Täglich flattern den meisten Internet-Nutzern Phishing-Mails ins Postfach. Ziel ist es, den Nutzer per Social Engineering-Tricks zum Öffnen der Anhänge oder zu anderen Handlungen zu bringen. Phishing stellt vor allem für Unternehmen ein hohes Risiko dar, auf Betrug oder Cyber-Attacken hereinzufallen. Aber welches sind die fünf häufigsten Phishing E-Mail-Fallen, die viele Klicks erzielen?
Anzeige
Phishing, also der Versuch, einen E-Mail-Empfänger zum Anklicken eines beigefügten Anhangs oder einer URL zu bringen, um so dessen Computer zu infizieren oder Informationen zu entwenden, bleibt eine der primären Bedrohungen für Unternehmen. Cyber-Kriminelle setzen auf ein Vielfalt an Social-Engineering-Tricks, um die Benutzer von der Legitimität ihrer Auskunftsanfragen oder Aufforderungen zur Geldüberweisung zu überzeugen.
Riesige Schäden in der Wirtschaft
Die Verluste aus diesen Kampagnen steigen weiterhin an, wobei 2016 allein in Großbritannien mind. 30 Millionen Dollar auf das Konto von Dridex gehen und 1 Milliarde Dollar weltweit für Ransomware geopfert wurden. Im Proofpoint-Jahresbericht von 2016, The Human Factor, wird anhand von Daten untersucht, wie Angreifer Social Engineering-Techniken einbinden und automatisieren, um so den „Faktor Mensch" im großen Stil auszunutzen.
Handbuch zum Wirtschaftsgrundschutz
Für Unternehmen bekommt die Schulung ihrer Mitarbeiter im Hinblick auf das Erkennen solcher Betrugsversuche eine hohe Bedeutung. Kürzlich haben der Der ASW Bundesverband, das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) den ersten Baustein für ein "Handbuch zum Wirtschaftsgrundschutz " veröffentlicht, in dem es um Mitarbeiterschulung geht.
Der Wirtschaftsgrundschutz bietet Sicherheitsverantwortlichen in Firmen Handlungsempfehlungen und Orientierung für eine effektive Unternehmenssicherheit. Mit seiner modularen Struktur greift das neue Handbuch das Format des bewährten IT-Grundschutz auf und ergänzt die dortigen Maßnahmen der Informationssicherheit um Aspekte des Wirtschaftsschutzes. Die Kombination von IT-Grundschutz und Wirtschaftsgrundschutz bietet dabei umfangreiche Hilfestellung bei der Entwicklung eines funktionierenden Sicherheitskonzeptes.
Anzeige
In einem ersten Schritt werden Sicherheitsstandards für den Aufbau und Betrieb eines Sicherheitsmanagementsystems sowie eines Notfall- und Krisenmanagements vorgestellt. Darüber hinaus werden Bausteine mit konkreten Maßnahmen zu den Bereichen Reisesicherheit und Sicherheitsschulungen präsentiert. Dabei werden Empfehlungen für Basismaßnahmen, Standardmaßnahmen und erweiterte Maßnahmen gegeben, je nach Relevanz für das Unternehmen.
Weiterhin gibt es einen Leitfaden "Cyber-Security", der sich hier (gelöscht) herunterladen lässt. Ein Artikel zum Thema findet sich bei Zeit Online.
Die Top 5 der E-Mail-Phishing-Fallen
Vom Sicherheitsanbieter Proofpoint ist mir kürzlich eine Übersicht der Top 5 der E-Mail-Phishing-Fallen zugegangen. Dieses sollte man in Unternehmen kennen und die Mitarbeiter entsprechend schulen, damit niemand darauf hereinfällt.
- Siehe Rechnung im Anhang: Immer wieder beliebt sind Mails mit einer vorgeblichen Rechnung im Anhang. Klickt der Empfänger auf diesen Anhang, wird die Schadsoftware aktiv und versucht den PC zu infizieren.
- Hier klicken, um Ihr gescanntes Dokument zu öffnen: Auch dieser Phishing-Ansatz hat Erfolg. Der Empfänger bekommt vorgeblich eine Benachrichtigung über elektronische Fax- und gescannte Dokumente. Beim Versuch, diese vermeintlichen Dokumente zu öffnen, schlägt die Falle zu.
- Ihr Paket wurde versandt – Ihr Versandbeleg ist beigefügt: Dem Empfänger wird eine Sendung avisiert, wobei der Phishing-Versuch auf das Öffnen des angeblichen Versandbelegs (meist mit fiktiven Lieferangaben) mit der Schadfunktion abzielt.
- Ich möchte eine Bestellung der angehängten Liste aufgeben: Der Empfänger bekommt eine vorgebliche Bestellung, die sich im E-Mail-Anhang befindet. Dort ist aber die Schadfunktion versteckt.
- Bitte bestätigen Sie diese Transaktion: Dies ist quasi der Klassiker, suggeriert die Mail doch eine Transaktion auf einem Bankkonto, die der Empfänger bestätigen soll. Ziel ist das Abfischen der Anmeldedaten für die Online-Konten.
Was auch immer gerne eingesetzt wird, ist eine angebliche Bewerbung mit Anhang, die dann einen Trojaner enthält. Die Liste der obigen Bedrohungen mit einer vollständigen Beschreibung der Angriffsszenarien lässt sich auf dieser Proofpoint-Seite abrufen.
Schutzmaßnahmen in Unternehmen
Neben der Schulung der Mitarbeiter sollten auch technische Maßnahmen zum Reduzieren der Bedrohungen ergriffen werden. Proofpoint gibt der Unternehmens-IT folgende Ratschläge:
- Angesichts der schieren Menge von Angriffen, die über E-Mail eingehen, sollten Unternehmen in E-Mail Gateway-Lösungen investieren, die sowohl erweiterte Angriffe erkennen und ihnen vorbeugen können, als auch solche Angriffe erkennen, die nichts mit Malware zu tun haben. Dieser Schritt hilft dabei, die Anzahl der Bedrohungen zu verringern, die ins Netzwerk eindringen. Wenn eine Bedrohung einmal im Netzwerk ist, ist es schwieriger, Malware und schädlichen Verkehr zu erkennen und sie von rechtmäßigem Geschäftsverkehr zu unterscheiden.
- Als Unternehmens IT sollte man nicht zulassen, dass E-Mails mit einem angehängten, ausführbaren Code ausgeliefert werden. Es sollte auch nicht zulässig/möglich sein, dass Mitarbeiter den Anhang mit dem Schadcode per E-Mail übertragen. Die IT sollte einfache Regeln definieren, die .exe oder .js-Anhänge blockieren, um zu verhindern, dass bösartige Exploits in die Firmenumgebung eindringen.
- Angreifer verwenden verschiedene Methoden, um Unternehmen und deren Angestellte anzugreifen. Unternehmen sollten daher Sicherheitslösungen bereitstellen, die Aktivitäten über die Bedrohungsvektoren korrelieren können. Diese Fähigkeit bietet tieferen Einblick in die Angriffe und hilft der IT, sie zu lösen, zukünftige Angriffe zu blockieren und Angriffe, die dennoch durchschlüpfen, leichter zu erkennen.
Und nochmals: Unternehmen müssen in die Schulung und Sensibilisierung der Mitarbeiter investieren. Denn neben der Unternehmensinfrastruktur kommen oft private Geräte (Smartphones) in Unternehmen zum Einsatz. Laut einer aktuellen Studie des IT-Research und Beratungsunternehmens Gartner ist die Einführung von Mobilgeräten am Arbeitsplatz bis jetzt noch nicht ausgereift. Obwohl 80 Prozent der in der Studie befragten Mitarbeiter angaben, dass sie ein oder mehrere Geräte vom Unternehmen gestellt bekommen, sind Desktop-PCs immer noch die beliebtesten Business-Geräte in Unternehmen – denn mehr als die Hälfte der Mitarbeiter erhielten Desktop-PCs vom Unternehmen.
Im Gegensatz zu der hohen Anzahl von Business-PCs am Arbeitsplatz erhalten vergleichweise nur wenige Mitarbeiter Mobilgeräte. Der Großteil der Smartphones, die am Arbeitsplatz genutzt werden, sind private Geräte – nur 23 Prozent der Mitarbeiter gaben bei der Studie an, dass sie Smartphones vom Unternehmen erhalten haben. Die Ergebnisse der Studie basieren auf der „Personal Technologies Study 2016" von Gartner, die von Juni bis August 2016 unter 9.592 Teilnehmern aus USA, UK und Australien durchgeführt wurde.
Anzeige