Evolution der Cyberkriminalität am Beispiel von Phishing
E-Mail_Spam_Phishing-Mails_synalis

Evolution der Cyberkriminalität am Beispiel von Phishing

Veröffentlicht am 27. Juni 2018 um 13:29 Uhr von Daniel Philips

Was ist Phishing? 

Das Wort „Phishing“ setzt sich aus den Begrifflichkeiten „Password“ und „Fishing“ zusammen und beschreibt dem Namen nach ein Verfahren, mit dem sich ein Angreifer unautorisierten Zugang zu Passwörtern oder anderen persönlichen Daten verschafft. Neben dem klassischen Ausspähen von Geheimnissen werden Phishing-Mails mittlerweile auch immer öfter für das Einschleusen von Schadsoftware genutzt. 

Die Phishing-Mail hat sich in den letzten 10 Jahren zu einem der beliebtesten Cyberangriff-Methoden entwickelt. Das liegt nicht zuletzt am Umstand, dass der „Faktor-Mensch“ bei diesem Angriff eine zentrale Rolle spielt und damit in der Regel leichter zu überwinden ist als ausgereifte Firewall- und Betriebssysteme. 

Wie hat sich die Bedrohung verändert? Phishing-Mails im Wandel 

Viele kennen noch die ersten Phishing-Mails:  Sie waren so eindeutig zu entlarven, dass jeder SPAM-Schutz sie fand. Gemäß des damit verbundenen Mottos „spray and pray“ galt es, möglichst viele Empfänger zu adressieren. Das Ziel: auch bei sehr geringer Erfolgsquote relevante Datenmengen zu erlangen. Schließlich steigt der Anteil an geöffneten Phishing-Mails mit der versandten Menge – die Masse macht’s also. 

Die Mails werden dem Corporate-Design großer Händler, Banken und Organisationen nachgebildet und wirken immer realistischer.

Aufgrund der stärkeren Sensibilisierung der Endanwender sowie des konsequenten Einsatzes von SPAM- und Malwareschutz verlor die klassische Phishing-Mail immer mehr an Bedeutung und erzwang damit ein Umdenken bei den Angreifern. Die Mails wurden bezüglich Aufbau, Absenderinformationen und Gestaltung deutlich realistischer aufbereitet und erhielten durch die Nachbildung des Corporate-Designs großer Händler, Banken und auch Organisationen eine erste Zielgruppenorientierung. Zwar wusste der Angreifer nicht, ob der Empfänger wirklich zum entsprechenden Kundenstamm zählte. War das allerdings der Fall, so wichen Vorsicht und Skepsis bei den Empfängern in der Regel schnell wieder. 

Wo stehen wir heute? Nichts ist, wie es scheint: Spear-Phishing  

Das heutige „Spear-Phishing“ bezeichnet einen zielgerichteten Angriff. Dabei werden auf Basis von Informationen aus sozialen Netzen und öffentlich verfügbaren Inhalten komplexe Betrugsszenarien entworfen. Das Scannen eingesetzter Schutzsysteme und Infrastrukturen ermöglicht es dem Angreifer, E-Mails mit Anhängen zu erzeugen, die für den eingesetzten SPAM- und Malwareschutz nicht mehr auffindbar sind.  

Auch Hyperlinks werden in diesem Zusammenhang wieder häufig benutzt: Mittels sozialer Netze, Webseiten und anderer Quellen kann meist schnell ausgemacht werden, wann ein entsprechender Mitarbeiter sich im Urlaub oder Außendienst befindet und durch den mobilen Zugriff in der Regel alle Schutzmaßnahmen auf Basis von Firewalls und IDS- / IPS-Systemen nicht funktionieren.  

Stellen Sie sich vor, Sie erhalten eine E-Mail von Ihrem CEO. Dieser teilt Ihnen mit, dass es noch ein Thema gibt, das im Zuge der anstehenden Hausmesse unbedingt aufgenommen werden muss. Er sagt, er übersende Ihnen die ausstehenden Infos separat. Anschließend empfangen Sie eine weitere E-Mail. Sie enthält einen Hyperlink zu einer Freigabe (zum Beispiel Dropbox) oder direkt ein Word-Dokument im Anhang, das Sie bedenkenlos, schon fast reflexartig öffnen. Der erste und schwierigste Schritt eines Cyberangriffs ist damit erfolgreich getan. Der so vollzogene (CEO-)Betrug ist zwar aufwändig, verspricht aber eine extrem hohe Erfolgsquote und entspricht der heutigen Realität.  

Phishing: Was kann man dagegen tun? 

Wenn klassische Maßnahmen gegen bestimmte Bedrohungen nicht mehr ausreichen, werden neue und zusätzliche Verfahren benötigt. Da aktuelle Angriffe in der Regel viele Faktoren und Schwachpunkte berücksichtigen, muss auch in der IT-Sicherheit ein Umdenken stattfinden: Es genügt nicht mehr, ein einzelnes neues System zu installieren oder eine Software zu aktualisieren. Vielmehr ist die Betrachtung eines jeden Schwachpunkts und die Ableitung geeigneter Maßnahmen eine Grundvoraussetzung, um sein Netzwerk vor aktuellen Cyberattacken zu schützen.

Beim hier beschriebenen Beispiel werden sowohl der Malwareschutz als auch die Firewall gezielt umgangen. Da der Virenschutz jede Datei auf einem System im Zuge der Bearbeitung in Echtzeit zu prüfen hat, muss dieses Verfahren sehr performant sein. Aus diesem Grund ist eine gezielte Untersuchung einer jeden einzelnen Datei gar nicht möglich. Stattdessen findet eine Prüfung der Datei statt, indem sie mit einer Liste bekannter Schadsoftware (Pattern-File) abgeglichen wird. Bei einem gezielten neuen Angriff werden allerdings auch neue Angriffsdateien erzeugt beziehungsweise vorhandene geändert: Dadurch kann der klassische Malwareschutz sie nicht erkennen, weil ihm die nötigen Abgleichdaten fehlen. 

Die Frage muss heißen: Wann werde ich Opfer einer Cyberattacke – nicht ob!

Moderne E-Mailsysteme bieten mittlerweile die Möglichkeit, Anhänge separat und umfassend vor der Zustellung an den Empfänger zu untersuchen. Da dies eine längere Zeit in Anspruch nimmt, wird die Mail mit einem Platzhalter bereits zugestellt und der Anhang nachgereicht. Der Schutz vor betrügerischen Links respektive dem Aufruf der dahinter liegenden Webseiten erfolgt (wenn überhaupt) durch Analysen der Firewallsysteme.  

Da Firewalls nicht so leicht zu überwinden sind, bedient sich der Angreifer hier eines Architekturproblems: Eine Firewall ist in der Regel am zentralen Netzübergabepunkt (also Firmennetzwerk zu Internet) installiert. Sie analysiert sämtlichen Datenverkehr, der diesen Netzübergabepunkt passiert. Speziell bei E-Mails ist es jedoch üblich, auch mobil auf die Inhalte zuzugreifen und damit ebenso einen Link aus einer E-Mail direkt vom Endgerät zu öffnen und so die Firewall zu umgehen. Auch hier gibt es zielgerichtete Lösungen: Sämtliche Links in E-Mails werden durch einen neuen Link ersetzt, der diese vor dem Öffnen immer mit einer entsprechenden Liste bekannter betrügerischer Webseiten abgleicht. Damit ist es irrelevant, ob der Aufruf aus dem Firmennetzwerk oder von außerhalb erfolgt. 

Wie das hier beschriebene Beispiel zeigt, ist die Entwicklung der Cyberkriminalität weit vorangeschritten und entwickelt sich stetig weiter. Die Frage lautet also nicht mehr, ob Sie Opfer einer Cyberattacke werden, sondern nur wann. Darum empfehle ich jedem Unternehmen, neben der Erweiterung der üblichen Schutzmaßnahmen auch Systeme zu implementieren, die bereits erfolgte Cyberangriffe erkennen und eine stete Überwachung bieten, so wie das CSOC.

synalis_Daniel_Philips_Cloud_Infrastructure

Daniel Philips, Bereichsleiter Cloud Infrastruktur, synalis
Tel. +49 228 9268 0
E-Mail: daniel.philips@synalis.de