Pishing hoch im Kurs: Bereits eines von 100 E-Mails ist ein Hacking-Versuch!

Das sind keine guten Entwicklungen: Eines in 100 E-Mails auf der ganzen Welt verfügt über bösartigen Inhalt, der deinen PC mit Malware infizieren oder Betrugsversuche sowie Pishing oder andere Aktivitäten von Cyberkriminellen lostreten könnte. Das mag sich jetzt recht theoretisch anhören. Aber unlängst vom US-Justizministerium veröffentliche Dokumente zeigen im Detail, welche wichtige Rolle E-Mails beim Sony Pictures-Hack und anderen Attacken durch nordkoreanische Cyber-Kriminelle spielten. In vielen Fällen braucht es nur ein manipuliertes E-Mail, um Hackern Zugang zum Back-end eines Netzwerks zu verschaffen und signifikanten Schaden anzurichten.

Nur ein Drittel der E-Mails tatsächlich „clean“

FireEye-Forscher haben über eine halbe Milliarde E-Mails untersucht, die zwischen Jänner und Juni 2018 verschickt wurden. Dabei haben sie herausgefunden, dass eines in 100 E-Mails tatsächlich bösartiger Natur und darauf ausgerichtet ist, einem User oder einem Netzwerk massiven Schaden zuzufügen. Von Spam bereinigt ist nur ein Drittel der E-Mails als „clean“ zu klassifizieren! Einen speziellen Trend konnte FireEye darin ausmachen, dass Angreifer nach wie vor versuchen, ihre Opfer via präparierten Attachments zur Installation von Malware, Ransomware und andere Schad-Software zu überreden. Diese Angriffsform macht aber nur 10 % der blockierten Attacken in einem Zeitraum von 6 Monaten aus. Die verbleibenden 90 % der Angriffe beinhalten in ihrer Initial-Attacke keine Malware, sondern versuchen mit Social Engineering und Identitätsbetrug direkt Daten zu stehlen oder erst in einem späteren Schritt Malware zu installieren.

Identitätsbetrug stark im Kommen

Immer mehr Angreifer nutzen Identitätsbetrug. Das heißt, sie geben sich als Kollege, Chef etc. am Arbeitsplatz aus, und versuchen, dem Opfer sensible Daten zu entlocken oder es zu einer Finanztransaktion zu überreden. Oft gibt es davor einiges Hin- und Her, damit das Opfer nicht gleich Verdacht schöpft. In einem solchen Fall muss das Ganze wirklich sehr gut gemacht sein, damit du wirklich glaubst, dass du mit deinem Chef o. ä. eine Konversation führst, sagt E-Mail-Sicherheitsexperte Ken Bagnall von FireEye zu ZDNet. „Wenn du erst davon überzeugt bist, gerätst du ganz leicht in eine Situation, die von Vorteil für den Angreifer ist und schon kann es zu einem Betrugsszenario kommen. Wenn es sich nur um Textnachrichten handelt, gibt es sehr wenig Beweise und du bist ausgesprochen angreifbar – das ist in letzte Zeit wirklich häufig.“

Leicht ausführbare Angriffe

Diese Attacken sind relativ leicht auszuführen. Denn anstatt eine ganze Domain manipulieren zu müssen, können die Angreifer einfach nur einen Anzeigenamen oder eine E-Mail-Adresse faken – vor allem dann, wenn das Opfer ein Smartphone verwendet. „Wenn du in die Inbox schaust, siehst du nur einen Anzeigenamen – jeder kann hier absolut alles hineinschreiben.“ Eine besondere Form von Identitätsbetrug, die laut FireEye momentan stark im Kommen ist, ist jene, die zu Pishing-Seiten und anderen manipulierten Links führt. Anstatt individuelle Nachrichten zu senden, schickt der Angreifer generellere Nachrichten mit Links, die nach internen Unternehmens-Links aussehen. Wird daraufgeklickt, wird Malware eingeschleust oder man kommt auf eine glaubwürdige Seite, die Daten absaugen will.

Forscher bezeichnen die FIN7-Gruppe als eine jener Organisationen, die sich dieser Art von Angriff verschrieben hat. FIN7 ist auch als Carbanak-Gruppe bekannt, die Angreifer haben Unternehmen auf der ganzen Welt mit sehr erfolgreichen Kampagnen attackiert.

Menschliche Fehler werden bei Pishing immer eine Rolle spielen

Es gibt aber relativ einfache Maßnahmen, um die Wahrscheinlichkeit, Opfer einer solchen Attacke zu werden, zu verringern. Egal, ob es um Pishing, Identitätsbetrug oder etwas anderes geht. „Du solltest nie eine Situation kommen, in der du 10 Millionen Dollar überweist, nur weil du eine E-Mail-Konversation mit jemanden hattest, die sonst in keiner Art und Weise bestätigt wurdest. Das ist eine offensichtliche Sache“, so Ken Bagnall. Sicherheitsbewussteins-Trainings können außerdem dabei helfen, diese Art von Angriffen zu erkennen – aber menschliche Fehler werden dabei immer eine Rolle spielen. „Trainings sind sehr hilfreich – ein kleiner Teil der Menschen wird aber trotzdem immer auf solche Angriffe hereinfallen.“ Die absolute Sicherheit gibt es also nicht, Pishing wird wohl ein fixer Bestandteil der heutigen Onlinewelt bleiben …

Quelle: ZDNet


Erstellt am: 15. September 2018

Artikel aus der gleichen Kategorie:

 
Legal Disclaimer VPNTESTER

Schreibe einen Kommentar