Dienstag — September 8, 2020 —

Phishing-E-Mails sind ein Dauerbrenner der Cyberkriminalität. Aktuell erleben die oftmals täuschend echten Nachrichten aus vermeintlich seriöser Quelle sogar so etwas wie eine kleine Renaissance: Mehr Menschen arbeiten und shoppen von zuhause aus, Firmen verändern Verhaltensregeln, Regierungen aktualisieren Quarantänebestimmungen, soziale Kontakte oder Arbeitssuche erfolgen auf digitalem Wege, etc. Die Liste ist lang, und aus jedem der genannten und zahlreichen weiteren aktuellen Szenarien könnten Cybergangster glaubwürdige Themen für ihre Phishing-Attacken kreieren. Dass und wie sie aktuelle Themen tatsächlich in die Tat umsetzen können, zeigt eine Erhebung des Sophos Phish-Threat-Teams aus der ersten Jahreshälfte 2020.

Sophos Phish Threat ist ein Simulator für Phishing-Angriffe, mit dem IT-Abteilungen die Anfälligkeit der Mitarbeiter*innen im eigenen Unternehmen für Phishing-Attacken testen und so die Belegschaft gezielter aufklären sowie Prävention betreiben können. Auf Basis der so gewonnenen Daten hat das Sophos-Phish-Threat-Team die zehn Top-Themen für erfolgversprechendes Phishing ermittelt. Jeweils mindestens 1.000 Phishing-Emails pro Rubrik flossen in die Auswertung ein. Im überraschenden Ergebnis zeigt sich, dass die mutmaßlich erfolgreichsten Phishing-Tricks eher simpel als inhaltlich ausgeklügelt daherkommen und auf Alltagsdinge abzielen.:

  1. Neue Verhaltensregeln im Unternehmen. Ein angeblicher Brief der Personalabteilung, in dem die neuen Verhaltensregeln des Unternehmens umrissen wurden. Angesichts des weltweiten Interesses an einer größeren Vielfalt am Arbeitsplatz und der Verringerung von Belästigungen und Missverständnissen überarbeiten viele Unternehmen derzeit ihre Beschäftigungsrichtlinien.
  2. Verspätete Lohnsteuerbescheinigung zum Jahresende. Durch diese E-Mail wurden die Mitarbeiter*innen – scheinbar seitens des Arbeitgebers – darüber informiert, dass notwendige Steuerunterlagen nicht zum üblichen Zeitpunkt eintreffen würden.
  3. Geplante Server-Wartung. Eine Betreffzeile, von der viele im Phish-Threat-Team glaubten, dass sie zumeist überlesen bzw. ignoriert würde. Zur Überraschung der IT-Experten landete diese Rubrik jedoch auf Platz 3. Eine Planbarkeit von IT-Verfügbarkeiten und Arbeitszeiten scheint deutlich an Relevanz gewonnen zu haben.
  4. Zu erledigende Aufgaben. Hier kommt die Nachricht scheinbar vom Projektplanungssystem, das die Firma verwendet. Ein solche Phishing-Variante ist auch im Realen möglich, weil davon ausgegangen werden kann, dass die in Unternehmen verwendeten Geschäftswerkzeuge weithin bekannt sind und von Betrügern leicht, vielleicht sogar automatisch, herausgefunden werden können.
  5. Test eines neuen E-Mail-Systems. Wer möchte dem Unternehmen oder dem IT-Dienstleister nicht hilfreich sein, wenn es nur eines schnellen Klicks bedarf? Und schon ist man in die Falle getappt.
  6. Aktualisierung der Urlaubsrichtlinien. Seit der Coronavirus-Pandemie sind Reiseplanungen komplizierter geworden. Die meisten Unternehmen aktualisieren ihre Urlaubsrichtlinien und Quarantäneregelungen jeweils entsprechend der weltweiten Pandemieentwicklung und den Empfehlungen der Regierung. Klar, dass hier viele Mitarbeiter geneigt sind, sofort nachzuschauen.
  7. Autobeleuchtung an. Der aufmerksame Hausmeister meldet vermeintlich ein Auto, bei dem das Licht noch an ist und liefert im E-Mail-Anhang auch gleich ein Foto des betreffenden Fahrzeugs mit. Hier wird auf die Neugier der Empfänger gesetzt.
  8. Paketzustellung fehlgeschlagen. Dies ist unter Phishing-Gangstern ein altbewährter Trick, der seit Jahren funktioniert. Heutzutage, vor allem dank der rasanten Zunahme von Hauslieferungen, ist er leider umso glaubwürdiger geworden.
  9. Persönliches Dokument aus der Personalabteilung. Ein angeblich „gesichertes Dokument“ des HR-Teams soll den plausiblen Grund dafür liefern, dass Mitarbeiter*innen in Unternehmen sich davon überzeugen lassen Passwörter einzugeben, wo sie es normalerweise nicht müssten oder die Sicherheitseinstellungen ihres Computers anzupassen. Vorgeblich zur Verbesserung der Sicherheit – das Gegenteil ist natürlich der Fall und Zweck.
  10. Neue Social-Media-Nachricht. LinkedIn, Xing und andere berufliche Netzwerke erfreuen sich aktuell steigender Popularität. Vor dem Hintergrund von Arbeitszeitkürzungen, Arbeitsplatzverlust und anderen beruflichen Konsequenzen, die die Corona-Pandemie mit sich bringt, ist der Erfolg mit scheinbaren Updates zu Aktivitäten im eigenen Netzwerk wenig überraschend. Betrüger machen sich die Situation zunutze.

Das Sophos-Phish-Threat-Team gibt einige Tipps zum Schutz vor Phishing

Vor dem Klick erst kritisch prüfen. Selbst wenn eine Nachricht auf den ersten Blick unverdächtig aussieht, ist ein kritischer zweiter Blick oft entscheidend, folgende Fragen sollten gestellt werden: Wird z.B. etwas versprochen, das bei genauer Betrachtung zu gut ist, um wahr zu sein? Gibt es Rechtschreibfehler, von denen man bezweifeln darf, dass der Absender sie machen würde? Findet sich ein Sprachstil, den das eigene Unternehmen sonst nicht pflegt? Ist von Software-Tools die Rede, die die Firma gar nicht verwendet? Sollen Sicherheitseinstellungen vorgenommen werden, vor denen bislang gewarnt wurde?

Im Zweifel den Absender fragen. Die Kontaktaufnahme sollte allerdings auf keinen Fall mit einer direkten Antwort auf die verdächtige Nachricht erfolgen. Der vermeintliche Absender der verdächtigen Nachricht sollte in einer separaten E-Mail gefragt werden, ob er die betreffende Nachricht tatsächlich verfasst hat. Auch ein kurzer Anruf kann Klarheit bringen.

Achtung bei Links mit „kreativen“ Domainnamen. Viele Phishing-E-Mails enthalten Text und Bilder, die originalgetreu sind. Aber die Betrüger sind oft auf temporäre Cloud-Server oder gehackte Websites angewiesen, um ihre Phishing-Webseiten zu hosten, und diese Täuschung kann oft in dem Domainnamen aufgedeckt werden. Gauner registrieren oft Beinahe-Namen wie yourcompany, yourc0mpany (Null für den Buchstaben O) oder yourcompany-site, wobei sie Rechtschreibfehler, ähnlich aussehende Zeichen oder hinzugefügten Text verwenden.

Verdächtige E-Mails ans Sicherheitsteam senden. Lieber einmal zu viel die IT-Abteilung behelligen. Sobald eine verdächtige Nachricht im Postfach landet, ist sie am besten per Weiterleitung bei der IT-Security des Unternehmens aufgehoben. Hiermit können auch andere Kolleg*innen geschützt werden, die dieselbe Nachricht vielleicht später erhalten.

About Sophos

Sophos is a global leader and innovator of advanced security solutions for defeating cyberattacks, including Managed Detection and Response (MDR) and incident response services and a broad portfolio of endpoint, network, email, and cloud security technologies. As one of the largest pure-play cybersecurity providers, Sophos defends more than 600,000 organizations and more than 100 million users worldwide from active adversaries, ransomware, phishing, malware, and more. Sophos’ services and products connect through the Sophos Central management console and are powered by Sophos X-Ops, the company’s cross-domain threat intelligence unit. Sophos X-Ops intelligence optimizes the entire Sophos Adaptive Cybersecurity Ecosystem, which includes a centralized data lake that leverages a rich set of open APIs available to customers, partners, developers, and other cybersecurity and information technology vendors. Sophos provides cybersecurity-as-a-service to organizations needing fully managed security solutions. Customers can also manage their cybersecurity directly with Sophos’ security operations platform or use a hybrid approach by supplementing their in-house teams with Sophos’ services, including threat hunting and remediation. Sophos sells through reseller partners and managed service providers (MSPs) worldwide. Sophos is headquartered in Oxford, U.K. More information is available at www.sophos.com.