Inhalt
Phishing ist nach wie vor ein großes Thema in der IT-Sicherheit. Mit neuen, dynamischen Methoden schleusen Cyberkriminelle ihre Betrugsmails zunehmend unbemerkt an den installierten Sicherheitsfiltern vorbei, um ihre Opfer zu täuschen und als Türöffner für bösartige Machenschaften zu missbrauchen. In diesem Beitrag erfahren Sie mehr über die neuesten Tricks und wie Sie Ihr Unternehmen noch besser vor folgenschweren Täuschungsmanövern schützen können.
Unerkannt durch die automatische Abwehr
Die jüngsten Phishing-Kampagnen zeichnen ein beunruhigendes Bild: Immer häufiger umgehen die E-Mails der Angreifer die automatisierten Sicherheitskontrollen des Unternehmens. Die erste Hürde, die betrügerische Nachrichten auf ihrem Weg zum Opfer nehmen müssen, ist die so genannte Sandbox-Analyse. Dabei wird die E-Mail in einer kontrollierten Umgebung auf mögliche Bedrohungen untersucht, so dass die realen Systeme nicht gefährdet werden.
Um das E-Mail-Sandboxing unerkannt zu umgehen, integrieren Angreifer beispielsweise einen Link zu einer vertrauenswürdigen Website. Zu einem späteren Zeitpunkt wird der hinterlegte Inhalt jedoch so verändert, dass der Empfänger auf eine bösartige Website geleitet wird, die dann Zugangsdaten stiehlt oder Malware installiert.
Mit diesen Tricks arbeiten die Angreifer
Die Zeiten, in denen sich Phishing-Angriffe durch grammatikalische Schwächen und Rechtschreibfehler selbst entlarvten, sind dank KI-gestützter Übersetzungen vorbei. Zudem werden die Angriffe methodisch immer weiter verfeinert. Mit diesen Tricks schleusen kriminelle Phishing-Spezialisten ihre Betrugsmails an den Abwehrmechanismen vorbei:
- Sicherheitslösungen täuschen: Der Angreifer leitet den Benutzer zunächst auf eine bekannte, sichere Website. Ohne einen verdächtigen Link oder Anhang passiert die E-Mail die Sicherheitsfilter von Portal- und Sandbox-Lösungen. Später wird der Inhalt der verlinkten Website dann verändert oder der Nutzer von dort zur Phishing-Seite weiteregeleitet.
- Office-Dienste verwenden: Die Phishing-Mails verweisen auf gängige Cloud-Plattformen und -Services wie z.B. SharePoint, OneDrive oder Confluence und gaukeln so eine Vertrauenswürdigkeit vor, um die Benutzer zum Anklicken der enthaltenen Links oder Dateianhänge zu bewegen.
- E-Mail-Konten übernehmen: Die Angreifer nutzen ein kompromittiertes E-Mail-Konto eines legitimen Users und versenden als vertrauenswürdiger Absender Phishing-E-Mails an Lieferanten, Partner oder Kunden.
Warum herkömmliche Erkennungsmethoden versagen
Phishing-Angriffe können der Erkennung durch herkömmliche Sicherheitsmaßnahmen auch deshalb entgehen, weil die Kampagnen dynamisch gestaltet sind. Sie nutzen unter anderem die Tatsache aus, dass die in der E-Mail enthaltenen Links von herkömmlichen Sicherheitssystemen lediglich beim Eintreffen gescannt werden. Verweist der Link auf eine legitime Website, wird er als sicher eingestuft. Der Trick der Angreifer: Der ursprüngliche Inhalt wird zunächst auf einer offiziellen Plattform wie SharePoint gehostet. Der eigentliche Inhalt wird jedoch auf einer anderen Seite gespeichert, die noch nicht direkt zugänglich ist. Zeitlich versetzt, verändert der Angreifer die verlinkte Zielseite oder leitet den Nutzer weiter, so dass dieser plötzlich auf einer Phishing-Seite landet. Durch die Zeitverzögerung konnte die Sandbox-Analyse vor der Veränderung keine Warnung ausgeben.
Lösungen
Wie bei anderen cyberkriminellen Methoden gibt es auch gegen Phishing-Attacken keinen absoluten Schutz. Es gibt jedoch eine Reihe von Maßnahmen, die das Risiko minimieren. Dazu gehören
- Multi-Faktor-Authentifizierung (MFA): Eine MFA benötigt zur Benutzerauthentifizierung neben Wissenskomponenten wie Username und Kennwort eine zusätzliche Besitzkomponente, z.B. einen Token, eine Smartcard oder biometrische Daten. Ein erbeutetes Passwort reicht somit nicht mehr für einen unberechtigten Zugriff aus.
- Nutzersensibilisierung: Durch kontinuierliche Schulungen werden die Nutzer selbst zu einem wichtigen Teil der Abwehr. Ziel der Schulungen ist es, Phishing-Versuche zu erkennen und sich richtig zu verhalten.
- Erweiterte E-Mail-Sicherheit: E-Mail-Scanner mit einem mehrstufigen Prüfmechanismus untersuchen Nachrichten, Anhänge und enthaltene Links nicht nur beim Eingang, sondern auch bei jedem späteren Klick sowie in regelmäßigen Abständen. Phishing-Versuche können so frühzeitig erkannt und blockiert werden.
- Sandbox-Lösungen: E-Mail-Sandboxing ist als Basiswerkzeug unverzichtbar, da es eingehende Nachrichten isoliert und in einer virtuellen Umgebung prüft, bevor sie an den Empfänger weitergeleitet werden. Dabei werden alle angehängten Dateien und eingebetteten Links auf ihr Verhalten nach dem Öffnen untersucht. Wird eine potenzielle Bedrohung erkannt, wird die E-Mail unter Quarantäne gestellt. Um die Wirksamkeit weiter zu erhöhen, wird Sandboxing auch mit Spamfiltern kombiniert oder es werden mehrere Sandboxes hintereinander geschaltet (Sandbox-Arrays).
- URL-Schutzdienste überprüfen Websites beim Anklicken mithilfe von Echtzeitanalysen. Im Verdachtsfall wird eine Warnung ausgegeben oder der Zugriff blockiert.
Mehr Effektivität durch menschliche Expertise
Der wirksamste Schutz gegen Phishing-Angriffe ist ein mehrschichtiger, dynamischer Ansatz, der weit über das traditionelle E-Mail-Sandboxing hinausgeht. Entscheidend ist der Faktor Mensch in einem ganzheitlichen Ansatz wie dem von SECUINFRA:
- Simulierte Arbeitsumgebung: Um den Phishing-URLs einen regulären Benutzerarbeitsplatz vorzutäuschen, simulieren wir eine authentische Kundenumgebung. In einem teilautomatisierten Prozess analysieren wir das Verhalten der Phishing-Links und erkennen so unter anderem URL-Inhaltsänderungen und Weiterleitungen. Die Rolle der Analysten besteht in erster Linie darin, verdächtige Ergebnisse zu verifizieren und komplexe Bedrohungen zu managen.
Erweiterte URL-Überwachung: Darüber hinaus scannen wir das Internet kontinuierlich nach verdächtigen Veränderungen im Zusammenhang mit URLs wie Weiterleitungen und inhaltlichen Veränderungen. Auch hier wird die weitgehend automatisierte Überwachung durch Analysten ergänzt, die ein kritisches Auge auf verdächtige URLs werfen, um die Trefferquote weiter zu erhöhen und Fehlalarme zu vermeiden.
- Integration mit Microsoft Sicherheitstools. Als Basiswerkzeuge nutzen wir folgende Tools:
- Microsoft Defender scannt E-Mails auf potenzielle Sicherheitsrisiken, bevor sie im Postfach des Nutzers auftauchen, und blockiert schädliche Anhänge oder Links.
- Microsoft Defender XDR ermöglicht es Benutzern, aktiv auf erkannte Cyberangriffe zu reagieren.
- Microsoft Sentinel sammelt und korreliert Informationen aus verschiedenen Quellen und führt Analysen durch, um Phishing-Muster und andere Sicherheitsrisiken zu erkennen. Für ein optimales Bedrohungsmanagement werden Aufgaben automatisiert, interaktive Arbeitsmappen und Berichte erstellt und erweiterte SOAR-Funktionen (Security Orchestration, Automation and Response) bereitgestellt.
- Microsoft Defender for Endpoints erkennt Schadsoftware, bevor der Benutzer sie ausführt. Darüber hinaus helfen unsere Experten, den Angriff besser zu verstehen, indem sie die Malware und den Geräteverlauf analysieren und bei Bedarf den Hash in der gesamten Umgebung blockieren.
- Defender for Identity / Entra Identity Protection schützen Netzwerkidentitäten, indem sie Angreifer daran hindern, in das Netzwerk einzudringen. Dabei schützt Microsoft Defender for Identities lokale Active Directory-Konten und Entra Identity Protection Azure Entra-Konten. Die Fähigkeit, Risiken im Zusammenhang mit Benutzeraktivitäten und Anmeldungen zu bewerten, zu melden und zu bearbeiten, stellt eine gute Ergänzung zur Multifaktor-Authentifizierung dar.
- Verteilte Analyseplattform: Die verteilte Analyseplattform von SECUINFRA verwendet mehrere Webcrawler, um realistische Benutzerinteraktionen mit Phishing-URLs zu simulieren. Um Täuschungsstrategien zu erkennen, werden die URLs aus verschiedenen Blickwinkeln betrachtet und ihre Aktivität überwacht. Auf diese Weise verbessern wir kontinuierlich unsere Fähigkeit, fortschrittliche Phishing-Taktiken zu erkennen und abzuwehren.
Fazit
Die Abwehr der zunehmend dynamischen Phishing-Methoden erfordert eine mehrschichtige Sicherheitsstrategie, die fortschrittliche Technologien mit einer kontinuierlichen Überwachung durch erfahrene Analysten kombiniert. Der ganzheitliche Ansatz von SECUINFRA erfüllt diese Anforderungen mit einem engmaschigen Lösungsnetz aus Tools, Umgebungssimulation, Standardwerkzeugen von Microsoft und einer verteilten Analyseplattform. Eines darf jedoch nicht vergessen werden: Angesichts der sich ständig ändernden Bedrohungslage ist es unerlässlich, die eigene Infrastruktur stets aktuell zu halten, die Sicherheitsverfahren regelmäßig auf den Prüfstand zu stellen und die Belegschaft kontinuierlich weiterzubilden. In all diesen Belangen unterstützen Sie die Experten der SECUINFRA jederzeit gerne. Fragen Sie uns!
Bilder:
Dynamische Phishing-Angriffe täuschen mitunter auch Sicherheitsexperten.
Erweiterter Ansatz mit ergänzender SECUINFRA-Expertise entlarvt Phishing-Versuch mit zeitversetzten Modifikationen.