Warum Phishing nach wie vor ein Problem ist und was Sie dagegen tun können
Zu den zahlreichen Herausforderungen, mit denen Unternehmen seit der Pandemie konfrontiert sind, gehören Phishingangriffe in zunehmender Intensität und Komplexität. Das ist keine große Überraschung, da immer mehr Mitarbeiter im Homeoffice arbeiten und sich erst an die neue Normalität mit all ihren Sicherheitsherausforderungen gewöhnen müssen. Das macht sie zu einem leichten Ziel für Hacker.
Der Erfolg eines Phishingangriffs hängt im Prinzip davon ab, dass ein Benutzer auf etwas klickt, das er besser ignoriert hätte, und der Grund für diesen verheerenden Klick ist die Tatsache, dass der schädliche Link auf den ersten Blick authentisch erscheint. Die Umstellung auf die Arbeit im Homeoffice kann Stress und Unsicherheit verursachen und Angreifer nutzen dies aus.
Phishing ist kein neues Phänomen, sondern existierte schon lange vor der Pandemie. Obwohl IT-Experten seit vielen Jahren versuchen, dieses Problem in den Griff zu bekommen, finden Phishingangriffe nach wie vor in Unternehmen jeder Größe statt und die Gründe dafür sind vielfältig. Das muss jedoch nicht so sein. Es gibt proaktive Prozesse, Sicherheitskontrollen und Technologien, mit denen Sie das Risiko reduzieren können.
Warum herkömmliche Websicherheit nicht vor modernen Phishingangriffen schützt
In den letzten Jahren haben wir beobachtet, dass sich Phishing weiterentwickelt hat. Die Sicherheitsmaßnahmen, mit denen sich Unternehmen früher mehr oder weniger vor E-Mail- oder webbasierten Phishingversuchen schützen konnten, sind heute nicht mehr effektiv.
Unsere Forscher haben sogar festgestellt, dass bis zu 90 Prozent aller Phishingkits mittlerweile Umgehungsfunktionen enthalten, die herkömmliche Websicherheitsmaßnahmen vollständig aushebeln. Viele Angreifer nutzen Phishing-as-a- Service in Form von Phishingkits, die standardmäßige Funktionen zum Umgehen von Erkennungsmechanismen enthalten.
Herkömmliche Websicherheitsstrategien stützen sich seit jeher auf die Nutzung von URL-Datenbanken, um den Zugriff auf Phishing- und andere schädliche Websites zu erkennen und zu blockieren. Zu diesem Zweck setzen Anbieter Webcrawler ein, die Websites prüfen und Phishingwebsites zur Datenbank hinzufügen. Entwickler von Phishingkits wissen dies natürlich und haben Mittel und Wege gefunden, sich der Entdeckung durch Webcrawler zu entziehen. Daher sind die von ihnen verwendeten Adressen auch nicht in den Datenbanken zu finden.
Moderne Hacker setzen auch nur selten Malware ein, die von gängigen Erkennungstools erkannt werden würde. Stattdessen nutzen sie viele verschiedene Verschleierungstechniken, um der Erkennung durch herkömmliche Websicherheitslösungen zu entgehen.
Phishing ist schwer zu erkennen und tritt in vielen Formen auf
Wie genau schaffen Hacker es, mit ihren Phishingangriffen die Sicherheitsvorkehrungen herkömmlicher Web-Filtering- Datenbanken zu umgehen? Schauen wir uns ein paar Beispiele an:
Verbergen schädlicher Inhalte durch Cloaking
Zu Sicherheitszwecken genutzte Webcrawler analysieren den Netzwerkverkehr nicht in Echtzeit. Vielmehr prüfen sie Webseiten aus IP-Bereichen, die Sicherheitsanbietern bekannt sind. Da Cyberkriminelle dies wissen, konzipieren sie ihre Phishingkits auf eine Art und Weise, dass der böswillige Vorsatz verborgen bleibt, zum Beispiel, indem bei der Suche nach schädlichen Links harmlose Inhalte oder eine leere Seite angezeigt werden. Dann stuft die URL-Datenbank die Phishingseite als unschädlich ein, sodass sie die Sicherheitsprüfung besteht. Wenn das Opfer auf die Phishingseite zugreift, wird der wahre Inhalt angezeigt und das System infiziert.
Mehrstufige Angriffe und CAPTCHAs
Es kommt immer häufiger vor, dass Phishingangriffen harmlose Schritte vorausgehen, die verhindern, dass die schädliche URL bei einer ersten Sicherheitsprüfung erkannt wird. So kann sich eine Phishingseite beispielsweise hinter einer CAPTCHA-Aufforderung verbergen – eine besonders hinterhältige Art der Umgehung, da CAPTCHAs speziell darauf abzielen, automatisierten Bots (wozu auch Webcrawler zählen) den Zugriff auf Inhalte zu verwehren. Wenn ein Webcrawler eine Seite prüft, erkennt er nur die CAPTCHA-Aufforderung, die für sich genommen harmlos ist, und stuft die dahinter liegende Phishingseite als unbedenklich ein.
Temporäre und einmalige Links
Cyberkriminelle nutzen aus, dass die Erstellung von Webseiten mittlerweile einfach und kostengünstig ist, und kreieren massenweise neue, noch nie zuvor genutzte Phishing-URLs. Manche Phishingseiten sind nur wenige Stunden oder Minuten lang aktiv und werden dann durch eine neue URL ersetzt. Sicherheitsdatenbanken können sie so schnell nicht blockieren. Einmallinks werden auch gerne für gezielte Angriffe genutzt und nach dem einmaligen Einsatz nicht mehr verwendet.
Angriffe über eine manipulierte Website
Angreifer wissen, dass legitime Websites in URL-Datenbanken als unbedenklich eingestuft und oft nicht weiter geprüft werden. Wenn sie also eine solche Website infiltrieren und dort eine Phishingseite einrichten können, kommen sie unentdeckt durch alle Sicherheitskontrollen. Solche getarnten Phishingseiten sind für Hacker meist ein voller Erfolg, denn Endbenutzer, die in dem Glauben handeln, dass sie mit einer bekannten Website interagieren, sind weniger misstrauisch.
Herkömmliches Web-Filtering bzw. E-Mail- und Multi-Faktor- Authentifizierung reichen nicht aus
Bei der Aufholjagd um den Schutz vor Phishingangriffen haben sich manche Unternehmen für den Ansatz der E-Mail- und Multi-Faktor-Authentifizierung entschieden.
Doch leider werden Phishingangriffe nicht immer per E-Mail übermittelt. Die E-Mail-basierte Authentifizierung ist zum Beispiel wirkungslos, wenn ein Angriff über eine schädliche Website startet, die ein Mitarbeiter besucht. Phishinglinks werden zudem immer häufiger per Textnachricht verschickt und sind in Dokumenten zu finden, die über SaaS- Apps für die Zusammenarbeit gehostet werden – oft in Werbeanzeigen versteckt. Auch hier greifen E-Mail-basierte Sicherheitsmaßnahmen nicht.
So reduzieren Sie das Risiko eines erfolgreichen Phishingangriffs
Wie schützen Sie Ihr Unternehmen also vor Phishingbetrug? Die folgenden Strategien helfen, das Risiko zu mindern:
Phishingschutz, der alle Angriffsvektoren berücksichtigt
Als Erstes müssen Unternehmen verstehen, dass Phishingangriffe nicht immer per E-Mail starten. Daher benötigen sie Sicherheitstools, die komplexen und aggressiven Phishingangriffen gewachsen sind – ein Ansatz, der nur auf URL-Datenbanken und Webcrawlern basiert, ist nicht effektiv. Stattdessen müssen Unternehmen ML-basierte Inline-Modelle und andere Technologien einsetzen, die Seiteninhalte in Echtzeit analysieren können, also während sie dem Endbenutzer angezeigt werden. Nur so kann das Risiko eines Phishingversuchs ausgeschaltet und eine Erstinfektion verhindert werden.
Schulungen
Sicherheitstechnologien sind natürlich wichtig, aber es bestreitet wohl niemand, dass Mitarbeiter in den Risiken und der Erkennung von Phishingangriffen geschult werden sollten. Schließlich setzen Social-Engineering-Angriffe nicht auf die Umgehung von Sicherheitstools, sondern versuchen, Ihre Mitarbeiter als Schwachstelle auszunutzen. Mithilfe von Schulungen können Sie das Sicherheitsbewusstsein Ihres Personals stärken und sicherstellen, dass sich Ihre Mitarbeiter als Teil der Lösung des Problems verstehen.
Ein ganzheitlicher Sicherheitsansatz
Technologie allein reicht nicht aus, um das Risiko von Phishingangriffen zu reduzieren. Unternehmen benötigen eine Strategie, die den gesamten Sicherheitszyklus umfasst. Dazu gehören sowohl proaktive als auch reaktive Maßnahmen, denn in der Praxis müssen wir davon ausgehen, dass nicht alle Angriffsversuche erfolgreich verhindert werden – unabhängig davon, wie viele Tools ein Unternehmen bereitstellt oder wie stark in die Sicherheit investiert wird. Wie sieht es zum Beispiel aus, falls bei einem Phishingangriff Anmeldedaten gestohlen werden? Ist Ihr Unternehmen in der Lage, nicht autorisierte Zugriffsversuche zu erkennen und entsprechend darauf zu reagieren?
Die Unternehmensführung muss mit den einzelnen Teams zusammenarbeiten, um sicherzustellen, dass durch die erforderlichen Technologien und Prozesse und die entsprechend geschulten Mitarbeiter möglichst viele eingehende Angriffsversuche gestoppt werden. Phishing ist eine mehrschichtige Bedrohung, die nur mit einer umfassenden, integrierten Abwehrstrategie bekämpft werden kann – und dazu zählen sowohl proaktive als auch reaktive Maßnahmen, denn wer nur auf einen der beiden Ansätze setzt, ist nicht wirklich in der Lage, Phishing effektiv zu verhindern.