Phishing-Angriffe, also Social-Engineering-Angriffe, die darauf abzielen, Benutzerdaten zu stehlen, erleben eine Revolution. Die jüngste rasante Entwicklung der KI hat legitimen Unternehmen nicht nur neue Wege eröffnet: ChatGPT wird jetzt zur Durchführung von Phishing-Betrügereien eingesetzt.
Erfahren Sie, wie LayerX Ihrem Sicherheitsteam helfen kann
Was sind Phishing-Angriffe?
Phishing gibt es fast so lange wie das Internet. Frühe Angriffe machten sich die rudimentäre E-Mail-Sicherheit zunutze, die es Angreifern ermöglichte, E-Mail-Adressen abzugreifen und bösartige Nachrichten über den Äther zu verbreiten. Das Aushängeschild der ersten Phishing-Angriffe war der Nigerian-Prince-Betrug. Dabei würde sich ein Mitglied der scheinbaren nigerianischen Königsfamilie an potenzielle Opfer wenden und einen atemberaubenden Geldbetrag anbieten. Unter Ausnutzung ihrer finanziellen Unsicherheit würde schutzbedürftigen Personen der Betrag versprochen, sobald sie eine „Bearbeitungsgebühr“ überwiesen haben.
Moderne Angriffe haben diese Vorlage übernommen und sind weit über Tippfehler-Tricksereien hinaus gewachsen und gediehen. Aufgrund der schieren Menge an Informationen, die heutzutage von Online-Konten verarbeitet werden, zielen Angreifer nun darauf ab, alles von Bankkontodaten bis hin zu Benutzernamen und Passwörtern zu sammeln. Unter dem Deckmantel einer legitimen und seriösen Quelle versucht ein Angreifer, mit einer verlockenden oder alarmierenden Anfrage an Informationen zu gelangen.
In einem kürzlich durchgeführten Proof of Concept forderten Forscher das Tool auf, sich als E-Mail eines Hosting-Unternehmens auszugeben, obwohl das Tool vor einem möglichen Verstoß gegen seine Inhaltsrichtlinien warnte. Dadurch entstand ein guter erster Entwurf. Sie wiederholten diesen ersten Versuch und fragten dann nach einer Variante, die das Ziel davon überzeugt, ein trojanisches Excel-Dokument herunterzuladen.
Dies war das Ergebnis:
Die Forscher gingen noch einen Schritt weiter: Mit dem Codex-Programm von Open AI – das zur Umwandlung von Text in Code verwendet wird – konnten sie ein Excel-Dokument erstellen, das beim Öffnen automatisch mit dem Herunterladen von Schadcode begann. Trotz der diesen KI-Systemen auferlegten Einschränkungen konnte Codex die böswillige Absicht in der Anfrage nicht erkennen. Ähnlich wie die Phishing-E-Mail von ChatGPT wies der ursprüngliche Code Mängel auf, bot aber nach einigen Iterationen ein perfekt funktionierendes bösartiges Skript an.
Da sich Phishing-Angriffe weiterentwickeln, ist es wichtig, dass Ihr Unternehmen immer einen Schritt voraus ist.
Wie Phishing funktioniert
Der Kern jedes Phishing-Angriffs ist eine Nachricht. Dies kann per E-Mail, über soziale Medien oder per Telefon erfolgen. Die ständige Verbindung moderner Smartphones und Geräte stellt die größte Angriffsfläche in der Cybergeschichte dar.
Ein Phishing-Angreifer nutzt häufig öffentliche Informationen aus – unabhängig davon, ob es sich um Informationen handelt, die über Social-Media-Konten gepostet wurden, oder um frühere Datenlecks großer Datensammler. Mithilfe dieser Hintergrundinformationen können sie ein Opferprofil erstellen, das den Namen, die persönlichen Interessen und die Berufserfahrung des Empfängers umfasst. All diese Daten fließen in einen Angriff ein, um eine zuverlässig überzeugende Botschaft zu erzeugen. Die Empfänger moderner Phishing-Angriffe werden aus den Millionen E-Mail-Adressen ermittelt, die jedes Jahr in Datenschutzverletzungen verwickelt sind. Die aktuelle Studie „Cost of Data Breach“ von IBM und Ponemon ergab, dass Datenschutzverletzungen mittlerweile durchschnittlich kosten fast 4 Millionen US-Dollar, mit bis zu 90 % der Unternehmen im letzten Jahr einen Datenverstoß erlitten. Die durchgesickerten Kontaktinformationen werden über Untergrundmärkte ausgetauscht und in nutzbaren Datenbanken für weit verbreitete Phishing-Kampagnen verpackt.
Die E-Mail, die im Posteingang eines Opfers erscheint, versucht oft, sich als legitim zu tarnen: Diese Kampagnen können durch bösartige Anhänge und unterstützende Websites unterstützt werden, die darauf ausgelegt sind, noch mehr persönliche Daten von ihren Opfern zu sammeln.
Arten von Phishing-Angriffen
Es gibt verschiedene Kanäle, über die Angreifer mit ihren Opfern Kontakt aufnehmen. Bei diesen Phishing-Angriffen handelt es sich um eine Vielzahl von Angriffen, wobei jede Art auf bestimmte Stärken ihres Mediums setzt.
E-Mail-Phishing
Eine der ältesten und erfolgreichsten Formen des Phishings: Angreifer registrieren sich oft unter Domainnamen, die der legitimen Version des Domainnamens sehr nahe kommen. Dabei kann es sich um reine Amateur-Domains handeln – wenn die Angreifer bewusst diejenigen ins Visier nehmen, die E-Mails überfliegen und lesen – bis hin zu gefälschten E-Mail-Domains, die fast identisch mit ihren legitimen Versionen zu sein scheinen. Das Ersetzen oder Hinzufügen von Sonderzeichen gehört zu den gängigsten Vorgehensweisen (zum Beispiel die Umstellung von „mybank“ auf „my-bank“). Mit einer handfesten Parodie beginnen sie dann damit, Phishing-Angriffe an Tausende potenzieller Opfer zu verteilen.
Schmunzelnd
Während herkömmliche Phishing-Angriffe auf E-Mails basieren, haben Smartphones im letzten Jahrzehnt einen völlig neuen Ansatz für Angriffe eröffnet. Betrügerische SMS-Nachrichten nutzen die lockereren Sicherheitsprotokolle mobiler Geräte (und ihrer Benutzer) voll aus. Diese Nachrichten verweisen oft auf eine vom Angreifer kontrollierte, mit Malware infizierte Website, wobei verkürzte URLs und das Fehlen von Mausbewegungen den Angreifern die Oberhand verschaffen.
Speer-Phishing
Als Reaktion darauf, dass der Spray-and-Pray-Ansatz immer weniger wirksam wurde, wandten sich die Angreifer einer wirksameren Angriffsform zu: dem Spear-Phishing. Dies bündelt die Bemühungen der Angreifer auf eine kleinere Anzahl von Opfern und zielt auf einige wenige. Diese Angriffe profitieren von der vollen Aufmerksamkeit des Angreifers und nutzen gleichzeitig den gesamten Umfang der in öffentlichen Facebook- und LinkedIn-Profilen bereitgestellten Informationen.
Vishing
Ähnlich wie SmishingDoch auch andere Vorgehensweisen sind bei Angreifern durchaus möglich: Beim Voice-Phishing oder Vishing wird die direktere Beziehung zwischen Anrufer und Opfer ausgenutzt. Dadurch sind bestimmte Aspekte von Phishing-Angriffen – etwa die induzierte Dringlichkeit und Bedrohungen – besonders wirksam. Auch hier nutzen die Angreifer die gleichen Tricks und geben sich oft als Betrugsermittlungsteam der Bank des Opfers aus. Von dort aus fragen Kriminelle häufig nach den Kreditkarteninformationen des Opfers, um dessen Identität zu überprüfen. Vishing kann jedoch auch automatisiert werden: Bei diesen Robo-Anrufen wird der Endbenutzer häufig aufgefordert, persönliche Daten über die Tastatur einzugeben.
Angler-Phishing
Während viele Angreifer ihre potenziellen Opfer aktiv verfolgen, verfolgt Angler-Phishing einen anderen Ansatz und wartet stattdessen darauf, dass sie Kontakt aufnehmen. Indem der Angreifer sich hinter der Fassade eines gefälschten Social-Media-Kontos einer echten, bekannten Organisation versteckt, kann er auch das Profilbild des echten Kontos einbinden. Neben einem überzeugend gefälschten Benutzernamen machen sich Angler-Phisher den wachsenden Trend zunutze, Verbraucherbeschwerden über Social-Media-Kanäle abzuwickeln. Während Kunden diese nutzen, um um Hilfe zu bitten, steht es Angreifern frei, die Konversation im Sinne ihrer eigenen Datenerfassungsziele zu manipulieren.
Wie erkennt man Anzeichen von Phishing?
Während Social Engineering ein wichtiger Bestandteil bösartiger E-Mails ist, es gibt eine gute Nachricht: Angreifer verlassen sich bei ihren Nachrichten häufig auf einige wenige Schlüsselansätze. Diese kommen immer wieder so häufig vor, dass es durch einfaches Aufpassen möglich ist, Phishing-Angriffe mit geringem Aufwand zu erkennen, bevor auf einen schädlichen Link oder ein schädliches Dokument geklickt wird.
Negative, dringende Konsequenzen
Jede Nachricht, die mit negativen Konsequenzen droht oder diese besonders hervorhebt, sollte mit äußerster Vorsicht betrachtet werden. Dies liegt daran, dass die Andeutung einer Bedrohung die Cortisol-Reaktion des Gehirns auslöst. Während das Herz als direkte Reaktion auf dieses Stresshormon schneller schlägt und Blut zu den Muskeln fließt, macht sich der Angreifer diese biologische Reaktion zunutze. Dies ist einer der Gründe, warum gefälschte E-Mails zum Zurücksetzen von Passwörtern ein so wirksames Werkzeug im Arsenal des Angreifers sind: Indem sie sich vor der Gefahr einer Kontokompromittierung verstecken, können Angreifer kritische Denkprozesse umgehen, die normalerweise Ihren Schutz gewährleisten. In Kombination mit einem drängenden Ton sind Opfer sehr geneigt, jeder Aufforderung des Angreifers nachzukommen.
Ungewöhnlicher Ton
Ein weiteres Merkmal von Phishing-Nachrichten, das beim Empfänger sofort Alarm auslösen sollte, ist ein unangemessener oder unerwarteter Ton. Der Vorteil der Opfer ist einfach: Sie wissen, wie viele Ihrer Kollegen, Freunde und Familienangehörigen kommunizieren. Dieses Bewusstsein versetzt Sie in die Lage, Fälle abnormaler Kommunikation besser zu erkennen. Wenn ein enger Freund eine Nachricht mit formaler Sprache sendet oder ein Kollege anfängt, übermäßig freundliche Ausdrücke zu verwenden, kann dies ein erster Indikator sein, der es Ihnen ermöglicht, sich zu schützen.
Unerwartete Anfragen
Ähnlich wie der Ton der E-Mail können in einer Phishing-E-Mail eingebaute Anfragen einen weiteren Einblick in die wahre Absicht des Absenders geben. Wenn Sie plötzlich aufgefordert werden, eine Aktion auszuführen, die nicht zu Ihren üblichen Aufgaben gehört, sollten Sie sich eine zusätzliche Sekunde Zeit nehmen, um dies noch einmal zu überprüfen. Dies kann von dem besseren Kontextverständnis profitieren, das den Opfern zur Verfügung steht: Wenn Ihr Unternehmen beispielsweise über ein zentrales IT-Team verfügt, das die Softwareinstallation verwaltet, wissen Sie, dass Sie jede E-Mail, in der Sie zum Herunterladen von Software aufgefordert werden, mit äußerster Vorsicht behandeln müssen.
So schützen Sie Ihr Unternehmen vor Phishing-Angriffen
Es ist zwar möglich, dass Einzelpersonen unglaublich vorsichtig vor Phishing werden, Tatsache bleibt jedoch, dass unternehmensweites Phishing lediglich ein Spiel mit Statistiken ist: Irgendwo wird jemand in Eile sein und Angreifern Tür und Tor öffnen. Unternehmensweiter Schutz erfordert eine Mischung aus ansprechender und gewohnheitsorientierter Schulung sowie Lösungen, die den Schutz der Mitarbeiter besser unterstützen.
Mitarbeiterschulung
Die Gründung von solider Phishing-Schutz Pläne beginnen beim Opfer: Indem Mitarbeiter mit aktuellen und relevanten Informationen über die Art der heutigen Angriffe ausgestattet werden, wird es deutlich schwieriger, Social-Engineering-Angriffe erfolgreich durchzuführen. Dies macht die Mitarbeiterschulung zu einer der wichtigsten Formen der Unternehmensverteidigung. Mitarbeiter müssen die Ziele und Techniken modernster Phishing-Angriffe verstehen und wissen, welchen Teammitgliedern sie verdächtige Vorfälle melden können. Auf diese Weise unterstützt die Organisation nicht nur ihre Mitarbeiter, sondern nimmt auch eine proaktive Haltung zur Cybersicherheit ein, die sich an Angreifer anpasst und weiterentwickelt.
Darüber hinaus sollten Mitarbeiter dazu ermutigt werden, nach positiven Sicherheitsindikatoren Ausschau zu halten: Vertrauenssiegel von seriösen Antivirenlösungen bieten einen schnellen und leicht zugänglichen Indikator für die Sicherheit von Websites und Anwendungen.
Zugang einschränken
Während Benutzer ihren eigenen Phishing-Schutz verbessern, können unternehmensweite Richtlinien diese Bemühungen unterstützen. Aufgrund des größeren Angriffsradius für einen erfolgreichen Angriff sind privilegierte Benutzerkonten eines der größten Angriffsziele für Täter. Das Prinzip der geringsten Rechte ermöglicht es Mitarbeitern, weiterhin auf die Daten zuzugreifen, die sie benötigen, und minimiert gleichzeitig das Risiko, zur Zielscheibe zu werden.
Testen Sie die Widerstandsfähigkeit, bevor Angriffe eintreten
Wenn Schulungen und Infrastruktur vorhanden sind, nimmt die Widerstandsfähigkeit Ihres Unternehmens gegenüber Phishing bereits Gestalt an. Allerdings sind die Kosten von Datenschutzverletzungen heutzutage zu hoch, um ein Risiko einzugehen, weshalb sowohl Sicherheitsteams als auch Endbenutzer enorm von halbregelmäßigen Phishing-Angriffssimulationen profitieren. Von Benutzern, die sich mit modernen Angriffstechniken vertraut machen, bis hin zur Bereitstellung eines Makroüberblicks darüber, wie gut ein Unternehmen tatsächlich verteidigt ist, sind diese Tests ein Trumpf für den proaktiven Phishing-Schutz.
Phishing-Prävention mit der LayerX Browser Security Platform
Das letzte Teil des Anti-Phishing-Puzzles ist eine Schicht präventiver Mechanismen, die völlig neuartige Angriffe blockieren. Herkömmliche Anti-Phishing-Lösungen funktionieren, indem sie bekannte URLs blockieren, die bereits von Angreifern verwendet werden. Obwohl dieser Ansatz gegen ältere und etabliertere Bedrohungsakteure effektiv ist, ist er völlig reaktiv: Er kann Angriffe nur dann verhindern, wenn die URL ihrer Wahl markiert und gemeldet wurde. Angreifer hingegen sind in der Lage, ständig von URL zu URL zu springen, was dazu führt, dass der Großteil der Phishing-Architektur außerhalb des Schutzbereichs bleibt.
LayerX bietet eine hochpräzise Bedrohungserkennung, ohne auf Vorkenntnisse angewiesen zu sein. Anstelle einer einfachen Liste von URLs auf der schwarzen Liste führt LayerX die Identifizierung verdächtiger Websites auf der Grundlage einer Analyse der prognostizierten Aktivität der Website durch. Unsere unabhängige ML-Engine führt diese Analyse in Echtzeit über eine durch einfach zu installierende Browsererweiterung, ohne Latenz. Auf diese Weise können böswillige Absichten erkannt werden, bevor das Gerät des Endbenutzers eine Verbindung zum vom Angreifer kontrollierten Webserver herstellt. Mit einem proaktiven Phishing-Ansatz kann Ihr Unternehmen jedem Angreifer einen Schritt voraus sein – ob KI oder Mensch.