In letzter Zeit scheinen Führungskräfte und leitende Angestellte aus unterschiedlichen Branchen verstärkt ins Visier von Cyberkriminellen zu geraten. Diese versuchen die Adressaten mittels Phishing-Mails zur Herausgabe von Daten zu überlisten.
Jedenfalls schlagen Sicherheitsforscher Alarm und warnen vor einer gezielten Welle von Spear-Phishing-Angriffen, die insbesondere Führungskräfte und leitende Angestellte in verschiedenen Branchen ins Visier nehmen. Die Angreifer tarnen ihre Nachrichten als Benachrichtigungen zur Freigabe von OneDrive-Dokumenten und versehen sie mit Betreffzeilen wie „Gehaltsänderung" oder „FIN_SALARY".
Link in Mail öffnet Phishing-Seite
Ein Klick auf den enthaltenen Link führt die Empfänger auf eine täuschend echt gestaltete Anmeldeseite von Microsoft Office beziehungsweise OneDrive. Dort werden die Zugangsdaten abgefragt, die dann den Angreifern in die Hände fallen.
Laut diesem Artikel der Sicherheitsforscher erhöhen personalisierte Details – etwa der Name des Empfängers oder konkrete Unternehmensinformationen – zusätzlich die Glaubwürdigkeit dieser Mails.
Täuschung der Sicherheitsfilter
Eine Besonderheit der Kampagne ist der Einsatz manipulierter Schaltflächentexte, mit denen die Angreifer Erkennungssysteme umgehen können. So erscheint für Anwender im Hellmodus lediglich das Wort „Öffnen", während die dahinterliegenden Zeichenfolgen unsichtbar bleiben. Im Dunkelmodus jedoch treten Zufallskombinationen wie „twPOpenHuxv" oder „gQShareojxYI" zutage. Dadurch werden Schlüsselbegriffe wie „Öffnen" und „Teilen"aufgebrochen, was die Wirksamkeit von Filtern, die auf regulären Zeichenfolgen beruhen, deutlich reduziert.
Handlungsempfehlungen für Unternehmen
Zur Abwehr solcher Angriffe sollten Unternehmen folgende Maßnahmen ergreifen:
- Sensibilisierung von Führungskräften und Assistenzen: Besonders exponierte Zielgruppen sollten über die aktuelle Kampagne informiert sein. Realistische Betreffzeilen und personalisierte Daten steigern die Überzeugungskraft der Angriffe erheblich.
- Skepsis bei unerwarteten Dokumenten: Mitarbeitende sollten stets vorsichtig sein, wenn sie Links oder Dateien zu Personal- oder Gehaltsangelegenheiten erhalten – insbesondere von externen Absendern.
- Klare Meldewege für verdächtige E-Mails: Unternehmen sollten sicherstellen, dass auffällige Nachrichten schnell an die Sicherheitsabteilung weitergeleitet werden, um Gegenmaßnahmen zeitnah einzuleiten.
- Gezielte Schulungen: Auch Assistenzen der Geschäftsleitung und enge Kolleginnen und Kollegen sind bevorzugte Ziele. Sie benötigen dieselbe Aufmerksamkeit in Awareness-Trainings wie Führungskräfte selbst.
Die aktuelle Angriffswelle verdeutlicht, wie stark Cyberkriminelle psychologische Hebel und vertrauliche Informationen einsetzen, um Vertrauen zu erschleichen. Für das Human Risk Management ergibt sich daraus die Notwendigkeit, Sicherheitsbewusstsein als festen Bestandteil der Unternehmenskultur zu verankern. Neben Abwehrmaßnahmen technischer Art spielt dabei die kontinuierliche Sensibilisierung aller Mitarbeitenden – insbesondere in Personal- und Managementfunktionen – eine entscheidende Rolle.
MVP: 2013 – 2016
Wie wäre es mit Zugriff von „Trusted Devices"?
Wie wäre es mit Zugriff von „Trusted Devices"?
Stichwort Conditional Access?
Ja klar, weil 's so gut funktioniert (Bsp. (1)), Ironie aus.
–
(1) https://labs.jumpsec.com/tokensmith-bypassing-intune-compliant-device-conditional-access/
Und weil es auch gerade von Führungskräften schlecht angenommen wird.
Typischer Fall: Arzt darf auf Patientendaten nur dann zugreifen, wenn sich sein Endgerät (geolokalisiert) in der Praxis oder wenigen Metern Umkreis befindet. Will er nicht, das muß auch von zu hause aus gehen.
Angestellten kann man Sicherheitsmaßnahmen einfacher "von oben herab" verordnen und sie auch häufiger gegen Phishing schulen, Führungskräfte eher schlecht. Meine Erfahrung.
Wenn Führungskräfte und Management Sicherheit und Compliance Prozesse unterlaufen, dann stinkt der Fisch vom Kopf her.
Gerade diese Gruppe, braucht eher einen höheren Grad an Sicherheit, anstatt weniger.
Es geht um die Reduzierung von Risiken nicht von absoluter Sicherheit.
Aber das ist wahrscheinlich für die meisten zu schwer zu verstehen, einfache Polemik ist natürlich einfacher.
E-Mail Anzeige von HTML auf Text umstellen, dann sieht man die Links im Klartext!
Und bei Firmen, die alles On-Prem haben, geht so eine Phisingmail eh ins Leere, denn wo es kein OneDrive gibt oder nicht genutzt wird, kann man auch keine Zugangsdaten abfischen.
Und das alle Leute im Unternehmen, auch Führungskräfte, entsprechend geschult sein sollten versteht sich von selbst.
Das gehört doch nun schon zur Normalität. Es vergeht kein Tag, wo ich mal keinen solchen Müll bekomme. Nur gut, das mein Mailfilter das zum großen Teil, gleich versenkt.
Leider wird in den meisten Firmen, solche Vorsorge, als nicht wichtig betrachtet und dann ist das Geschrei groß, wenns knallt.
So paranoid das jetzt klingen mag, bei uns spielen LinkedIn, Xing usw. eine große Rolle bei solchen Szenarien. Uns ist schon mehrmals aufgefallen, dass Angreifer wohl ganze eigene Organigramme erstellen um dann als fake Vorgesetzter/fake Angestellter gezielt Opfer anzusprechen, die mit der realen Person in regelmäßigem Kontakt stehen (Beispiel: vorgesetzter1@irgendwas schreibt gezielt Angestellte aus "seiner" Abteilung an, die mit ihm auch auf LinkedIn vernetzt sind und warum auch immer ihre Mailadresse öffentlich einsehbar haben…)