Cybersicherheit ist ein Katz-und-Maus-Spiel. Obwohl Schrotflinten immer noch auf große Gruppen potenzieller Opfer abgefeuert werden, werden Phishing-Angriffe auf bestimmte Ziele immer raffinierter. Die Angreifer konzentrieren sich auf den menschlichen Faktor und verwenden die neuesten Social-Engineering-Techniken.
In letzter Zeit habe ich viele Beispiele erfolgreicher Phishing-Angriffe gesehen, die unglaublich raffiniert waren. Mit einer Vielzahl obskurer und kreativer Methoden gelang es Cyberkriminellen, ihre Opfer auszutricksen. Spielten wir auch mit den Gefühlen der Mitarbeiter oder nutzten wir die Schwächen der Sicherheitskultur einer Organisation aus, war das fast das Rezept für den Jackpot.
Da wir uns mit Wissen gegen diese Art bemerkenswerter Phishing-Angriffe wappnen können, teile ich einige davon mit Ihnen:
1. Deepfake tötet Energieversorger, Binance kommt damit durch
Cyberangriffe mit Deepfakes sind seit geraumer Zeit auf dem Vormarsch. Einer der bisher schädlichsten Angriffe fand 2019 statt, und 2022 wird als Vorlage für tiefgreifende Angriffe auf Organisationen aller Art dienen. Damals gelang es Cyberkriminellen, mit KI geschickt die Stimme eines CEO nachzuahmen. Der Direktor eines britischen Energieunternehmens dachte an einen Anruf mit dem Vorstandsvorsitzenden der deutschen Muttergesellschaft und stimmte in diesem Gespräch einer Überweisung von 220.000 Euro an einen ungarischen Lieferanten zu. Der betreffende CEO hatte den britischen Direktor jedoch nie angerufen. Es stellte sich heraus, dass die Bankkontonummer Cyberkriminellen gehörte.
Vor einigen Monaten musste sich die Kryptoplattform Binance mit einem Super-Deepfake-Betrug auseinandersetzen. Die potenziellen Partner dachten, sie hätten über Zoom ein Gespräch mit dem Kommunikationsdirektor von Binance geführt. Tatsächlich widersprachen sie ein Hologramm vom Regisseur, erstellt von Kriminellen mit einer KI basierend auf den TV-Auftritten des Mannes. Da sich die Gespräche um den Handel mit neuen Token auf der Plattform drehten, beabsichtigten die Kriminellen wahrscheinlich, Kryptowährung von den Parteien zu stehlen, mit denen sie gefälschte Treffen hatten. Glücklicherweise wurde dank jemandem, der sich während des Treffens mit dem wahren Direktor von Binance in Verbindung setzte, rechtzeitig entdeckt, dass es sich um einen sehr raffinierten Betrug handelte.
2. Das Microsoft 365-Popup fordert viele Opfer
Im April letzten Jahres tauchte eine neue Variante einer häufig verwendeten Phishing-Methode auf. Die Opfer dieses Phishing-Angriffs erhielten eine leere E-Mail mit dem Betreff „Preissenkung“ und einer Excel-Datei im Anhang. Allerdings handelte es sich bei der Excel-Datei um eine getarnte HTML-Datei, die von vielen Mailfiltern nicht auf diese Weise gestoppt wurde. Wer die Datei öffnete, erhielt sie fast sofort über eine vorprogrammierte Website ein Microsoft 365-Popup-Bildschirm mit der Meldung, dass Sie sich erneut anmelden müssen. Personen, die ihren Benutzernamen und ihr Passwort eingegeben haben, haben sich nicht erneut angemeldet – sie haben ihre Zugangsdaten an Cyberkriminelle weitergegeben. Eine im Grunde einfache Phishing-Methode, die bösartig wurde, indem die HTML-Datei versteckt und das angesehene Microsoft 365 als Tarnung verwendet wurde.
3. Kaum von der Realität zu unterscheiden: Klon-Phishing
Eine Phishing-Methode, die erst in diesem Jahr populär wurde, nennt sich Klon-Phishing. Eine sehr hinterhältige Methode, bei der viele Internetnutzer nass werden. Ein Empfänger erhält eine E-Mail von einer Firma oder Geschäftsbeziehung, von der er am häufigsten E-Mails erhält. Es gibt Klon-Phishing wenn der Nutzer kurz nach Erhalt einer solchen E-Mail eine zweite E-Mail erhält, weil der Anhang vergessen wurde oder weil der korrekte Link in der Nachricht nicht enthalten war. Diese zweite E-Mail stammt jedoch nicht vom ursprünglichen Absender, sondern von Cyberkriminellen, die Zugriff auf ein E-Mail-Konto der Organisation haben, der der Empfänger angehört. Sie klonen sozusagen die ursprüngliche Nachricht, fügen nun aber schädliche Links oder Anhänge darin ein. Durch das Spoofing der E-Mail-Adresse des ursprünglichen Absenders erkennt der Empfänger nicht schnell, dass es sich bei der zweiten Nachricht um eine Phishing-E-Mail handelt.
4. MailChimp und das Kryptounternehmen werden Opfer eines „nachgelagerten“ Angriffs
MailChimp, eine Plattform, mit der viele Newsletter versendet werden, musste sich im März dieses Jahres mit einer klassischen Phishing-Attacke auseinandersetzen. Mehrere Mitarbeiter des Unternehmens gaben unwissentlich ihre Anmeldedaten preis, die die Cyberkriminellen verwendeten auf Kundenkonten zugreifen. Schmerzlich, denn mit diesen Accounts könnten Angreifer sehr leicht Phishing-E-Mails an mehrere tausend Empfänger gleichzeitig versenden. Dabei blieb es nicht. Trezor, Hersteller von Kryptowährungs-Hardware-Wallets, bemerkte kurz nach der Datenpanne bei MailChimp, dass seine Kunden Phishing-E-Mails erhielten, die über MailChimp gesendet wurden. In diesen E-Mails wurden Kunden dazu überredet, ihre Login-Daten einzugeben. Die Kriminellen verschafften sich so Zugang zu Steel Wallets und Krypto-Assets. Dies ist ein Beispiel für einen „nachgelagerten“ Angriff, bei dem auch Organisationen betroffen sind, die mit einem früheren Opfer in Verbindung stehen, weil Daten verfügbar sind, die Kriminelle gerne verwenden können.
Antizipieren Sie mit dem Training
Wie kann das Unternehmen vor neuen und obskuren Phishing-Methoden geschützt werden? Schnell über Cyberangriffe und Datenlecks in den von der Organisation genutzten Diensten oder den Beziehungen, mit denen sie viel zusammenarbeitet, informiert zu werden, kann viel Elend ersparen. Es lohnt sich, das Mögliche vorwegzunehmen Phishing-Angriffe, unter anderem indem Mitarbeiter anhand aktueller Beispiele und Simulationen auf die Bedrohung geschult werden. Sich allein auf Technologie zu verlassen, reicht nicht aus, um Cyberkriminelle fernzuhalten. Wenn ein Cyberangriff gegen den Uhrzeigersinn fehlschlägt, versuchen es Cyberkriminelle im Uhrzeigersinn. Die oben genannten Fälle zeigen einmal mehr, dass Bösewichte zunehmend Menschen ins Visier nehmen.
„Analyst. Totaler Alkoholkenner. Stolzer Internet-Fan. Ärgerlich bescheidener Leser.“