Für Cyber-Kriminelle bleibt Phishing eine der effizientesten Angriffsarten, um Log-in-Informationen abzugreifen. Besonders verheerend für Unternehmen ist die Kompromittierung privilegierter Benutzerkonten, die über hohe Berechtigungen verfügen.
Erhalten Hacker den Zugang zu privilegierten Konten bekommen sie auch den weitreichenden Zugriff auf Unternehmensressourcen. So können sie unter dem Deckmantel der gestohlenen Identität lange unentdeckt agieren, um etwa Informationen wie Finanzdaten, Geschäftsgeheimnisse oder geistiges Eigentum zu exfiltrieren. Darüber hinaus können Cyber-Kriminelle die gestohlenen Zugangsdaten auch lukrativ im Darknet verkaufen.
Laut Forrester sind 80 Prozent der Sicherheitsverletzungen mit kompromittierten privilegierten Zugangsdaten verbunden. Um sich vor Identitätsdiebstahl und Kontenmissbrauch durch Phishing-Angriffe zu schützen, sollten Unternehmen deshalb einen mehrschichtigen Ansatz aus Mitarbeiteraufklärung und Technologien einsetzen.
Generell unterscheidet man zwischen den folgenden Phishing-Methoden:
- Deceptive Phishing ist die häufigste Art von Phishing-Angriffen und wird in der Regel per E-Mail an eine große Zahl von Empfängern versendet. Beispielsweise beinhaltet die E-Mail einen Link zu einer gefälschten Website, die den Nutzer dazu auffordert, Benutzernamen und Passwörter für ein Konto preiszugeben. Zusätzlich können diese Websites bösartigen Code enthalten, der das Endgerät des Nutzers per Drive-by-Download infiziert.
- Spear-Phishing: Bei diesen Angriffen investieren Kriminelle im Vorfeld einige Zeit in die Recherche, um die Nachricht an ihr Opfer möglichst personalisiert zu gestalten und eine hohe Glaubwürdigkeit zu erreichen.
CEO-Betrug: Diese Angriffe zielen speziell auf Führungskräfte ab, um deren Zugangsdaten abzugreifen. Mit Hilfe der gestohlenen Identität begehen Cyber-Kriminelle anschließend häufig finanziellen Betrug, indem sie zum Beispiel Mitarbeiter auffordern, Überweisungen zu autorisieren. - Smishing: Phishing beschränkt sich nicht mehr nur auf E-Mails. Angreifer versenden auch bösartige Textnachrichten, damit Opfer auf einen Link klicken und auf einer gefälschten Webseite Log-in-Daten angeben. Aufgrund der Beschaffenheit mobiler Browser kann es vorkommen, dass URLs nicht vollständig angezeigt werden, was die Identifizierung einer gefälschten Anmeldeseite erschweren kann.
Best Practices gegen Kontenmissbrauch durch Phishing
Zum Schutz gegen Kontenmissbrauch durch Phishing sollten Unternehmen die folgenden proaktiven Maßnahmen umsetzen:
- Mitarbeiterschulungen: Die umfangreiche Aufklärung der Mitarbeiter über die Gefahr und Merkmale von Phishing zählt zu den Grundpfeilern, um sich vor Angriffen zu schützen. Generell sollten Nutzer folgende Punkte beachten. Sie sollten die persönliche Daten nicht öffentlich teilen, Daten wie Geburtstage, Reisepläne oder persönliche Kontaktinformationen in sozialen Medien preisgeben darf nicht erfolgen, da diese von Angreifern für Social Engineering missbraucht werden können. Zudem sollte man Absenderadresse und Schreibstil prüfen. Bei verdächtigen E-Mails sollten Mitarbeiter stets die E-Mail-Adresse des Absenders kontrollieren, indem sie mit der Maus über die Absenderadresse fahren. Warnzeichen für Phishing sind zudem Rechtschreib- und Grammatikfehler sowie unübliche Formulierungen. Auch die Prüfung der Legitimität von Webseiten ist sinnvoll: Nutzer sollten nicht auf Links zu Webseiten in E-Mails klicken, sondern die Website direkt über den Browser aufrufen, um die Authentizität der in der E-Mail angegebenen Seite zu überprüfen. Des Weiteren gilt es, eine neue Nachricht an bekannte Absender bei verdächtigen E-Mails zu senden: Wirkt eine E-Mail von einer scheinbar bekannten Quelle verdächtig, sollten Nutzer sich mit einer neuen E-Mail an diese Quelle wenden, anstatt auf „Antworten“ zu klicken. Hierdurch kann die Legitimität der Nachricht kontrolliert werden. Auf alle Fälle sollten die Benutzer Ruhe walten lassen. Bei Phishing-Angriffen vermitteln Cyber-Kriminelle in ihren Nachrichten häufig Dringlichkeit, um ihre Opfer dazu zu bringen, rasch und unbedacht zu handeln. Nutzer sollten sich nicht aus der Ruhe bringen lassen und stets die oben genannten Schritte zur Überprüfung der Nachricht durchführen.
- Vorsicht bei Web-Tools von Drittanbietern: Beim Einsatz von Drittanbieter-Web-Tools sollten Unternehmen deren Sicherheitsprotokolle untersuchen, um festzustellen, ob diese umfassend genug sind, um das Einschleusen von Malware zu minimieren. Natürlich muss bei der Beschränkung der Verwendung von Drittanbieter-Web-Tools ein Gleichgewicht zwischen Sicherheit und Nutzererfahrung ausgelotet werden.
- E-Mail-Security-Software: Weiterhin ist eine E-Mail-Security-Software empfehlenswert, die eingehende E-Mails in einer Sandbox sammelt und validiert sowie bösartige Links erkennt und entfernt.
- Multi-Faktor-Authentifizierung: Es sollte eine Multi-Faktor-Authentifizierung (MFA) eingesetzt werden, die mehrere Identifizierungsmethoden erfordert. Hierzu zählt etwas, das der Nutzer kennt (Passwort); etwas, das er besitzt (Gerät); sowie etwas, das er ist (biometrische Authentifizierung). Dies ist eine der besten Methoden, um zu verhindern, dass unautorisierte Benutzer auf sensible Daten zugreifen und sich lateral im Netzwerk bewegen können.
- Risikobasierte Zugriffskontrollen: Unternehmen sollten zudem risikobasierte Zugriffskontrollen implementieren, um Zugriffsrichtlinien auf Grundlage des Benutzerverhaltens zu definieren und durchzusetzen. Durch eine Kombination aus Analysen, maschinellem Lernen, Benutzerprofilen und der Durchsetzung von Richtlinien können Zugriffsentscheidungen in Echtzeit getroffen werden. Je nach Risiko-Level können dadurch die Authentifizierungsanforderungen verstärkt oder der Zugriff vollständig blockiert werden. Risikobasierte Zugriffskontrollen werden oft in Kombination mit MFA eingesetzt.
Die Flut an Phishing-Angriffen und damit einhergehende kompromittierte Zugangsdaten bleibt eine der größten Bedrohungen für die Unternehmenssicherheit. Die Aufklärung der Mitarbeiter und die Verbesserung der Authentifizierungssysteme einer Organisation sind wesentliche Schritte, um sich gegen Phishing und Identitätsdiebstahl zu schützen.
Dr. Torsten George ist Evangelist für Cyber-Sicherheit bei Centrify.