Wenn Cyberkriminelle ihre Köder auswerfen: Security-Grundlagen gegen Phishing-Angriffe

 

Cyberkriminelle sind oft nur einen Phishing-Angriff davon entfernt, ungehinderten Zugriff auf Geräte, Netzwerke und Unternehmensdaten zu erhalten. Dabei nutzen sie eine Vielzahl an Social-Engineering-Techniken. Diese reichen von Identitätsdiebstahl und Imitation bekannter Marken über gefälschte Stellenbewerbungen bis hin zu hochpersonalisiertem Spear-Phishing mithilfe privater Daten der Opfer. Phishing erfolgt meist per E-Mail, kann aber auch per Post, Telefon (Voice Phishing/Vishing), SMS (Smishing), Social Media sowie über Websites erfolgen, geht aber oft weit über die Verteilung verdächtiger Nachrichten hinaus. Zu weiteren Angriffstechniken zählen:

 

  • DNS-basiertes Phishing gefährdet Hostdateien oder Domain-Namen eines Unternehmens und leitet dessen Kunden zu einer gefälschten Webseite weiter, um persönliche Daten oder Zahlungsinformationen abzugreifen.
  • Phishing mit Content-Injection nutzt verseuchte Inhalte wie Codes oder Bilder, die zur Unternehmenswebsite oder Seiten von Partnern hinzugefügt werden, um persönliche Informationen von Mitarbeitern und Kunden wie etwa Log-in-Details zu stehlen. Diese Art von Phishing zielt besonders auf Personen ab, die auf verschiedenen Websites das gleiche Passwort verwenden.
  • Man-in-the-Middle-Phishing: Hierbei stellen sich Kriminelle zwischen die Website des Unternehmens und dessen Kunden. So können sie alle Informationen, die der Kunde eingibt, erfassen.

 

 

Security-Best Practices gegen Phishing-Angriffe

Phishing birgt das Potenzial, viele der von Unternehmen eingesetzten Sicherheitsmaßnahmen zu umgehen und verheerende Auswirkungen auf sensible Daten und Ressourcen zu haben. Selbst für gut informierte User ist es mittlerweile schwierig, Phishing zu erkennen, da die Attacken immer ausgefeilter werden. Deshalb sind entsprechende Security-Best-Practices entscheidend, um sich gegen die Flut an Phishing-Angriffen zu verteidigen. Hierzu zählen:

 

Multi-Faktor-Authentifizierung:
Es ist empfehlenswert, zwei Arten der Überprüfung durchzuführen, etwa ein Passwort und eine Sicherheitsfrage, wenn Nutzer sich bei sensiblen Konten anmelden. Die Zwei- oder Multifaktor-Authentifizierung trägt dazu bei, Cyberkriminellen, die sich Zugang zu Konten verschaffen wollen, die Arbeit zu erschweren. Selbst wenn ein Passwort im Besitz des Angreifers ist, bleibt das Konto durch eine zweite oder sogar dritte Authentifizierungsebene geschützt. Für die beste Verteidigung eignen sich Authentifizierungsebenen, die dem Benutzer physisch vorliegen, zum Beispiel ein Gerät, oder eine biometrische Authentifizierung.

 

Security-Schulungen und Simulationstrainings von Phishing-Angriffen:
Der erste Schritt besteht darin, alle Mitarbeiter darin zu schulen, Phishing-E-Mails zu erkennen. Eine der besten Möglichkeiten, um sicherzustellen, dass Mitarbeiter bei der Erkennung potenzieller Phishing-E-Mails wachsam sind, sind Simulationstrainings. So kann das IT-Team zum Beispiel selbst Test-Phishing-Mails an die Mitarbeiter versenden und überwachen, welche und wie viele Personen auf den Köder anspringen.

 

VPN zum Schutz der Internetverbindung:
Ein VPN verschlüsselt die Internetverbindung und hält die besuchten Websites und die vom Nutzer eingegebenen Informationen vor Angreifern geheim. Die Nutzung eines VPN verhindert, dass Angreifer den WLAN-Verkehr über öffentliche Netzwerke abfangen, eine gängige Technik, um Anmeldedaten oder andere sensible Informationen abzugreifen.

 

Sicherung von BYODs vor bösartigen Applikationen:
Ein neuer Bedrohungsvektor, der durch den BYOD-Trend entstanden ist, sind bösartige Apps auf Mobilgeräten der Mitarbeiter, welche auf deren Adressbücher zugreifen und diese exportieren. Hierdurch erhalten Angreifer Kontakte, die sie für gezieltes Spear-Phishing missbrauchen können. Ein wichtiger Schritt für die Unternehmenssicherheit ist es, potenzielle Angreifer daran zu hindern, auf das Firmenverzeichnis zuzugreifen, welches Namen, E-Mail-Adressen und andere persönliche Mitarbeiterdaten enthält. So sollte eine mobile Sicherheitssoftware auf Endgeräte installiert werden, die Apps scannt und Benutzer daran hindert, auf die Unternehmensnetzwerke zuzugreifen, wenn sich auf ihren Mobilgeräten Applikationen befinden, die die Datensicherheit gefährden.

 

Phishing-Schutz beim mobilen Arbeiten:
Ein weiterer Schritt besteht darin, mobile Benutzer vor dem Besuch von Phishing-Websites zu schützen, besonders, wenn sie sich in einem WLAN-Netzwerk befinden, welches das Unternehmen nicht kontrolliert. Diese Schutzmaßnahmen müssen auf Netzwerkebene durchgeführt werden, da eine bloße E-Mail-Filterung hier nicht ausreicht. Phishing- und Spear-Phishing-Angriffe können sowohl über Firmen-Mails, die private E-Mail des Benutzers, als auch per SMS erfolgen. Mobile User sollten deshalb per VPN mit Diensten verbunden sein, die ein sicheres Domain Name System (DNS) und Blacklisting anbieten, um den Zugriff auf Phishing-Websites zu verhindern.

 

Ausgeklügelte Phishing-Angriffe stellen weiterhin eine der größten Bedrohungen für die Unternehmenssicherheit dar, weil sie auf das häufig schwächste Glied in der Security-Kette abzielen: den Menschen. Durch umfangreiche und kontinuierliche Mitarbeitertrainings und einen mehrschichtigen Ansatz aus Sicherheitstechnologien können jedoch die Risiken von Phishing deutlich gemindert werden.

Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

 

 

Hacker bevorzugen einfache Angriffsmöglichkeiten wie Phising

Angreifer suchen zunehmend nach einfachen Wegen für ihre Angriffe auf IT-Infrastrukturen, Firmennetze und Rechner. Dazu gehört das Social Engineering: Hacker versuchen Zugang zu vertraulichen Daten, Geräten oder Netzwerken über den persönlichen Kontakt zu bekommen. Erfolgt diese Manipulation per E-Mail oder Telefon spricht man vom Phishing. Phishing war im zweiten Halbjahr 2017 die häufigste Bedrohung in…

Whitepaper: Cybersicherheit ist wichtiger Faktor im neuen Geschäftsgeheimnisgesetz

  Im Gesetz zum Schutz von Geschäftsgeheimnissen, das im April 2019 in Kraft getreten ist, wird die Ergreifung »angemessener Geheimhaltungsmaßnahmen« zum Schutz von unternehmensinternem Know-how definiert. Unternehmen müssen nun, um Anspruch auf Unterlassung oder Schadensersatz geltend machen zu können, zur Sicherung ihrer Geschäftsgeheimnisse proaktiv Maßnahmen ergreifen. Diese zielen zu einem großen Teil auf die Erhöhung…

Fünf Phishing-Methoden, die man auf dem Radar haben sollte

Der 30. November ist der internationale Tag der Computersicherheit. Kaum zu glauben, dass dieser bereits im Jahr 1988 von amerikanischen IT-Experten ins Leben gerufen wurde – knappe zehn Jahre, bevor das Internet begann, unsere Welt zu erobern. Der internationale Tag der Computersicherheit ist ein guter Anlass, sich mit einer der ältesten Praktiken aus der Trickkiste…

Weihnachtszeit ist »Phishing-Zeit«

Wie Unternehmen sich und ihre Mitarbeiter effektiv vor der anstehenden Phishing-Flut schützen können. Die Phishing-Welle reißt nicht ab – ganz besonders zur Weihnachtszeit, wenn Anbieter mit extrem günstigen Black Friday Deals werben und viele Menschen bei der Jagd nach dem perfekten Geschenk schnell zugreifen wollen. Hacker investieren mittlerweile viel Zeit in die Aufmachung solcher Mails:…

Laterales Phishing: Die wachsende Bedrohung

Missbrauch entführter Konten für umfangreiche Phishing-Angriffe.   Der Missbrauch gehackter E-Mail-Konten durch Cyberkriminelle ist nach wie vor eine der größten Bedrohungen für die E-Mail-Sicherheit. Dabei entwickeln Angreifer ihre Taktiken kontinuierlich weiter: In Zusammenarbeit mit Forschern der UC Berkeley und der UC San Diego entdeckten Sicherheitsforscher von Barracuda eine neue und wachsende Art des Kontoübernahme-Angriffs: das…

Analyse eines Cyberangriffs – die Bankenattacke der Carbanak-Gruppe im zeitlichen Verlauf

Experten der Bitdefender-Labs ist es gelungen, den zeitlichen Verlauf eines Angriffs der Carbanak-Gruppe vollständig zu rekonstruieren. Opfer war eine osteuropäische Bank. Die Rekonstruktion aller Aktivitäten der Attacke liefert wertvolle Erkenntnisse für die Sicherung kritischer Infrastrukturen und zeigt die Bedeutung von Endpoint-Security-Maßnahmen auf. Während die Infiltrierung des Netzwerks bereits nach 90 Minuten abgeschlossen war, bewegten sich…

Spam-E-Mail: Sicher durch die Fluten

Kombination aus Wachsamkeit und technischem Schutz schützt umfassender vor gefährlichen Spam-E-Mails. Wer kennt sie nicht, die E-Mail-Flut, die jeden Tag aufs Neue am Arbeitsrechner über einen hereinbricht. Dabei ist es mittlerweile eher der Fall, dass Angestellte die wichtigen E-Mails aus dem Meer an Spam herausfischen (müssen), als andersherum. »Bei Spamnachrichten muss zwischen Werbe-E-Mails und gefährlicher…

Beruf Hacker: Wie man ohne Hochschulstudium ein Master-Hacker wird 

In diesem Jahr wurde Santiago Lopez, ein 19-jähriger Hacker aus Argentinien, zum weltweit ersten Bug-Bounty-Hacker, der mit Hacking 1 Million Dollar verdient hat. Dieses Ereignis wurde zu so etwas wie einem Meilenstein für die Hacker Community. Ganz offensichtlich gibt es ein nicht ganz geringes Ertragspotenzial für Hacker, die sich dem Ethical Hacking verschrieben haben, und…

Das sind die Spam-Top 10

China ist in Sachen Spam-Mails weltweit führend – das hat eine Auswertung von Kaspersky Lab ergeben. Demnach stammten im vergangenen Jahr 11,7 Prozent der Spam-Mails weltweit aus der Volksrepublik. An zweiter Stelle stehen die USA (9 Prozent), gefolgt von Deutschland (7,2 Prozent). Als Spam-Mail oder auch Junk-Mail werden E-Mails bezeichnet, die unverlangt und massenhaft zugesendet…

Cybercrime: Angreifer hinterlassen in jedem vierten Fall keinerlei Spuren

Jedes zweite deutsche Unternehmen verzeichnete Schäden durch Cyberangriffe in den vergangenen zwei Jahren.   Ob Mittelstand oder Großkonzern – deutsche Unternehmen leiden unter geschäftsschädigenden Folgen von Cyberattacken. Eine aktuelle Studie von Kaspersky Lab [1], bei der europaweit IT-Entscheidungsträger in kleinen, mittleren und großen Unternehmen befragt wurden, zeigt: Im Laufe der vergangenen 24 Monate wurde fast…

Gebündeltes Expertenwissen für ganzheitliche IT-Sicherheit

Allgeier CORE betritt mit umfassendem Leistungsspektrum den Informationssicherheits- und IT-Markt.   Die secion GmbH, die consectra GmbH und die Allgeier ONE AG haben sich zur Allgeier CORE GmbH zusammengeschlossen. Seit Ende Dezember gehört zum neu gegründeten Unternehmen auch die GRC Partner GmbH, die das Portfolio mit ihrer Compliance Management Software DocSetMinder sowie umfassendem Know-how im…

Mangelnder Überblick und Kontrolle verringern die IT-Sicherheit in Unternehmen

90 Prozent der befragten deutschen CIOs and CISOs führten kritische Sicherheitsupdates aus Sorge vor möglichen Auswirkungen nicht durch. Weltweit halten sich CIOs und CISOs bei der Umsetzung relevanter Maßnahmen zurück, obwohl diese für die Widerstandsfähigkeit gegenüber Störungen und Cybergefahren entscheidend wären. 90 Prozent der befragten CIOs and CISOs in Deutschland führten ein wichtiges Sicherheitsupdate oder…

Schutz vertraulicher Daten: Phishing bedroht Unternehmen und private Internetnutzer

Phishing ist keine besonders neue Taktik, um an fremde Daten zu gelangen – und dennoch werden regelmäßig erfolgreiche Kampagnen bekannt. Unternehmen versuchen deshalb, den Erfolg von Phishing-Angriffen zu verhindern, indem sie das Sicherheitsbewusstsein der Mitarbeiter fördern. Dies sollte auch ein zentraler Bestandteil der Sicherheitsstrategie sein. Doch trotz aller Anstrengungen fallen einzelne Benutzer weiterhin auf die…