Phishing Mails: Aufgepasst vor der Erbeutung von Zugangsdaten

14.10.2021

Tausende Mitarbeiter von Unternehmen fallen jährlich auf Phishing-Angriffe herein. Über gefälschte Websites gelangen Kriminelle zielgerichtet an die Zugangsdaten ihrer Opfer. Die Folgeschäden sind riesig, weil die Täter oft große Geldbeträge erbeuten.

Trotz moderner Spam-Filter lässt sich die E-Mail Flut nur schwer eindämmen. Nahezu täglich landen Spam und Phishing Mails in den E-Mail Konten von Unternehmen. Die hiermit verbundenen Risiken werden gerne unterschätzt. Denn zum einen geben sich die Angreifer mehr Mühe, zum anderen droht im Ernstfall ein erheblicher Schaden.

Angreifer haben es auf Zugangsdaten abgesehen

Vorbei sind die Zeiten, in denen Spammer auf den Verkauf günstiger und zugleich wertloser Produkte abzielten. Zunehmend mehr Angreifer haben es auf IT-Systeme von Unternehmen abgesehen. Insbesondere Cloud-Dienste stehen hoch im Kurs. Angreifer möchten Zugangsdaten erbeuten, um beispielsweise auf Dropbox oder Microsoft Office 365 Konten zugreifen zu können.

Die hiermit verbundene Zielsetzung kann verschieden sein. Einige der Angreifer haben es auf die Daten ihrer Opfer abgesehen. Sie erhoffen sich verwertbare Informationen, die sie z.B. im Anschluss verkaufen oder als Druckmittel für Erpressungen einsetzen können. Andere möchten hingegen Systeme übernehmen und Nutzer aussperren, um anschließend Geld für eine Freigabe der Systeme zu erpressen.

So laufen Phishing-Angriffe ab

Angreifer locken ihre Opfer mit einem Vorwand auf gefälschte Internetseiten, wie z.B. die Website einer Bank. Meist geschieht dies mit Verweis auf eine dringend notwendige Aktion, da sonst ein Übel droht, wie beispielsweise eine Sperrung des Kontos oder Erhebung von Gebühren.

Die Zielseiten sind gut gefälscht, sodass Nutzer meinen, sich auf den echten Seiten zu befinden. Sobald ein Nutzer versucht, sich dort einzuloggen, werden die eingegebenen Zugangsdaten abgefangen. Die Kriminellen können die Daten anschließend nutzen, um sich selbst Zugang zu verschaffen und beispielsweise Geldüberweisungen zu tätigen.

Die erstmalige Kontaktaufnahme beim Phishing erfolgt via E-Mail. Die Mails erwecken aufgrund ihrer Gestaltung den Eindruck, vom Betreiber der Website (z.B. einer Bank) zu stammen.

Die meisten E-Mail Angriffe sind auf die breite Masse ausgelegt. Spammer versenden Millionen von E-Mails, ganz in der Hoffnung, den einen oder anderen Empfänger zu überlisten. Derartige Betrugsversuche sind meist relativ leicht zu erkennen, weil beispielsweise die Personalisierung fehlt.

Gerne wird auch ein Druckmittel eingesetzt, wie z.B. eine angedrohte Account-Schließung mit einer Frist von wenigen Stunden, sollte sich der Mail-Empfänger nicht innerhalb dieses Zeitraums einloggen. Die in der Mail verlinkte Login-Seite ist selbstverständlich gefälscht, um darüber die begehrten Zugangsdaten zu erbeuten.

Derartige Angriffe fallen bereits in den Bereich des Social Engineering. Zwar wird in diesem Umfeld tendenziell eher zum Telefonhörer gegriffen, um noch authentischer zu wirken oder gar Druck auszuüben. Doch selbst per E-Mail ist es möglich, überraschend viele Mitarbeiter zu täuschen und damit zu Opfern zu machen.

Entwicklung der vergangenen Jahre

Ein Trend besteht darin, dass der initiale Kontakt nicht mehr zwangsläufig per E-Mail erfolgt. Zunehmend häufiger erfolgt die Kontaktaufnahme per Instant-Messenger oder SMS. Im Fall der SMS wird auch von einem Smishing-Angriff gesprochen.

Klassicherweise haben es die Angreifer auf den Zugang zu Systemen abgesehen, über die sie an Geld kommen. Im Fokus stehen Zugänge zu Online-Banking-Plattformen oder Online-Bezahlanbietern, wie z.B. Paypal. Bei modernen Angriffen werden Nutzer, nachdem ihre Zugangsdaten abgefangen wurden, auf die tatsächlichen Websites weitergeleitet, sodass sie weniger Verdacht schöpfen

Die Mehrheit der Phishing-Mails wird an Millionen E-Mail-Postfächer gesendet. Damit nehmen die Angreifer in Kauf, dass die meisten Empfänger auf die Masche nicht hereinfallen. Allerdings zeigt die Praxis, dass Angreifer zunehmend ihre Opfer gezielt auswählen und attackieren. Dies erfordert zwar mehr Wissen über die Opfer, jedoch erhöht der Aufwand auch die Aussichten auf Erfolg. Derartige Angriffe werden als Spear Phishing bezeichnet.

Ein weiterer Trend ist der Einsatz von Schadsoftware. Sie wird durch die Hintertür eingeschleust, meist per E-Mail. Anstatt Opfer auf gefälschte Websites zu locken, findet eine Überwachung im Hintergrund statt. So können die Angreifer in aller Ruhe Daten sammeln, um später einen umso größeren Schaden anzurichten. Dieser muss sich nicht auf den Missbrauch von Online-Banking beschränken. Zunehmend häufiger gelangt Ransomware zum Einsatz, um die Systeme der Opfer zu verschlüsseln und anschließend Lösegelder zu erpressen.

Wie Unternehmen vorbeugen

Unternehmen können das Risiko erfolgreicher Phishing-Angriffe minimieren.

  1. Ergreifung technischer Maßnahmen
    Leistungsstarke und gut konfigurierte Spam-Filter befinden sich in der Lage, den Großteil der Phishing-E-Mails abzublocken. Als Folge werden Mitarbeiter mit solchen E-Mails gar nicht erst konfrontiert. Weitere Maßnahmen können z.B. die Einrichtung einer 2-Faktor Authentifizierung oder die Verwendung eines Browsers, der gefälschte Urls erkennt, sein.
  2. Sich der Risiken bewusst sein
    Die zweite Sicherheitsmaßnahme besteht darin, Mitarbeiter grundlegend zu schulen. Sind sich Mitarbeiter des Risikos nicht bewusst, geben sie eher Zugangsdaten oder ähnlich sensible Informationen preis. Gezielte Schulungen zum Thema Phishing helfen Mitarbeitern, Betrugsversuche als solche zu erkennen. Zugleich wird im Rahmen einer guten Schulung vermittelt, welche Optionen dem Mitarbeiter zur Verfügung stehen, um die Echtheit einer E-Mail zu verifizieren. Im Zweifelsfall sollten Mitarbeiter immer erst einen Spezialisten des Help Desks bzw. aus der IT-Abteilung kontaktieren, bevor sie auf einen Link klicken oder gar einen E-Mail Anhang öffnen.

Ihre Experten für Datenschutz

Als Datenschutzexperten unterstützen wir Unternehmen beim betrieblichen Datenschutz, indem wir ganzheitliche Datenschutzkonzepte entwickeln und Hilfe bei deren Umsetzung leisten. Wir sind bundesweit tätig, z.B. mit unseren Kooperationspartnern in Erlangen oder Dresden. Gerne stehen wir auch Ihnen zur Verfügung, Sie erreichen uns telefonisch unter 0800 – 5600831 (gebührenfrei) sowie über unser Kontaktformular. Wir freuen uns auf Ihre Anfrage.