Autor: Jelle Wieringa, Security Awareness Advocate bei KnowBe4
Eine Spear-Phishing-Kampagne versendet gefälschte „Kundenbeschwerden“, die einen Link zu einer bösartigen Website enthalten, so Paul Ducklin von Naked Security. Die Phishing-E-Mails geben vor, von einem Manager des Unternehmens des Mitarbeiters zu stammen und fragen den Empfänger nach einer Kundenbeschwerde, die er erhalten hat. Der Link in der E-Mail gibt vor, zu einem PDF der Beschwerde über den Mitarbeiter zu führen, führt jedoch zu einer Seite, auf der das Opfer dazu verleitet wird, Malware herunterzuladen. Ducklin fügt hinzu, dass die Wahrscheinlichkeit, auf den Link zu klicken, noch größer ist, wenn man in einer Umgebung mit hohem Druck arbeitet.
Zudem erläutert Ducklin, dass vor allem unerfahrene Nachwuchskräfte, die häufig in ausgelagerten Jobs wie dem First-Line-Support arbeiten, am ehesten aggressiven Anrufern und Beschwerden ausgesetzt sind. Sie sind damit sehr attraktive Ziele für solche Spear-Phishing-Attacken. Eine weitere Problematik stellt der Umstand dar, dass die Mitarbeiter im Support sich nur in den seltensten Fällen bei der Geschäftsleitung melden, nämlich dann, wenn ein Anrufer besonders aggressives oder gar bedrohliches Verhalten zeigt. Der Betroffene möchte in diesen Fällen zu seiner eigenen Sicherheit sicherstellen, dass der Vorfall zu Protokoll genommen wird.
Ducklin merkt außerdem an, dass in diesem Fall die fehlerhafte Form der E-Mails den Empfänger darauf hinweisen könnte, dass die Nachrichten gefälscht sind. „Lassen Sie sich niemals unter Druck setzen oder bedrohen, damit Sie überstürzt handeln, denn genau das erhoffen sich die Angreifer von Ihnen“, sagt Ducklin. „Dieser Betrug ist voller Fehler (Rechtschreibung, Grammatik, falsche Weblinks, unwahrscheinliche Dateidownloads, digitale Signaturen, die verdächtig aussehen), die man normalerweise bemerken würde, aber leicht übersehen kann, wenn man in Eile ist. Die Mail weist viele Anzeichen einer Phishing E-Mail auf. Selbst wer nicht technisch versiert ist, sollte erkennen, dass diese E-Mail gefälscht ist.“
Grundlegende Struktur von Spear-Phishing Kampagnen
- Identifizieren der E-Mail-Adressen
Es gibt zwei Möglichkeiten, wie Hacker Phishing-Kampagnen verschicken: Die erste ist das „Spray-and-Pray“-Verfahren. Hierbei sammeln sie so viele E-Mail-Adressen des Unternehmens wie möglich und senden ihnen allen eine Spam-Mail.
Der zweite Ansatz besteht darin, die Personen gezielt anzusprechen, die Zugriff auf die Daten haben und auf die es der Bedrohungsakteur abgesehen hat. Hierbei handelt es sich um den klassischen Spear-Phishing-Ansatz.
- Umgehung von Antivirenprogrammen
Die Spear-Phishing-Mail muss zunächst die von der Zielperson verwendete Antivirensoftware umgehen. Eine schnelle Suche auf den IT-Job-Websites nach offenen Systemadministrator-Positionen im Unternehmen der Zielperson liefert eine erstaunliche Menge an hilfreichen Informationen für die Bedrohungsakteure. Sobald das Antivirenprogramm bekannt ist, wird es auf einem Testsystem installiert, um sicherzustellen, dass die E-Mail dennoch ankommen kann.
- Aushebeln des Egress-Filters (regelt, dass nur Pakete das Netzwerk nach außen verlassen, die den Sicherheitsanforderungen des Unternehmens entsprechen)
Die Angreifer können die sensiblen Daten nur dann aus dem anvisierten Unternehmen extrahieren, wenn die mit dem Angriff versandte Nutzlast den Datenverkehr aus dem Unternehmen herauslässt.
- Spear-Phishing-Szenario
Mitarbeiter, die nicht über ein hochwertiges Security Awareness Training verfügen, sind ein leichtes Opfer für Spear-Phisher. Der Angreifer stellt Nachforschungen über seine Zielpersonen an, findet heraus, mit wem sie regelmäßig kommunizieren und sendet eine personalisierte E-Mail an diese Person, um sie dazu zu bringen, auf einen Link zu klicken oder einen Anhang zu öffnen.
- Versenden der Betrugsmails
Meist kaufen die Bedrohungsakteure einen gültigen Domänennamen, z.B. bei dem Webhoster „GoDaddy“, und nutzen den kostenlosen E-Mail-Server, der mit der Domäne geliefert wird. Das Ziel ist es nun, dass alle Spam-Mails zu den Zielpersonen durchkommen, die mit einem beliebigen E-Mail-Client oder mit einem Skript gesendet werden und dass somit das eigentliche Ziel, der Datendiebstahl, erfolgreich durchgeführt werden kann.
- Ziel der Spear-Phishing Kampagne
Wenn die Zielperson auf den schadhaften Link geklickt hat, gilt es für den Angreifer, die stündliche Übertragung von Tastaturdaten an den Server abzuwarten und nach den gewünschten Anmeldeinformationen zu suchen. Sobald der Angreifer diese erlangt hat, erfolgt der Versuch in die Workstation einzudringen, alle Netzwerk-Passwort-Hashes auszulesen, sie zu knacken und sich schließlich als Administrator Zugang zum gesamten Netzwerk des Unternehmens zu verschaffen.
Security Awareness als Schlüssel zur Verteidigung gegen Spear- Phishing-Kampagnen
Die effektivste Maßnahme zur Vorbeugung solcher Angriffe ist, ein umfassenden Security Awareness Training für die Mitarbeiter anzubieten und umzusetzen. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Zunächst werden sogenannte Baseline-Tests durchgeführt, die es ermöglichen, den Anteil der für Phishing anfälligen Benutzer zu ermitteln. Zudem sollte man herausfinden, auf welche Art von Angriffen sie hereinfallen und auf welche nicht, um entsprechende Daten zur Messung des eintretenden Trainingserfolgs zu generieren.
Die Schulung der Benutzer mit interaktivem und ansprechendem On-Demand-Material ist notwendig, damit die Botschaft wirklich verinnerlicht wird und nicht nur oberflächlich behandelt und schnell wieder vergessen wird. Weiterhin sollten die internen Schulungen monatlich wiederholt und auf einer Plattform gespeichert und analysiert werden, um die Inhalte zu vertiefen und den künftigen Lernprozess erfolgreich fortzusetzen. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als „menschliche Firewall“ geschult und eingesetzt werden.
