Phishing & Co.: So gehen Hacker vor
Auf Phishing-mails kann jeder hereinfallen. So gehen Cyberkriminelle vor – und so schützen Sie sich
„Das Kammergericht Berlin ist bis auf Weiteres nur telefonisch, per Fax und postalisch zu erreichen“. Mit dieser Nachricht wendet sich die Pressestelle des Berliner Kammergerichts Anfang Oktober 2019 an die Öffentlichkeit. Denn 150 Richter und 370 Angestellte sind seit diesem Tag weitgehend offline.
Die Malware Emotet hat die Computersysteme des höchsten Berliner Gerichts lahmgelegt. Emotet ist eine sehr flexible Schadsoftware-plattform, die sich hauptsächlich über E-mails verbreitet. Öffnet der Empfänger
eine entsprechende Phishing-mail beziehungsweise den darin enthaltenen Anhang, gelangt der Schädling auf sein System, kann sich von dort im Firmennetzwerk ausbreiten und so im schlimmsten Fall das ganze Unternehmen blockieren. Deshalb warnt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer neuen Angriffswelle und stuft Emotet als die „gefährlichste Schadsoftware der Welt“ein.
Doch diese Malware ist nur das prominenteste Beispiel der derzeitig wichtigsten Taktik von Cyberkriminellen: Fast alle erfolgreichen Cyberattacken starten mit einer E-mail und damit einen direkt auf den Nutzer ausgerichteten Angriff.
Alte Systeme, ahnungslose Nutzer: Was Angriffe erleichtert
Natürlich schützen die meisten Opfer von Emotet & Co. ihr System mit Spamfilter und Antivirensoftware. Doch diese wichtigen technischen Gegenmaßnahmen, die den Rechner von Malware freihalten sollen, stoßen immer häufiger an ihre Grenzen: Spamfilter lassen immer noch rund zehn Prozent aller betrügerischen E-mails zum Empfänger durch. Außerdem können Antivirenprogramme moderne Schadsoftware oft nicht erkennen, da sich deren Code konstant verändert – die Malware verwendet einen sogenannten polymorphen Schadcode.
Dazu kommt, dass in erstaunlich vielen Unternehmen noch zahlreiche Betriebssysteme und Softwareprogramme nicht auf dem aktuellen Stand sind: Das Kammergericht Berlin beispielsweise betrieb zahlreiche Rechner noch mit Windows 95. Unter diesen Voraussetzungen braucht es dann nur noch einen unbedarften Nutzer, der auf einen falschen Link klickt oder einen falschen Anhang öffnet. Die Folgen sind dramatisch: Ob Krankenhäuser in Saarland und Rheinland-pfalz, die Modefirma Marc O’polo oder eben das Berliner Kammergericht – allein in den letzten Monaten kamen zahlreiche Beispiele für derartige Attacken ans Licht. Und die Dunkelziffer ist noch weitaus größer.
„Auf Phishing-mails kann jeder hereinfallen: Denn Cyberkriminelle setzen auf menschliche Schwäche.“
Das Spektrum dieser Hacker-angriffe, die von einer E-mail ausgehen, umfasst zum einen sehr breit angelegte Betrugsversuche, bei der jeder unaufmerksame Empfänger zum Opfer werden kann: Zum Beispiel Betrugsmails von scheinbar seriösen Banken und Onlineshops oder Nachrichten, die eine unverhoffte Millionenerbschaft ankündigen. Auf der anderen Seite gibt es zielgerichtete Attacken, bei denen die Angreifer ihr Opfer im Vorfeld ausgiebig ausspionieren.
In letzter Zeit tritt auch das sogenannte Dynamite-phishing immer häufiger auf: Dabei senden die Angreifer einem breit angelegten Empfängerkreis automatisierte und zielgerichtete – und dadurch glaubwürdige - Nachrichten, die zum Beispiel auf eine vermeintliche Mailunterhaltung mit einem echten Kollegen Bezug nehmen. Die Kombination aus Massenmailing und relevantem Aufhänger macht diesen Angriffstypus besonders effizient und somit auch besonders gefährlich.
Cyberkriminelle als Menschenkenner: Warum jeder reinfallen kann
Über die Jahre haben Hacker und Betrüger sich immer stärker professionalisiert und stellen beispielsweise wie im Fall der Hacker-gruppe „Dark Overlord“auch Jobausschreibungen ins Darknet. Sie haben gelernt, sehr effizient vorzugehen und versuchen, wie ein Unternehmen mit möglichst wenig Aufwand viel Ertrag zu erwirtschaften. Dabei hat sich der Fokus immer mehr von den Sicherheitslücken der Betriebssysteme und Softwarelösungen auf Verhaltensweisen und Schwächen der Nutzer verschoben – weil dieser Weg häufig wesentlich effizienter ist.
Die typischen Phisher von heute sind also ganz anders als das stereotype Bild vom einsamen Hacker im Kapuzenpulli höchst soziale Personen, die äußerst effektiv die menschlichen Schwächen anderer auszunutzen wissen.
Das Klischee vom dummen Nutzer, der auf jede E-mail klickt, greift hier allerdings zu kurz und tut gerade Menschen in größeren Unternehmen unrecht. Denn nur die wenigsten Mitarbeiter klicken böswillig auf Links in verdächtigen E-mails oder laden einen Virus herunter. Vielmehr nutzen die psychologisch versierten Angreifer stark verankerte Prinzipien aus, auf denen unser Denken und Handeln teilweise bereits seit
Jahrtausenden basiert. Viele dieser psychologischen Prinzipien wie Hilfsbereitschaft oder Neugier sind unter normalen Umständen und insbesondere im Arbeitsleben äußerst nützlich.
Mit diesen Tricks arbeiten Phishing-mails
Im Falle der Hilfsbereitschaft haben unsere Vorfahren beispielsweise gelernt, sich in den immer komplexer werdenden sozialen Gruppen gegenseitig zu unterstützen und so die ganze Gruppe zu stärken. Ob aus altruistischen oder egoistischen Motiven: Hilfsbereitschaft ist eine durch und durch vorteilhafte Fähigkeit, denn sie stärkt die soziale Bindung und hilft, in der Gruppe effizienter zu arbeiten. Es ist aber gerade diese Eigenschaft, die Phishing-betrüger häufig ausnutzen, wenn sie beispielsweise eine Mail versenden, in der ein vermeintlicher
Kollege danach fragt, ob man die angehängte Rechnung schnell einmal überprüfen könnte.
Auch Neugier ist eine tief sitzende Eigenschaft, die sowohl in unserer Entwicklungsgeschichte als auch heute jede Menge positiver Effekte hat. Neugierige Menschen sind glücklicher, besitzen ein höheres Wissen und sind gesünder, wie zahlreiche psychologische Studien belegen.
Allerdings ist es auch die Neugier, die viele Phishing-mails ausnutzen, wenn beispielsweise ein vermeintliches Dokument vom Scanner in der Vorstandsetage in unserer Mailbox landet. „Nur mal eben hineinschauen, vielleicht ist es ja die neue Bonus-tabelle oder eine andere spannende Information, die ich eigentlich nicht sehen sollte“, mag sich mancher Mitarbeiter dabei denken und ist dann allzu bereit, auf die vermeintlich interessante E-mail zu klicken.
Wie also schaffen es die „Phisher“genau, dass ihnen so viele Nutzer auf den Leim gehen? Welche Manipulationstaktik ist die effektivste, um beispielsweise zu erreichen, dass eine Kontoverbindung eines Lieferanten entgegen der internen Vorschriften abgeändert wird und so hohe Beträge auf fremde Konten von Betrügern überwiesen werden? Auf welche Mechanismen springen Nutzer besonders gut an – und wie kann man sie schulen, hier zukünftig vorsichtiger und wachsamer zu sein?
Wie Unternehmen ihre Mitarbeiter schulen können
Hier ist es sinnvoll, zunächst die verschiedenen Taktiken zu analysieren, die Cyberkriminelle einsetzen, um die Nutzer zu manipulieren. In Unternehmen lassen sich die Mitarbeiter zum Beispiel mit Hilfe von simulierten Phishing-mails sensibilisieren und sie anschließend im Umgang mit derartigen Angriffen schulen. Außerdem kann man so gleichzeitig völlig anonym die Reaktionen von Endnutzern auf E-mail-basierte Attacken prüfen.
Entsprechende Dienstleister, etwa Sosafe, erstellen dazu Testmails nach verschiedenen Kriterien: Ist die Mail leicht, mittel oder schwierig als riskant zu erkennen? Wird eher der private oder der berufliche Kontext aufgegriffen? Wird mit Druck und Angst, mit Gewinnversprechen oder eher mit Lob und Schmeichelei gearbeitet?
Die Mails werden dann an die Mitarbeiter verschickt, um diese für derartige Attacken zu sensibilisieren. Die Nachrichten sind mit anonymen Codes versehen, die es dem Sicherheitsdienstleister zwar erlauben, die Interaktion des Nutzers mit der E-mail zu erheben, also um festzustellen, ob er sie geöffnet, einen dort angegegebenen Link geklickt, einen Anhang geladen oder Passwörter eingegeben hat. Andererseits bleibt mit dem Code-verfahren trotzdem die Anonymität des Mitarbeiters geschützt.
Test: Auf diese Phishing-mails klicken die meisten Nutzer
Cyberkriminelle verwenden in Phishingmails meist eine Ansprache, die sich in sechs Bereiche einteilen lässt: Druck/angst, Vertrauen/intimität, Neugier/interesse, Autorität, Hilfsbereitschaft, Lob/schmeicheln. In den simulierten E-mails kann sich der Dienstleister der entsprechenden psychologischen Mechanismen bedienen und he
rausfinden, welche Ansprache sich in einem bestimmten Unternehmen als besonders erfolgreich herausstellt.
Die Auswertung zahlreicher solcher Tests zum Verhalten gegenüber Phishing-mails zeigt dabei ein dramatisches Bild: Insgesamt klickten 18 Prozent der Empfänger eine fingierte Phishing-mail an, die effektivsten Mails weisen aber eine Klickrate von über 80 Prozent auf. Sind Nutzer auf eine Mail hereingefallen, geben sie dann auch in 74 Prozent aller Fälle ein Passwort auf eine dahinter geschaltete, gefälschte Log-in-seite ein.
Das bedeutet: Drei von vier Nutzern, die durch die gefälschte E-mail auf diese Seite gelangen, geben dort beispielsweise ihr Windows-passwort an. Anhand dieser Ergebnisse wird klar, dass akuter Handlungsbedarf besteht, ein stärkeres Bewusstsein für das Thema Phishing zu schaffen.
So nutzen Cyberkriminelle die Chef-masche
Die erfolgreichste E-mail in diesen Simulationen ist dabei eine Mail, die so aussieht, als käme sie von einer echten Führungskraft: Sie fordert den Empfänger darin unmissverständlich auf, ein angehängtes Word-dokument zu öffnen, das angeblich wichtige Infos enthält. Interessant ist, dass auf die exakt gleiche E-mail um ein Drittel weniger Empfänger klicken, wenn sie nicht direkt von der Führungskraft, sondern von deren Assistenz versendet wird. Hier zeigt sich ein weiteres psychologisches Prinzip: Autoritätshörigkeit erhöht die Gefahr, Opfer einer Phishing-attacke zu werden.
Über alle E-mails hinweg ist die Taktik, die am effektivsten funktioniert, jedoch nicht der Aufbau von Autorität oder Druck, sondern das Ausnutzen von Neugier. So werden E-mails, in denen vermeintliche Fotos der Weihnachtsfeier, ein peinliches Video oder auch Gehaltsdaten der Kollegen zu finden sind, mit Abstand am häufigsten angeklickt. Das Fatale daran: Für derartige Mails muss der Angreifer kaum spezifisches Vorwissen haben: Fast jedes Unternehmen veranstaltet im November oder Dezember eine Weihnachtsfeier – und wenn dann Anfang Januar eine entsprechende Mail mit den „Fotos“folgt, ist die Ausbeute der Phisher entsprechend hoch.
An zweiter Stelle auf der Erfolgsskala der Phisher steht das Vortäuschen von Vertrauen/intimität, indem der Angreifer beispielsweise
vorgibt, ein Kollege oder Geschäftspartner zu sein. Technisch ist das sehr einfach möglich, da die vordergründig angezeigte E-mail-adresse sehr leicht manipuliert werden kann.
Abwehrmaßnahmen: Wie Sie Phishing-mails sofort erkennen
Die Ergebnisse dieser Praxistests scheinen zunächst ernüchternd. Doch trotzdem lässt sich mit bestimmten Vorkehrungen das Gefahrenpotenzial von Phishing-e-mails deutlich reduzieren.
Firmen sollten beispielsweise Prozesse und Strukturen anpassen: Das wird zunächst nichts am menschlichen Verhalten der Mitarbeiter angesichts einer vermeintlich interessanten Phishing-mail ändern. Allerdings
können veränderte Unternehmensprozesse den Erfolg der genannten Angriffe deutlich erschweren: Zum Beispiel sollte bei der Auszahlung eines bestimmten Betrages oder der Änderung von Rechnungsdaten das Vier-augen-prinzip greifen.
Zweitens können Firmen aufgrund der Ergebnisse ihre Organisationskultur hinterfragen: Erst sehr starke Hierarchien machen den Autoritätsansatz der Phishingmails so erfolgsversprechend.
Außerdem ist es wichtig, permanent für Aufklärung zu sorgen und an Beispielen entsprechender Phishing-mails zu arbeiten. Es hat sich gezeigt, dass Manipulationsversuche wesentlich weniger effektiv sind, wenn das Opfer den Mechanismus dahinter kennt.