Dienstag — Settembre 8, 2020 —

Phishing-E-Mails sind ein Dauerbrenner der Cyberkriminalität. Aktuell erleben die oftmals täuschend echten Nachrichten aus vermeintlich seriöser Quelle sogar so etwas wie eine kleine Renaissance: Mehr Menschen arbeiten und shoppen von zuhause aus, Firmen verändern Verhaltensregeln, Regierungen aktualisieren Quarantänebestimmungen, soziale Kontakte oder Arbeitssuche erfolgen auf digitalem Wege, etc. Die Liste ist lang, und aus jedem der genannten und zahlreichen weiteren aktuellen Szenarien könnten Cybergangster glaubwürdige Themen für ihre Phishing-Attacken kreieren. Dass und wie sie aktuelle Themen tatsächlich in die Tat umsetzen können, zeigt eine Erhebung des Sophos Phish-Threat-Teams aus der ersten Jahreshälfte 2020.

Sophos Phish Threat ist ein Simulator für Phishing-Angriffe, mit dem IT-Abteilungen die Anfälligkeit der Mitarbeiter*innen im eigenen Unternehmen für Phishing-Attacken testen und so die Belegschaft gezielter aufklären sowie Prävention betreiben können. Auf Basis der so gewonnenen Daten hat das Sophos-Phish-Threat-Team die zehn Top-Themen für erfolgversprechendes Phishing ermittelt. Jeweils mindestens 1.000 Phishing-Emails pro Rubrik flossen in die Auswertung ein. Im überraschenden Ergebnis zeigt sich, dass die mutmaßlich erfolgreichsten Phishing-Tricks eher simpel als inhaltlich ausgeklügelt daherkommen und auf Alltagsdinge abzielen.:

  1. Neue Verhaltensregeln im Unternehmen. Ein angeblicher Brief der Personalabteilung, in dem die neuen Verhaltensregeln des Unternehmens umrissen wurden. Angesichts des weltweiten Interesses an einer größeren Vielfalt am Arbeitsplatz und der Verringerung von Belästigungen und Missverständnissen überarbeiten viele Unternehmen derzeit ihre Beschäftigungsrichtlinien.
  2. Verspätete Lohnsteuerbescheinigung zum Jahresende. Durch diese E-Mail wurden die Mitarbeiter*innen – scheinbar seitens des Arbeitgebers – darüber informiert, dass notwendige Steuerunterlagen nicht zum üblichen Zeitpunkt eintreffen würden.
  3. Geplante Server-Wartung. Eine Betreffzeile, von der viele im Phish-Threat-Team glaubten, dass sie zumeist überlesen bzw. ignoriert würde. Zur Überraschung der IT-Experten landete diese Rubrik jedoch auf Platz 3. Eine Planbarkeit von IT-Verfügbarkeiten und Arbeitszeiten scheint deutlich an Relevanz gewonnen zu haben.
  4. Zu erledigende Aufgaben. Hier kommt die Nachricht scheinbar vom Projektplanungssystem, das die Firma verwendet. Ein solche Phishing-Variante ist auch im Realen möglich, weil davon ausgegangen werden kann, dass die in Unternehmen verwendeten Geschäftswerkzeuge weithin bekannt sind und von Betrügern leicht, vielleicht sogar automatisch, herausgefunden werden können.
  5. Test eines neuen E-Mail-Systems. Wer möchte dem Unternehmen oder dem IT-Dienstleister nicht hilfreich sein, wenn es nur eines schnellen Klicks bedarf? Und schon ist man in die Falle getappt.
  6. Aktualisierung der Urlaubsrichtlinien. Seit der Coronavirus-Pandemie sind Reiseplanungen komplizierter geworden. Die meisten Unternehmen aktualisieren ihre Urlaubsrichtlinien und Quarantäneregelungen jeweils entsprechend der weltweiten Pandemieentwicklung und den Empfehlungen der Regierung. Klar, dass hier viele Mitarbeiter geneigt sind, sofort nachzuschauen.
  7. Autobeleuchtung an. Der aufmerksame Hausmeister meldet vermeintlich ein Auto, bei dem das Licht noch an ist und liefert im E-Mail-Anhang auch gleich ein Foto des betreffenden Fahrzeugs mit. Hier wird auf die Neugier der Empfänger gesetzt.
  8. Paketzustellung fehlgeschlagen. Dies ist unter Phishing-Gangstern ein altbewährter Trick, der seit Jahren funktioniert. Heutzutage, vor allem dank der rasanten Zunahme von Hauslieferungen, ist er leider umso glaubwürdiger geworden.
  9. Persönliches Dokument aus der Personalabteilung. Ein angeblich „gesichertes Dokument“ des HR-Teams soll den plausiblen Grund dafür liefern, dass Mitarbeiter*innen in Unternehmen sich davon überzeugen lassen Passwörter einzugeben, wo sie es normalerweise nicht müssten oder die Sicherheitseinstellungen ihres Computers anzupassen. Vorgeblich zur Verbesserung der Sicherheit – das Gegenteil ist natürlich der Fall und Zweck.
  10. Neue Social-Media-Nachricht. LinkedIn, Xing und andere berufliche Netzwerke erfreuen sich aktuell steigender Popularität. Vor dem Hintergrund von Arbeitszeitkürzungen, Arbeitsplatzverlust und anderen beruflichen Konsequenzen, die die Corona-Pandemie mit sich bringt, ist der Erfolg mit scheinbaren Updates zu Aktivitäten im eigenen Netzwerk wenig überraschend. Betrüger machen sich die Situation zunutze.

Das Sophos-Phish-Threat-Team gibt einige Tipps zum Schutz vor Phishing

Vor dem Klick erst kritisch prüfen. Selbst wenn eine Nachricht auf den ersten Blick unverdächtig aussieht, ist ein kritischer zweiter Blick oft entscheidend, folgende Fragen sollten gestellt werden: Wird z.B. etwas versprochen, das bei genauer Betrachtung zu gut ist, um wahr zu sein? Gibt es Rechtschreibfehler, von denen man bezweifeln darf, dass der Absender sie machen würde? Findet sich ein Sprachstil, den das eigene Unternehmen sonst nicht pflegt? Ist von Software-Tools die Rede, die die Firma gar nicht verwendet? Sollen Sicherheitseinstellungen vorgenommen werden, vor denen bislang gewarnt wurde?

Im Zweifel den Absender fragen. Die Kontaktaufnahme sollte allerdings auf keinen Fall mit einer direkten Antwort auf die verdächtige Nachricht erfolgen. Der vermeintliche Absender der verdächtigen Nachricht sollte in einer separaten E-Mail gefragt werden, ob er die betreffende Nachricht tatsächlich verfasst hat. Auch ein kurzer Anruf kann Klarheit bringen.

Achtung bei Links mit „kreativen“ Domainnamen. Viele Phishing-E-Mails enthalten Text und Bilder, die originalgetreu sind. Aber die Betrüger sind oft auf temporäre Cloud-Server oder gehackte Websites angewiesen, um ihre Phishing-Webseiten zu hosten, und diese Täuschung kann oft in dem Domainnamen aufgedeckt werden. Gauner registrieren oft Beinahe-Namen wie yourcompany, yourc0mpany (Null für den Buchstaben O) oder yourcompany-site, wobei sie Rechtschreibfehler, ähnlich aussehende Zeichen oder hinzugefügten Text verwenden.

Verdächtige E-Mails ans Sicherheitsteam senden. Lieber einmal zu viel die IT-Abteilung behelligen. Sobald eine verdächtige Nachricht im Postfach landet, ist sie am besten per Weiterleitung bei der IT-Security des Unternehmens aufgehoben. Hiermit können auch andere Kolleg*innen geschützt werden, die dieselbe Nachricht vielleicht später erhalten.

Informazioni su Sophos

Sophos è un’azienda leader nell’ambito della cybersecurity e protegge 600.000 organizzazioni in tutto il mondo con una piattaforma basata sull’IA e servizi a cura di esperti. Sophos viene incontro alle esigenze delle organizzazioni, adattandosi al loro livello di maturità di sicurezza informatica e crescendo insieme ai clienti per tutelarli dai cyberattacchi. La sua soluzione offre la combinazione ottimale tra machine learning, automazione e dati di intelligence sulle minacce in tempo reale, aggiungendo le competenze umane degli esperti del team Sophos X-Ops, che lavorano in prima linea per garantire monitoraggio, rilevamento e risposta alle minacce 24/7.
Sophos offre un servizio di Managed Detection and Response (MDR) leader di settore, nonché una linea completa di tecnologie di sicurezza, tra cui soluzioni per la protezione di endpoint, rete, e-mail e cloud, nonché Extended Detection and Response (XDR), rilevamento delle minacce all’identità (Identity Threat Detection and Response, ITDR) e SIEM next-gen. Unite a servizi di consulenza a cura di esperti, queste funzionalità aiutano le organizzazioni a ridurre proattivamente il rischio e a rispondere in maniera più tempestiva, ottenendo il giusto livello di visibilità e scalabilità richiesto per tenersi un passo avanti rispetto a minacce in continua evoluzione.
La strategia go-to-market di Sophos si basa su un ecosistema di Partner che include Managed Service Provider (MSP), Managed Security Service Provider (MSSP), Rivenditori e Distributori, integrazioni per il marketplace, e Partner Cyber Risk; questa strategia offre alle organizzazioni la flessibilità di scegliere come stabilire rapporti di fiducia per la protezione della loro attività.  Sophos ha sede a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it.