Phishing ist das gefährlichere Hacking.
Hacking ist nicht immer Hacking - auch wenn Cyberattacken in den Schlagzeilen fast immer so genannt werden. Häufiger sind Versuche, mit Phishing-E-Mails in IT-Systeme zu gelangen, weil Software und Antivirusprogramme dagegen so gut wie machtlos sind. Phishing zielt auf einzelne Mitarbeitende, weil diese als Einfallstor dienen können, um in IT-Anlagen einzudringen.
#Cloud Security #Security Awareness #Security Risk Assessment #Security Strategy Architecture #SIEM #Cyber Defense Center #Vulnerability Management
Das Phishing tatsächlich das populärste Mittel ist, um Cyberattacken zu starten, zeigt eine neue Studie zum Thema Cyber Security aus Grossbritannien[1]. Demgemäss waren im letzten Jahr Phishing-E-Mails die am meisten verbreitete Cyberangriffswaffe, gefolgt von anderen Attacken mit Viren oder anderer Malware. Phishing fällt unter den Überbegriff “Social Engineering“, weil Kriminelle die menschlichen Beziehungen ihrer Opfer und deren soziale Fähigkeiten dazu nutzen, Computersysteme zu attackieren.
Der Empfänger wird zum Einfallstor für Angreifer
Phishing-E-Mails sind sehr leicht zu fälschen und zu versenden - aber sehr schwer auszufiltern. Der Schwachpunkt ist der Empfänger, der beurteilen muss, ob es sich um ein echtes Mail handelt. Für Menschen ist es schwierig, kriminelle Mails zu identifizieren. Die Aufgabe wird umso schwieriger, weil sich die Angreifer oft als vertrauenswürdige Kollegen oder Bekannte ausgeben, um Passwörter oder andere Details zu erhalten. Viele der grössten Hacking-Skandale der letzten Jahre, wie zum Beispiel der Diebstahl und die Veröffentlichung der E-Mails rund um Hillary Clintons Wahlkampf[2], aber auch der Angriff auf Sony Pictures[3], sind in Tat und Wahrheit auf Phishing-E-Mails zurückzuführen. Im Fall von Hillary Clintons Wahlkampfmanager John Podesta war es eine E-Mail-Nachricht von ‘Google‘, die dazu führte, dass Tausende von E-Mails an die Öffentlichkeit kamen, die nie dafür bestimmt waren. Hätte Podesta damals die richtigen Entscheidungen getroffen, um sein Google-Nutzerkonto zu schützen, hätten die Hacker sein E-Mailpasswort nicht mit einer einfachen Phishing-Nachricht in Erfahrung bringen können, und die Weltgeschichte hätte vielleicht einen anderen Verlauf genommen.
Schulung ist das wirksamste Mittel gegen Phishing
Organisationen haben deshalb eigentlich nur eine Option, um das Problem besser in den Griff zu bekommen: Sie müssen ihre Mitarbeiter detailliert schulen und ihnen bewusst machen, wie gefährlich es im digitalen Zeitalter sein kann, unvorsichtig und vertrauensselig zu sein.
Phishing E-Mails sehen meistens sehr seriös und offiziell aus. Oft wird der Empfänger aufgefordert, seine Zugangsinformationen zu bestätigen, weil es ein Problem gebe. Wer die verlangten Infos liefert, gibt den Angreifern was sie wollen und bekommt dann tatsächlich grössere Probleme. Wer allerdings einige grundlegende Regeln beachtet, kann sein Risiko bezüglich Phishing minimieren.
Seien Sie misstrauisch
Vertrauen ist gut, Misstrauen ist besser: Seien Sie misstrauisch, wenn Sie unerwartet Nachrichten von Personen bekommen, die nach Namen von Kollegen oder anderen internen Informationen fragen. Wenn eine Person behauptet, zu einer legitimen Organisation zu gehören, stellen Sie sicher, dass das stimmt und überprüfen Sie diese Angaben beim entsprechenden Unternehmen.
Seien Sie geizig mit der Weitergabe von internen Informationen: Details über Ihr Unternehmen, dessen Struktur und Netzwerke aber auch persönliche Infos sollten nur geliefert werden, wenn Sie sich über den Empfänger ganz sicher sind. Das gilt vor allem für E-Mails - aber nicht nur. Wenn Sie unsicher sind, ob eine E-Mail-Nachricht legitim ist, wenden Sie sich direkt an das Unternehmen um das es geht. Suchen Sie dafür Ihre eigenen Kontaktinformationen. Nutzen Sie keine Kontaktinfos oder Links, die auf einer mit einer Anfrage verbundenen Website bereitgestellt werden.
Achten Sie auf die URL. Senden Sie keine wichtigen Informationen über das Internet ohne die Sicherheit der entsprechenden Website zu überprüfen. Gefälschte Websites können genauso aussehen wie eine legitime Website. Deren URLs nutzen aber oft eine andere Domain oder Schreibweise.
Falls Sie das Gefühl haben, dass Sie einer Phishing-Attacke auf den Leim gegangen sind, warten Sie nicht, sondern melden Sie es sofort den Verantwortlichen in Ihrer Firma. Falls die Meldung rechtzeitig erfolgt, kann grösserer Schaden eventuell noch abgewendet werden.
Kontaktieren Sie mich bei Fragen rund um Phishing. UMB Security Intelligence as a Service.
[1]Cyber Security Breaches Survey 2019
[2]HowJohn Podesta’s E-Mail got hacked
[3]Sony hackers targeted employees with fake Apple ID emails
