Lorenz Szabo - Manager & Autor bei BDO/ Copyright: BDO

Phishing vs. Awareness- Das Angeln in unserem Bewusstsein

Im Cyber Security Awareness Oktober 2021 betrachten wir die Grundlagen von IT-Sicherheit und geben Ihnen Tipps und Tricks an die Hand. Was können Einzelpersonen tun, um sich der Lage bewusst zu werden? Welche Überlegungen lohnen sich jedenfalls vor dem nächsten Klick? Denn was ist AWARENESS? Wir nehmen etwas bewusst wahr, ohne nicht darüber einmalig oder mehrmals nachgedacht zu haben. 

Unsere Bewusstseinsbildung hängt von unserer Sensorik und Erfahrung ab: Wie kann ich mir über etwas bewusst sein, wenn ich es nicht wahrnehmen kann (Stichwort: fehlende Sensorik), oder ich keine Erfahrung damit habe (Stichwort: fehlender Wissensstand)? Genau das ist in der virtuellen Welt mit kontinuierlichen Neuerungen, unterschiedlichen Anreizen und komplexen Aufgabenstellungen mitunter sehr kompliziert.

Ein konkretes Beispiel: Beim Ansteuern einer Webseite informiert der Web-Browser darüber, dass für die Webseite ein gültiges SSL-Zertifikat fehlt. Er stuft diese Webseite als unsicher ein. Ob eine Webseite sicher oder unsicher ist, kann von keiner reellen Person gespürt werden, denn beim Arbeiten im Cyberspace geht uns die Sensorik der realen Welt weitgehend verloren. Ob ein Server in Russland oder in den USA steht, ein Server von Schadsoftware befallen ist oder ob ein Betreiber böse Absichten hat, können wir weder sehen, fühlen, riechen, noch schmecken oder hören.

Wir könnten jedoch unsere Sensorik in den Cyberspace ausweiten und über die Technik und deren Parameter bis zu einem bestimmten Grad ein Gefühl entwickeln, also sehen: Wer hostet bzw. betreibt den Server, in welchem Land ist der Service-Provider tätig? Welche Software läuft auf dem Server, gibt es Indikatoren für Schadsoftware? Dies ist jedoch sehr aufwendig und kann nicht so einfach oder schnell durchgeführt werden. Der Wissensstand von Anwenderinnen und Anwender sorgt dafür, dass sie Webseite mit einem unsicheren Zertifikat kaum ansteuern. Sie könnten es aber trotzdem jederzeit tun!

Awareness-Schulungen vermitteln Wissen im Bereich der Informationssicherheit, mit Userinnen und User bisher noch keine Berührungspunkte hatten. Einfach ausgedrückt: Es werden bereits gewonnene Erkenntnisse bzw. frühere Fehler anderer geschult.

In dieser vereinfachten Darstellung können Userinnen und User im Cyberspace ihre naturgemäß eingeschränkte Sensorik mit Erfahrung und Wissen kompensieren. Die IT hat historisch betrachtet eine eher technische Sichtweise, während der CISO vielmehr die wissensbasierte Sichtweise inne hat. In Summe ergänzen sich alle Bereiche zum Vorteil des Unternehmens bzw. der Organisation.

Wo greifen uns die Angreifer an?
Genau bei der Sensorik versuchen uns die Cyberkriminellen oder Hacker im Cyberspace auszutricksen:
Social Engineering ist die Technik dafür, uns Tatsachen glauben zu lassen, die so nicht existieren. Diese Methode, auch angewandte Sozialwissenschaft oder soziale Manipulation genannt, soll uns dazu bewegen, Dinge zu tun, die wir normalerweise unterlassen oder hinterfragen würden. Unsere Bewusstseinsbildung soll dabei nur an der Nase herumgeführt werden. Dies funktioniert am besten über positive und negative Anreize – also unsere menschlichen Stärken und Schwächen:

Stärken/ SchwächenBeispielSensorikErfahrung und/oder Wissen
DemütigungMüssen wir am Montag gleich das nächste Mitarbeitergespräch führen, wenn Sie Niete nicht einmal dieser einfachen Anweisung folgen können?Mein Chef war heute Morgen noch zufrieden.Mein Chef würde nie in diesem Ton mit mir reden.
EinschüchterungDie Überweisung im Anhang muss heute unbedingt noch raus, sonst verlieren wir den Auftrag! Das hat dann Konsequenzen für Sie!Mein Chef hat mich noch nie per Mail um so etwas gebeten.Alles mit Merger ist bei uns ein eigener Vertrauensbereich mit Geheimhaltung.
ErpressungWir haben Nacktfotos und wissen, welche Webseiten Sie besuchen…Meine Kamera ist überklebt.Ich bin Pensionistin und schaue mir am Tablet nur sporadisch Kochrezepte- und Hundeseiten an.
GierElon Musk verdoppelt heute deine Bitcoins auf Twitter!!!@FreeBitcoinElonMusk wurde erst gestern angelegt.Warum sollte mir Elon Musk eigentlich Geld schenken?
Gutgläubigkeit„Gott hat Sich als ein Helfer in misslichen Lage auserwählt…“ [sic!]E-Mail ist voller Fehler.Was schreibt der denn da bitte?
HilfsbereitschaftHelfen Sie bitte den Hurricane-Opfern in…E-Mail kommt von amnsty.com.Amnesty International ist doch eine NGO für Menschenrechte?
NeugierDarf ich Ihnen einen gratis 256GB USB-Stick überreichen?Billiger USB-Stick in offener Verpackung von einem Unbekannten.Kind, nie Geschenke von Fremden annehmen!
RespektAls Experten/-in für SWIFT-Zahlungssysteme würden wir Sie gerne zu dieser Experten-Befragung einladen…Sehr professionelles E-Mail.Warum muss ich mich in der Befragung mit meinem SWIFT-Benutzerkonto anmelden?
SchamIhr Mitbewerber sollte dieses Datenleck nicht sehen und Sie zahlen besser 3 Bitcoin dafür.Bis dato keine E-Mails vom Vorstand zu Datenlecks eingetroffen.Könnte was dran sein? Ich frage einmal den CISO!
StressWir können das nur hier und jetzt im Chat besprechen… Ich kann gerade nicht telefonieren!Was kommt auf meine SMS retour?Da stimmt was nicht…
ZeitdruckDiese Überweisung muss heute noch dringend durch, sonst verlieren wir dieses Mega-Geschäft!!!Freitagnachmittag um 16:45.Zahlungen folgen unseren internen Prozessen und Workflows.

Die Tricks der Angreifer
Wie weit ein Angreifer gehen kann, wird durch das Ausloten dieser Stärken und Schwächen herausgefunden und in unterschiedlichen Angriffsformen umgesetzt. Dazu gehören beispielsweise:

  • Die Vertrauensbasis: Eine unbürokratische und schnelle Lösung soll ein komplexes Problem beheben. Dabei werden im Hintergrund vom Angreifer mehrfach Probleme erzeugt, die das Opfer bei Rückfragen jedes Mal schnell und kompetent behoben bekommt. Es entsteht somit eine Vertrauensbasis zwischen dem Angreifer und seinem Opfer.
  • Der Hilfebedürftige: Der oder die mutmaßlich „Neue“, bittet um Hilfestellung, um sich nicht „schon wieder“ blamieren zu müssen. Oder ein Bekannter ersucht von einer Ferieninsel aus um eine rasche Western-Union-/PayPal-Überweisung, da Geldbörse und Smartphone am Vortag gestohlen worden sind.
  • Der Moralische: Der Angreifer weist auf konkrete und unbehandelte Missstände hin, die ein Unternehmen, eine Organisation oder ein Projekt gefährden könnten. Woher er das weiß? Die dafür notwendigen Details lassen sich über Medienberichte, Datenlecks oder kompromittierte E-Mail-Konten erraten bzw. ableiten.
  • Der Insider: Der Angreifer gibt Details bekannt, die tatsächlich nur jemand wissen kann, der mit der Organisation, einem Kunden, einer Branche oder einem Projekt betraut ist. Zusätzlich werden Fachbegriffe eloquent verwendet, die offensichtlich nur ein Insider kennen kann.
  • Der Experte/Techniker: Der Angreifer ist ein Experte/Techniker, gibt sich als solcher durch Bekleidung oder Wortwahl aus und agiert im Auftrag eines bekannten Subunternehmens. Er verwendet dabei typische Werkzeuge wie TeamViewer-Software oder trägt einen Overall und hat Werkzeuge dabei. Ziel der Angreifer sind dabei vor allem Server oder ITK-Infrastruktur. Meistens sind die Angreifer im Team tätig und zufälligerweise sind auch gerade andere Techniker mit Wartungsarbeiten beschäftigt.
  • Der Guru: Sehr ähnlich dem Experten ist der Guru, aber er kennt zusätzlich Insiderinfos und geheime Quellen (z.B. Deep State), die den meisten von uns verborgen bleiben. Was früher der klassische Finanzbetrüger war, ist heute der Blockchain-Guru, der geschickt die Umgehung von „staatlichem Raubrittertum“, also der Massenüberwachung oder Beschlagnahmung durch korrupte Behördenvertreter, mit kryptoanarchischen Offshore-Konstrukten lösen will. Dazu führt er sein Phishing über Podcasts, Seminare und YouTube durch. Gewinnversprechen treffen dabei auf fulminante Verschwörungstheorien und die Blockchain wird so zum neuen Schlangenöl. Im Gegensatz um Experten braucht es hier besonders viel Zeit, die der Angreifer jedoch hat.
  • Der Prinz: Immer noch ein Klassiker – und das schon seit dem Faxgerät! Durch widrige geopolitische Umstände sind gewaltige Vermögen besitzlos geworden und der vom Angreifer auserwählte Samariter könnte gegen Gewinnbeteiligung behilflich sein, dieses Vermögen zu retten. Dafür müssten nur Spezialtinkturen zur Wiederherstellung von geschwärzten Banknoten oder komplexe Finanztransaktionen vorfinanziert werden. Ähnlich funktioniert die Schwarze Witwe, die statt einem Vermögen sexuelle Gefälligkeiten verspricht und das Opfer für den Diebstahl von Notebook und Smartphone mit einem Schlafmittel betäubt. Das gibt es nur in schlechten Filmen? In ihrem berühmten Vortrag „The Swingers – Karl and Hana Koecher“ erklärt die ehem. CIA-Expertin Jonna Mendez, wie dies professionell abläuft.
  • Der Vorgesetzte: Der Angreifer gibt sich als hochrangiger Funktionsträger (z.B. CFO, Rechtsanwalt) aus, der auf der Suche nach einer raschen Lösung die Führungsebenen überspringen muss und für sein dringendes Vorhaben daher besonders diskrete/kompetente Mitarbeitende benötigt. Direkte Vorgesetzte in der Linie können davon (noch) nichts wissen!

Doch um solche Anreize als Angriffe überhaupt setzen zu können, benötigt es auch technische Hilfsmittel. Woher weiß der Angreifer bestimmte Details? Wie erkennen Cyberkriminelle, welche Online-Dienste wir benutzen? Expertinnen und Experten sprechen von Methoden und Hilfsmitteln, damit die Angriffe auf unser Bewusstsein überhaupt erst wirken können.

Zu den klassischen technischen Hilfsmitteln zählen Keylogger, präparierte Mobiltelefone, Kameras und Fernmikrophone, die teilweise von den Angreifern vor Ort am Arbeitsplatz oder im Hotelzimmer installiert oder in Form von Geschenken übergeben werden müssen. Bei dem Trump-Kim-Gipfeltreffen in Singapur (2018) wurden mutmaßlich harmlose USB-Mini-Ventilatoren an Presse und Medien verschenkt, die auch ausspionieren hätten können. Der Einsatz von kompromittierter Hardware für Social Engineering bleibt weiterhin realistische Gefahr, aber mit sehr hoher Wahrscheinlichkeit im Umfeld von Industriespionage oder kriminellen Angriffen im Finanzbereich. So wurden beispielsweise im Jahr 2021 gefälschte USB-Dongles (Hardware Token) an Kunden einer Kryptobörse verschickt.

Mittlerweile sind auch winzige USB-Kabel in der Lage, Tastatureingaben per WiFi zu verschicken. Und Miniaturkameras mit Datenmodem können in Alltagsgegenständen verbaut werden.

Social Engineering Angriffe vor Ort – wie etwa das Eindringen in Büros oder Serverräume – erleben nach der Covid-19-Pandemie auch wieder ein Comeback. Vor allem dort, wo Unternehmen bestimmte Server/Systeme vom Internet getrennt haben (Air Gapped). Wer sich mit diesem speziellen Thema fachlich vertiefend beschäftigen möchte, dem sei besonders der YouTube-Kanal von Deviant Ollam empfohlen. Tatsächlich sind und bleiben Datenlecks, soziale Medien und kritische Sicherheitslücken die bequemste und schnellste Methode für Angreifer, da Angriffe aus entfernten Ländern ausgeführt werden können. Aus dem Dumpster Diver der frühen 2000er-Jahre entwickelte sich so der heutige „Sofa-Surfer“…

Phishing – das Abfischen aus dem Internet 
Ob Vertrauensbasis, Experte oder vermeintliche Vorgesetzte: Cyberangriffe aus dem Internet sind schnell umgesetzt und ziehen auch den ein oder anderen dicken Fisch (Whale) bei Hundertausenden bis Millionen von potenziellen Opfern an Land. Die dafür notwendigen Ziel- bzw. Adresslisten können über soziale Netzwerke und Datenlecks erzeugt werden oder existieren bereits in den Untiefen des Internets. Dabei verschwimmen auch die Grenzen: Wo früher nur Telefaxe oder E-Mails als Türöffner eingesetzt wurden, werden heute ganze Betrugsmaschen nur mehr über das eigene Smartphone abgewickelt. Im Hintergrund sind dafür überaus professionelle Callcenter im Ausland (z.B. Indien, Türkei) tätig.

Phishing („Abfischen“) benötigt ebenfalls Werkzeuge. Dazu zählen:

  • Präparierte Kommunikation wie E-Mails, Nachrichten oder Anrufe: Absender und Nummern sind in vielen Kommunikationsmitteln schnell gefälscht, da prinzipiell jeder seinen Alias, Namen oder sein Benutzerkonto frei wählen kann. Die Forderung der Politik, nur über persönliche Registrierung ein Benutzerkonto anlegen zu dürfen, wird im politischen Diskurs vorab als autoritär abgetan bzw. über alternative Dienste ohnehin einfach umgangen. Ebenso sind Kriminelle sehr oft leicht in der Lage, über Datenlecks und schlechte Passwörter auch Benutzerkonten von Dritten zu übernehmen.
    • Das „Smishing“ – kurz für SMS-Phishing – ist eine Subkategorie des Phishings, da mittlerweile auch Telefonnummern in Hülle und Fülle über Datenlecks und Spamlisten im Deep und Dark Web vorhanden sind. Um hier die Anreize der Opfer über Kurznachrichten zu ergattern, werden von Kriminellen nicht zustellbare Sprachnachrichten oder offene Zollgebühren für ein Paket suggeriert. Eine Verlinkung führt dann auf eine präparierte Internetseite.
    • Beim „Callcenter-Betrug“ werden die Opfer direkt angerufen und über Social Engineering in Gespräche verwickelt. Meistens geht es dabei um angebliche Support-Mitarbeitende, die dann zusammen mit dem Opfer eine Software am PC installieren wollen. Callcenter-Betrug ist eine eigene Kategorie, da hier teils professionelle Callcenter im Ausland gezielt bestimmte Gesellschaftsgruppen anrufen. Bei jedem Anruf wird eine neue Telefonnummer angezeigt, damit das Opfer weitere Anrufe nicht unterdrücken kann. Aktuell kursieren wieder Anrufe von einem vermeintlichen Microsoft Office Support, der Viren am PC des Opfers entfernen muss.
    • Auch in die Kategorie der präparierten Kommunikation fallen vorgetäuschte WiFi-/WLAN-Hotspots – in der Fachsprache „Rogue Access Point“ genannt. Dabei werden alternative Internetzugänge mit täuschend echten Namen angeboten, die entweder hohe Geschwindigkeit suggerieren oder kostenlos sind. Beliebte Angriffspunkte sind Hotels und Lounges in Flughäfen, wo nach der erfolgreichen Verbindung alle Daten mitgelesen werden. Diese Technik ist vor allem bei Professionellen beliebt und wurde von ausländischen Nachrichtendiensten beispielsweise bewusst auf kleineren Flughäfen in Kalifornien/USA eingesetzt, um so die Besitzer von Privatflugzeugen gezielt belauschen zu können. Experten bezeichnen freie Hotspots in öffentlichen Räumen in etwa als so vertrauenswürdig wie „Sushi von Tankstellenshops“…
  • Präparierte Internetseiten (Landing Pages) täuschen das Opfer und spielen beispielsweise die eigene Unternehmenswebseite vor. Vorbei sind die Zeiten, in denen offensichtliche Rechtschreibfehler einen nur schmunzeln lassen. Das Übernehmen (Klonen) von Webseiten funktioniert überraschend einfach und geschickte Subdomains lassen einen Cloud-Dienst bei Amazon oder Microsoft vortäuschen.
  • Präparierte Dateien und Anwendungen werden über Nachrichten oder Internetseiten am Computer oder Smartphone des Opfers installiert. Geht nicht, wird doch ohnehin blockiert? Sogenannte File-less-Angriffsmethoden nutzen am PC installierte Softwaretools (z.B. Powershell) und führen Skripte aus, die erst später die ausführbaren Dateien nachladen. Des Weiteren existieren Zero Click Angriffe, bei denen Opfer nicht einmal mehr überlistet werden müssen, wie zuletzt bei Apples iOS.
    • Pop-up-Fenster gehören weiterhin zu den bekannten Tricks im Social Engineering. Aber auch Webseitendesigns können über unterschiedliche Farben und Schriften visuell überrumpeln und so beispielsweise zu wiederkehrenden statt einmaligen Zahlungen überreden. Denn Hand aufs Herz, wer liest schon das ganze Kleingedruckte in einer grauen 7-Punkt-Schrift auf rotem Hintergrund?

Der Schutz vor Social Engineering
Gegen oben genannte technische Angreifertricks stehen allerdings auch diverse Abwehrmaßnahmen zur Verfügung:

  • Netzwerkeinstellungen:
    • Unter Windows 10 können die Verbindungseigenschaften auf „Öffentliches Netzwerk“ geändert werden.
    • Auch ist es unter Windows 10 möglich, zufällige Hardware-MAC-Adressen im Netzwerk zu verwenden.
  • Virtual Private Network:
    • Professionelle Anbieter von virtuellen privaten Netzwerks (VPN) erlauben den Schutz der Datenübertragung an unsicheren Orten, wie etwa Hotel-Internet.
    • Achtung bei Angeboten zu VPNs: Die bekannten VPN-Dienste ExpressVPN, CyberGhost, Private Internet Access, Zenmate und einige andere werden von der Firma Kape Technologies vertrieben und auf eigenen „herstellerunabhängigen“ Blogs von mutmaßlichen Anwenderinnen beworben. Es handelt sich dabei um Cyberspionage auf Lasten der Konsumenten, wenn auch nur für gezielte Werbung.
  • Display-Schutzfolien helfen im öffentlichen Raum, die neugierigen Blicke von Dritten beim Shoulder Surfing zu blockieren. Da diese Schutzfolien später für Präsentationen ungeeignet sind, lassen sich viele Folien auch temporär entfernen.
  • USB-Blocker bzw. Datenblockerkabel können den Datenverkehr von unbekannten USB-Anschlüssen, wie in Restaurants oder öffentlichen Verkehrsmitteln, blockieren und ermöglichen lediglich ein Aufladen des Smartphones. In größeren Unternehmen empfehlen sich solche Blocker ebenfalls, sollten beispielsweise im semi-öffentlichen Konferenzraum oder in unbeaufsichtigten Besprechungsräumen diverse Netzteile herumliegen.
  • Zertifikatswarnungen sind generell als Empfehlung zu betrachten. Dummerweise vergessen auch manchmal Profis, diverse Zertifikate zu erneuern, warum dies durchaus auch bei Firmenwebseiten hinterfragt werden sollte.
  • Clear Desk Policy, Rollcontainer abschließen und Rechner sperren dienen dazu, den eigenen Arbeitsplatz vor unbeaufsichtigten Gästen und unbekannten Dritten zu schützen. Das Entfernen von Altpapier in speziellen Containern oder im Aktenvernichter hilft gegen Dumpster Diving.
  • Softwareinstallation und Updates sind die Achillesferse der modernen IT. Viele IT-Profis sehen in Updates die Auslöser von unerwünschten Nebeneffekten im Netzwerk („Never change a winning team“) und wollen dies zuerst einmal getestet bzw. evaluiert wissen. Hier kann die typische Anwenderin nur auf eine schnelle Reaktion der eigenen IT hoffen, was in Großunternehmen bereits prompt umgesetzt wird. Auf eigens administrierten Geräten wie dem Smartphone oder dem Tablet empfiehlt sich hingegen die vollautomatische Installation aller neuen Updates.
  • Das Trennen von Benutzerkonten in berufliche und private Konten hilft, den Datenpool für Social Engineering Angriffe zu minimieren. Eine idente E-Mail-Adresse für Firmen-E-Mail, Dropbox, LinkedIn, Facebook und Netflix sollte gemäß moderner Büro-/IT-Richtlinien ohnehin nicht verwendet werden und schon gar nicht dasselbe Passwort für alle Dienste. Passwort-Manager helfen bei neuen Benutzerkonten und zufälligen Passwörtern und stehen mittlerweile auf allen modernen Endgeräten zur Verfügung.

Zum Schluss noch das wichtigste Werkzeug: Ihre Awareness. Wird Elon Musk oder Tim Cook meine Bitcoins tatsächlich verdoppeln wollen? Braucht meine Bank einen weiteren Vollzugriff auf meine Kontodaten, wenn ich über Telebanking ohnehin bereits alles habe? Bekomme ich ein zu verzollendes Paket mit DPD, wenn ich nur in Europa oder alles per Post im Inland bestelle? Soll ich wirklich im Bus oder S-Bahn meinen Kontostand im Online-Banking überprüfen? Wer schickt mir ein E-Mail (Absenderadresse), über welche Domain wurde die E-Mail versandt oder eine Verlinkung geteilt?

Vieles, was im ersten Moment dringend und notwendig erscheint (jetzt, sofort – sonst Sperre, Kosten, Ungemach,…!), ist nach kurzem Durchatmen und einer analytischen Betrachtung meist ohnehin klar: Es betrifft mich nicht, es kann warten – oder ich frage einfach mal nach…

Link zum Unternehemensprofil von der BDO: hier

teilen