Dienstag — septembre 8, 2020 —

Phishing-E-Mails sind ein Dauerbrenner der Cyberkriminalität. Aktuell erleben die oftmals täuschend echten Nachrichten aus vermeintlich seriöser Quelle sogar so etwas wie eine kleine Renaissance: Mehr Menschen arbeiten und shoppen von zuhause aus, Firmen verändern Verhaltensregeln, Regierungen aktualisieren Quarantänebestimmungen, soziale Kontakte oder Arbeitssuche erfolgen auf digitalem Wege, etc. Die Liste ist lang, und aus jedem der genannten und zahlreichen weiteren aktuellen Szenarien könnten Cybergangster glaubwürdige Themen für ihre Phishing-Attacken kreieren. Dass und wie sie aktuelle Themen tatsächlich in die Tat umsetzen können, zeigt eine Erhebung des Sophos Phish-Threat-Teams aus der ersten Jahreshälfte 2020.

Sophos Phish Threat ist ein Simulator für Phishing-Angriffe, mit dem IT-Abteilungen die Anfälligkeit der Mitarbeiter*innen im eigenen Unternehmen für Phishing-Attacken testen und so die Belegschaft gezielter aufklären sowie Prävention betreiben können. Auf Basis der so gewonnenen Daten hat das Sophos-Phish-Threat-Team die zehn Top-Themen für erfolgversprechendes Phishing ermittelt. Jeweils mindestens 1.000 Phishing-Emails pro Rubrik flossen in die Auswertung ein. Im überraschenden Ergebnis zeigt sich, dass die mutmaßlich erfolgreichsten Phishing-Tricks eher simpel als inhaltlich ausgeklügelt daherkommen und auf Alltagsdinge abzielen.:

  1. Neue Verhaltensregeln im Unternehmen. Ein angeblicher Brief der Personalabteilung, in dem die neuen Verhaltensregeln des Unternehmens umrissen wurden. Angesichts des weltweiten Interesses an einer größeren Vielfalt am Arbeitsplatz und der Verringerung von Belästigungen und Missverständnissen überarbeiten viele Unternehmen derzeit ihre Beschäftigungsrichtlinien.
  2. Verspätete Lohnsteuerbescheinigung zum Jahresende. Durch diese E-Mail wurden die Mitarbeiter*innen – scheinbar seitens des Arbeitgebers – darüber informiert, dass notwendige Steuerunterlagen nicht zum üblichen Zeitpunkt eintreffen würden.
  3. Geplante Server-Wartung. Eine Betreffzeile, von der viele im Phish-Threat-Team glaubten, dass sie zumeist überlesen bzw. ignoriert würde. Zur Überraschung der IT-Experten landete diese Rubrik jedoch auf Platz 3. Eine Planbarkeit von IT-Verfügbarkeiten und Arbeitszeiten scheint deutlich an Relevanz gewonnen zu haben.
  4. Zu erledigende Aufgaben. Hier kommt die Nachricht scheinbar vom Projektplanungssystem, das die Firma verwendet. Ein solche Phishing-Variante ist auch im Realen möglich, weil davon ausgegangen werden kann, dass die in Unternehmen verwendeten Geschäftswerkzeuge weithin bekannt sind und von Betrügern leicht, vielleicht sogar automatisch, herausgefunden werden können.
  5. Test eines neuen E-Mail-Systems. Wer möchte dem Unternehmen oder dem IT-Dienstleister nicht hilfreich sein, wenn es nur eines schnellen Klicks bedarf? Und schon ist man in die Falle getappt.
  6. Aktualisierung der Urlaubsrichtlinien. Seit der Coronavirus-Pandemie sind Reiseplanungen komplizierter geworden. Die meisten Unternehmen aktualisieren ihre Urlaubsrichtlinien und Quarantäneregelungen jeweils entsprechend der weltweiten Pandemieentwicklung und den Empfehlungen der Regierung. Klar, dass hier viele Mitarbeiter geneigt sind, sofort nachzuschauen.
  7. Autobeleuchtung an. Der aufmerksame Hausmeister meldet vermeintlich ein Auto, bei dem das Licht noch an ist und liefert im E-Mail-Anhang auch gleich ein Foto des betreffenden Fahrzeugs mit. Hier wird auf die Neugier der Empfänger gesetzt.
  8. Paketzustellung fehlgeschlagen. Dies ist unter Phishing-Gangstern ein altbewährter Trick, der seit Jahren funktioniert. Heutzutage, vor allem dank der rasanten Zunahme von Hauslieferungen, ist er leider umso glaubwürdiger geworden.
  9. Persönliches Dokument aus der Personalabteilung. Ein angeblich „gesichertes Dokument“ des HR-Teams soll den plausiblen Grund dafür liefern, dass Mitarbeiter*innen in Unternehmen sich davon überzeugen lassen Passwörter einzugeben, wo sie es normalerweise nicht müssten oder die Sicherheitseinstellungen ihres Computers anzupassen. Vorgeblich zur Verbesserung der Sicherheit – das Gegenteil ist natürlich der Fall und Zweck.
  10. Neue Social-Media-Nachricht. LinkedIn, Xing und andere berufliche Netzwerke erfreuen sich aktuell steigender Popularität. Vor dem Hintergrund von Arbeitszeitkürzungen, Arbeitsplatzverlust und anderen beruflichen Konsequenzen, die die Corona-Pandemie mit sich bringt, ist der Erfolg mit scheinbaren Updates zu Aktivitäten im eigenen Netzwerk wenig überraschend. Betrüger machen sich die Situation zunutze.

Das Sophos-Phish-Threat-Team gibt einige Tipps zum Schutz vor Phishing

Vor dem Klick erst kritisch prüfen. Selbst wenn eine Nachricht auf den ersten Blick unverdächtig aussieht, ist ein kritischer zweiter Blick oft entscheidend, folgende Fragen sollten gestellt werden: Wird z.B. etwas versprochen, das bei genauer Betrachtung zu gut ist, um wahr zu sein? Gibt es Rechtschreibfehler, von denen man bezweifeln darf, dass der Absender sie machen würde? Findet sich ein Sprachstil, den das eigene Unternehmen sonst nicht pflegt? Ist von Software-Tools die Rede, die die Firma gar nicht verwendet? Sollen Sicherheitseinstellungen vorgenommen werden, vor denen bislang gewarnt wurde?

Im Zweifel den Absender fragen. Die Kontaktaufnahme sollte allerdings auf keinen Fall mit einer direkten Antwort auf die verdächtige Nachricht erfolgen. Der vermeintliche Absender der verdächtigen Nachricht sollte in einer separaten E-Mail gefragt werden, ob er die betreffende Nachricht tatsächlich verfasst hat. Auch ein kurzer Anruf kann Klarheit bringen.

Achtung bei Links mit „kreativen“ Domainnamen. Viele Phishing-E-Mails enthalten Text und Bilder, die originalgetreu sind. Aber die Betrüger sind oft auf temporäre Cloud-Server oder gehackte Websites angewiesen, um ihre Phishing-Webseiten zu hosten, und diese Täuschung kann oft in dem Domainnamen aufgedeckt werden. Gauner registrieren oft Beinahe-Namen wie yourcompany, yourc0mpany (Null für den Buchstaben O) oder yourcompany-site, wobei sie Rechtschreibfehler, ähnlich aussehende Zeichen oder hinzugefügten Text verwenden.

Verdächtige E-Mails ans Sicherheitsteam senden. Lieber einmal zu viel die IT-Abteilung behelligen. Sobald eine verdächtige Nachricht im Postfach landet, ist sie am besten per Weiterleitung bei der IT-Security des Unternehmens aufgehoben. Hiermit können auch andere Kolleg*innen geschützt werden, die dieselbe Nachricht vielleicht später erhalten.

À propos de Sophos

Sophos est un leader mondial de la cybersécurité qui protège 600000organisations à travers le monde grâce à une plateforme optimisée par l’IA et à des services fournis par des experts. Sophos accompagne les entreprises, quel que soit leur niveau de maturité en matière de cybersécurité, et évolue avec elles pour déjouer les cyberattaques. Ses solutions offrent une combinaison optimale entre apprentissage automatique, automatisation et renseignements sur les menaces en temps réel, à laquelle s’ajoute l’expertise humaine de l’équipe Sophos X-Ops, qui travaille en première ligne pour assurer la surveillance, la détection et la réponse aux menaces 24h/24 et 7j/7.
Sophos propose des services managés de détection et de réponse (MDR) de pointe, ainsi qu’un portefeuille complet de technologies de cybersécurité, parmi lesquelles des solutions de sécurité Endpoint, réseau, email et cloud, ainsi que des solutions de détection et de réponse étendues (XDR), de détection et de réponse aux menaces liées à l’identité (ITDR) et de SIEM de nouvelle génération. Associées à des services de conseil spécialisés, ces capacités aident les entreprises à réduire leurs risques de manière proactive et à répondre plus rapidement, tout en bénéficiant de la visibilité et de l’évolutivité nécessaires pour garder une longueur d’avance sur les menaces en constante évolution.
Sophos commercialise ses produits via un écosystème mondial de partenaires, comprenant des fournisseurs de services managés (MSP), des fournisseurs de services de sécurité managés (MSSP), des revendeurs et distributeurs, une marketplace d’intégrations et des partenaires spécialisés dans les cyber risques. Cette stratégie offre aux entreprises la flexibilité nécessaire pour choisir des partenaires de confiance pour protéger leurs opérations.  Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur www.sophos.fr.