1978 nahm das erste Spam-Email der Geschichte seinen Lauf. Damals verdiente Gary Thuerk damit 12 Millionen Dollar. 40 Jahre später stehen wir einer “weiterentwickelten” Form des Spams gegenüber, den Phishing-Emails. Gemäss dem ersten Halbjahresbericht 2018 der MELANI wurden über 2’500 Phishing-Seiten gemeldet, mit teilweise über 150 URLs pro Woche. Auch wenn im Bereich IT-Sicherheit zurzeit andere Angriffe, wie Sextortion oder Ransomware, vorwiegend die Aufmerksamkeit auf sich ziehen, bleibt das Phishing-Email ein klassisches Instrument in der Zauberkiste eines Angreifers. Auch im Jahr 2018 waren die Angreifer erfinderisch, so bot sich der Ablauf der zweijährigen Übergangsfrist zum neuen DSGVO-Gesetz perfekt an, um ein GDPR-Phishing zu initiieren. Im nachfolgenden Artikel wird anhand von eigenen Erfahrungen während Phishing-Simulationen auf einige Ansätze und Feinheiten eines Phishing-Emails eingegangen sowie Massnahmen zur Mitigation vorgestellt.

Ziel und Zweck von Phishing

Das Wort Phishing vereint die Wörter Password, Harvesting and Fishing. Üblicherweise wird versucht an sensitive Informationen eines Benutzers zu gelangen, wie Benutzername und Passwort, wobei sich der Angreifer mit den erworbenen Credentials auf Kosten der anderen Person bereichert. Mittels einem Email, das möglichst glaubwürdig wirkt, wird versucht die Person dazu zu verleiten auf einen Link zu klicken, der auf eine andere Webseite führt. Dort wartet zumeist ein Login-Formular, wo sich ein Benutzer anmelden oder verifizieren soll.

Üblicherweise ist die auszuführende Tätigkeit mit einer gewissen Dringlichkeit verbunden, so versucht ein Täter Druck auf seine Opfer auszuüben und möglichst viele Daten zu ergaunern, bevor sein Angriff möglicherweise entdeckt wird.

Allgemeines Phishing in einer Unternehmung

Um an möglichst viele Mitarbeiter einer Firma ein Phishing-Email zu versenden, werden in erster Linie deren Email-Adressen benötigt. Diese Hürde kann jedoch relativ einfach überwunden werden. Viele Email-Adressen von Firmen folgen einer konkreten Struktur, wie beispielsweise vorname.nachname@firma.com. Mittels einer LinkedIn-Suche, wie in einem anderen Artikel behandelt, können innert kürzester Zeit hunderte Mitarbeiter enumeriert werden.

Im nächsten Schritt geht es darum eine möglichst glaubwürdige Nachricht zu verfassen. Besonders im Firmensegment Corporate bieten sich hier zahlreiche Gelegenheiten. Saisonal versprechen Sommerfeste, Jahresrückblicke, Public Viewings innerhalb der Firma oder Quartalszahlen hohe Erfolgschancen. Zudem geben die firmeneigene Webseite und Social-Media-Profile weiteren Aufschluss über aktuelle Themen. Vielleicht hatte die Firma ein Firmenjubiläum und ein Dankesmail des Board of Directors wäre erfolgsversprechend, vielleicht ist aber auch das Thema Cybersecurity hoch im Kurs und ein passender neuer Kommunikationspartner, welcher mit einem Link zu einem E-Learning verweist, wäre ergiebig.

Nicht zu unterschätzen ist zudem die Wortwahl. Jede Firma besitzt eine Unternehmenskultur, welche sich aus verschiedenen Ebenen zusammensetzt. Gelingt es einem Angreifer, den Jargon so zu wählen, dass sich die Mitarbeitenden darin wiederfinden, war seine Recherche erfolgreich. Edgar Schein teilt mit seinem Modell die Unternehmenskultur in 3 rudimentäre Ebenen auf:

• Sichtbare Artefakte
• teilweise sichtbare Werte
• Normen und unbewusste Grundannahmen

Gerade Letztere sind von entscheidender Bedeutung:

• Wie sind sich die Mitarbeiter in der Firma gesinnt?
• Besteht ein besonderer Teamzusammenhalt oder arbeiten vorwiegend Einzelkämpfer?
• Was ist unterbewusst angesehen, welche Werte werden in der Firma vertreten?

Erstellt eine Unternehmung beispielsweise viele Einträge auf ihrer Instagram-Seite zu Läufen und sportlichen Teamevents oder preist ihre Sportanlagen als Fringe Benefit an, mögen Ausdrücke wie “dynamisch, sportlich, zielorientiert, engagiert, gemeinsam” wirkungsvoller sein als beispielsweise “traditionell, bewährt, strukturiert, prozessgetreu”. Solche Ausdrücke sinnvoll in den Text einzubinden ist eine hohe Kunst, mit grosser Wirkung. Unbewusst kann sich ein Email vertrauenswürdiger anfühlen, an Kredibilität gewinnen und weniger Skepsis hervorrufen.

Ähnlich verhält es sich bei der dahinterliegenden Webseite. Wer sich der Macht der Gewohnheit bedient, ist klar im Vorteil. Wenn möglich sollte die aufzurufende Seite einer jenen ähneln, welche die Mitarbeiter bereits kennen. Möglicherweise kann dies das Login-Formular eines Webmails, der Intranetseite oder einem weiteren Dienst sein. Dies ist jedoch stets abhängig von verfügbaren Informationen. Je höher die Kredibilität, desto höher sind die Chancen auf Erfolg einzustufen.

Spear-Phishing, gezielt auf eine Person

Ähnlich verhält es sich beim Spear-Phishing. Gesammelte Informationen über die Firma mögen eine Person im beruflichen Kontext ansprechen aber wiederspiegeln nicht zwangsläufig ihre eigenen Werte und Überzeugungen. Um sehr spezifisch eine Person anzugehen, meist aufgrund ihrer Position innerhalb der Firma oder höheren Privilegien, lohnt es sich eine Open-Source-Intelligence-Recherche (OSINT) durchzuführen.

Gerade bei Führungskräften ist es sinnvoll, deren Studiengänge und allfällige Arbeiten zu analysieren. Potentiell bietet sich ein Gastreferat zu einem spezifischen Thema als Angriffsszenario an, für welches die Person sich interessiert und worin sie sich auskennt. Über Facebook & Co. lassen sich zudem eventuell persönliche Präferenzen auslesen. Engagiert sich die Person im Privatleben für ehrenamtliche und soziale Tätigkeiten? Alsdann würde sich beispielsweise ein entsprechender Event an einer Schule besser eignen, als ein Gastreferat an einem kommerziellen Brokerevent einer Versicherung. Hier gilt es jedoch ein vernünftiges Mass nicht zu überschreiten. Zu viele “passende” Trigger, könnten ebenfalls verdächtig wirken. Am effektivsten werden unterbewusste Trigger platziert, über welche eine Zielperson nicht nachdenkt.

Phishing mit klassischem Marketingansatz

Wer sich etwas mit Marketing auskennt, wird sich an die rudimentären Kriterien der Marktsegmentierung (geographisch, demografisch, sozialpsychologisch, verhaltensbezogen) erinnern. Ein Phishing-Email kann wie ein Produkt, ganz bestimmt auf eine spezifische Kundengruppe abzielen, welche in sich ein homogenes Marktsegment darstellt. Bei einem solchen Email wird ein klassischer Marketingansatz gewählt. Das Phishing Email wird so formuliert und konstruiert, dass eine ganz bestimmte Gruppe an Menschen angesprochen wird. Wer kennt ihn nicht? Den Prinzen aus Nigeria mit einem Millionenerbe, der dringend Hilfe benötigt. In schlechtem Deutsch formuliert und äusserst auffällig, wird ein solches Email von den meisten Personen direkt gelöscht. Oftmals fragt man sich: Konnte die Person nicht einmal einen anständigen Übersetzungsdienst verwenden? Dabei wissen viele nicht: Das Email wurde absichtlich in schlechtem Stil verfasst. Der Angreifer sortiert somit bewusst argwöhnische Menschen aus, welche eine reine “Zeitverschwendung” wären, da man mit ihnen nicht das gewünschte Ziel erreicht. Angesprochen werden hier die leichtgläubigsten Empfänger, jene, die sich keine weiteren Gedanken über eine solche Email machen und einem mit hilfsbereiter Naivität zur Seite stehen. So werden Aufwand und Kosten seitens Angreifer reduziert. Die verbleibenden Zielpersonen, welche auf das Email reagieren, repräsentieren jene, welche am ehesten bereit sind Geld für eine rechtliche Abklärungen zu überweisen mit dem Ausblick auf einen Millionengewinn.

Mögliche Massnahmen zur Mitigation

Massnahmen auf der technischen Seite sind ein gutes Email-Filtering und Client-Software-Hardening, sowie schädliche Seiten zu blockieren.

Phishing gänzlich zu verhindern, ist mit den heutigen technischen Mitteln unmöglich. Hilfreich ist, wenn durch Security Awareness Trainings das Auge des Empfängers regelmässig geschult wird. Nur auf die bekanntesten Massnahmen zu achten, wie nicht auf zufällige Links zu klicken, den Absender zu überprüfen und die Grammatik und Sprache eines Emails zu analysieren, ist jedoch nicht alles. Wenn ein Mitarbeiter dennoch auf einen Link geklickt hat und merkt, dass er einer URL aus einem Phishing gefolgt ist, spielt seine Reaktion auch danach noch eine bedeutende Rolle. Die richtigen IT-Mitarbeiter zu informieren und so einen Schaden einzugrenzen oder weiteren zu verhindern, ist von immenser Bedeutung. Mitarbeitende sollten die korrekten Anlaufstellen im eigenen Betrieb kennen. Dazu gehört auch der offene Umgang mit Phishing und dass keine “Bestrafung” erfolgt. Mitarbeitende sind ansonsten eher darauf programmiert ein Fehlverhalten zu vertuschen, anstatt es anzusprechen und weitere Folgeschäden zu mitigieren. Im Speziellen für neue Mitarbeitende können auch Prozessabläufe, welche zentral abgelegt sind, helfen sowie Checklisten oder Erklärungen, welche innert Sekunden abgerufen werden können und eine Indikation zur Gefahr ermöglichen.

Fazit

Um erfolgreich Phishing-Emails zu versenden, können diverse Ansätze verwendet werden, abhängig von der Anzahl Empfänger sowie dem eigentlichen Ziel. Adressatengerecht oder auf bestimmte Marktsegmente abzielend, versucht ein Angreifer stets an wertvolle Informationen zu gelangen. Gerade in Firmen ist ein offener Austausch und Umgang mit diesem Thema erforderlich. Präventivmassnahmen sind weitgehend bekannt, es ist jedoch zusätzlich von hoher Bedeutung, dass sich Mitarbeitende auch in einem fortgeschrittenen Status korrekt zu verhalten wissen.

Über die Autorin

Valérie Kastner studiert Betriebsökonomie mit Schwerpunkt Risk & Insurance an der Zürcher Hochschule für Angewandte Wissenschaften. Nach mehreren Jahren im Underwriting und Technical Center von Versicherungen, arbeitet sie seit 2018 im Bereich IT-Security mit Fokus auf Web Application Security Testing und Social Engineering. (ORCID 0000-0002-9214-572X)

Links

• http://www.spiegel.de/netzwelt/web/30-jahre-nerv-reklame-der-erste-spammer-verdiente-zwoelf-millionen-dollar-mit-einer-e-mail-a-550919.html
• https://de.wikipedia.org/wiki/Kulturebenen-Modell
• https://securelist.com/spam-and-phishing-in-q2-2018/87368/
• https://www.golem.de/news/microsoft-analyse-warum-betrueger-absichtlich-aus-nigeria-schreiben-1206-92660.html
• https://www.melani.admin.ch/melani/de/home/dokumentation/berichte/lageberichte.html
• https://www.melani.admin.ch/melani/de/home/themen/phishing.html