Ein neuer Trend im Bereich Social Engineering und Identitätsdiebstahl zeichnet sich ab: Cyberkriminelle nutzen die Unfähigkeit der Benutzer aus, gefälschte Firmenlogos in Phishing-Angriffen richtig zu erkennen.
Wir alle kennen die verdächtigen Phishing-E-Mails, bei denen man sofort erkennt, dass sie nicht von dem Anbieter stammen, von dem sie vorgeben zu sein. Und dann gibt es die wirklich guten Angriffsversuche, die perfekt aussehen und auch deshalb erfolgreich sind. Die meisten Phishing-Angriffe blenden Grafiken ein, damit kopierte Logos und Markenzeichen angezeigt werden können, um den Empfänger zu täuschen.
Sicherheitsforscher des Anti-Phishing-Anbieters Inky haben jedoch einen Angriff entdeckt, bei dem Betrüger, die sich als Verizon ausgeben wollen, Symbole verwenden, die den „Scheck“-Teil des Logos darstellen, so dass das gesamte „Logo“ erscheint, ohne dass Bilder heruntergeladen werden müssen.
Verizon-freshphish-2
Quelle: Inky
Man könnte denken: „Das sieht doch überhaupt nicht wie das Verizon-Logo aus“, und damit liegt man richtig. Eine neue Studie zur Markenbildung, die sich mit der Frage befasst, wie gut sich die Verbraucher ein Firmenlogo merken können, zeigt jedoch, dass sich die meisten Menschen zwar an eine Version des Logos erinnern können, aber nicht genau wissen, wie das Logo aussieht. Anhand von zehn der bekanntesten Marken wurde festgestellt, dass bestenfalls 30 % der Menschen eine nahezu perfekte Version des Logos zeichnen können, wobei der Durchschnitt bei nur 16,6 % der Menschen liegt.
Das bedeutet, dass es viel wahrscheinlicher ist, dass ein Phishing-Betrüger, wenn er ein Logo nachzeichnen kann, es gerade so hinbekommt, dass er glaubt, es sei das Unternehmen, für das er sich ausgeben will.
Security Awareness als Schlüssel zur Verteidigung gegen Phishing-Kampagnen
„Die effektivste Maßnahme zur Vorbeugung solcher Angriffe ist, ein umfassenden Security Awareness Training für die Mitarbeiter anzubieten und umzusetzen. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Zunächst werden sogenannte Baseline-Tests durchgeführt, die es ermöglichen, den Anteil der für Phishing anfälligen Benutzer zu ermitteln. Zudem sollte man herausfinden, auf welche Art von Angriffen sie hereinfallen und auf welche nicht, um entsprechende Daten zur Messung des eintretenden Trainingserfolgs zu generieren“, so Jelle Wieringa, Security Awareness Advocate bei KnowBe4.
Die Schulung der Benutzer mit interaktivem und ansprechendem On-Demand-Material ist notwendig, damit die Botschaft wirklich verinnerlicht wird und nicht nur oberflächlich behandelt und gleich wieder vergessen wird. Weiterhin sollten die internen Schulungen monatlich wiederholt und auf einer Plattform gespeichert und analysiert werden, um die Inhalte zu vertiefen und den künftigen Lernprozess erfolgreich fortzusetzen. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als menschliche Firewall geschult und eingesetzt werden.
Benutzer, die ein Sicherheitstraining absolvieren, fallen weitaus seltener auf Phishing-Angriffe herein, ganz gleich, wie treffsicher die Nachahmung ist. Indem sie die Notwendigkeit verstärken, unaufgeforderte und unerwartete E-Mails auf Absenderangaben, Inhalt, Art der Anfrage und – ja – Branding zu prüfen, ist es möglich, nahezu jeden Phishing-Angriff einfach zu identifizieren.
