eintritt«, fasst Hartel zusammen.
Alternativ bietet Trufflepig Forensics auch Mitarbeiterschulungen an – auch verpflichtende Zertifizierungen wie der ISO 27001 verlangen im Übrigen eine Schulung der Angestellten in Sachen IT-Security. »Wir bieten Unternehmen an, die komplette Planung und Umsetzung von so einer Phishing-Awareness-Kampagne durchzuführen. Das heißt, wir konzipieren die Kampagne, die Simulation selbst, richten sie ein, führen sie durch und reporten die Ergebnisse«, erklärt Hartel.
Die Maßnahme kann, je nach Bedarf, auch nach den einzelnen Unternehmensbereichen unterteilt werden. »Zum Beispiel ist vielleicht das IT-Team schon ein wenig geschulter und deswegen ist die Quote der Mitarbeiter, die auf solche Phishing-Links klicken, dort geringer als im Marketing-Team, wo noch mehr Aufklärungsarbeit geleistet werden muss«, führt Hartel aus. »Das kann durch die Kampagne von Trufflepig Forensics sehr schnell herausgefunden werden und dann auch gezielt mit kontextspezifischen, und damit realistischeren E-Mails, für den jeweiligen Unternehmensbereich gezielt trainiert werden.«
Nach der Schulung sollen die Mitarbeiter ein geschärftes Bewusstsein für das Thema Phishing-Angriffe und seine verschiedenen Formen erlangt haben, mutmaßliche Angriffe leichter erkennen und somit im Umgang mit Phishing-Kampagnen insgesamt versierter werden. Ihr Unternehmen soll so auf lange Sicht insgesamt besser vor Phishing-Kampagnen geschützt sein.