CAS Information Security & Risk Management 2018: Phishing

Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Ein weiterer Teil des 15-tägigen Lehrgangs ist es, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Phishing: Aktuelle Angriffe und Verteidigungsmöglichkeiten

Das Wort Phishing setzt sich aus den englischen Wörtern «Password», «Harvesting» und «Fishing» zusammen. Es handelt sich dabei um eine Form des Social Engineering, wobei ein Angreifer sich zum Ziel setzt, sich Zugang zu vertraulichen oder persönlichen Informationen zu beschaffen. Dabei kann es sich beispielsweise um Zugangsdaten von E-Mail-Konten und Onlinewarenhäusern oder die Zugangsdaten für E-Banking-Konten handeln. Phishing-Arten: Massen-Phishing Die bekannteste Form des Phishings ist das sogenannte Massen-Phishing, bei dem kein spezifisches Angriffsziel besteht. Hierbei werden E-Mails mit generischem Inhalt an eine grosse Anzahl Empfänger verschickt, um potenzielle Opfer auf gefälschte Webseiten zu locken. Dazu werden oft auch bekannte Firmen und/oder Marken von den Angreifern imitiert. Spear Phishing Unter Spear Phishing versteht man Phishing-Angriffe, die gezielt auf spezifische Individuen und/oder Firmen zugeschnitten sind. Angreifer oder Angreiferinnen sammeln mit Hilfe von Social Engineering Informationen, und geben sich danach als Bekannte, Mitarbeitende, Geschäftspartnerinnen oder Dienstleister aus. Das Ziel bleibt dasselbe, das potenzielle Opfer wird aufgefordert, vertrauliche Informationen preiszugeben. Whaling Der Begriff Whaling bezeichnet eine Unterform des Spear Phishing, bei dem der Angriff auf Führungskräfte, Politiker und Prominente abzielt. Whaling-Opfer werden ganz gezielt ausgewählt und mit sehr professionellen und personalisierten E-Mails, resp. Webseiten getäuscht. Auch hier ist das Ziel, an persönliche und/oder sensitive Information zu gelangen. Wenn sich die Angreiferin als Mitarbeiterin oder Führungskraft im eigenen Unternehmen ausgibt und damit versucht, ihr Opfer zum Transfer eines Geldbetrages zu bringen, spricht man von CEO-Betrug (CEO-Fraud). Phishing-Techniken: E-Mail Obwohl immer mehr Phishing-Techniken bekannt werden, zählt der Angriff über E-Mail immer noch zu den beliebtesten und erfolgversprechendsten Angriffsmethoden. Um den Empfänger zu täuschen, werden verschiedene Techniken eingesetzt: die Verschleierung des Absendernamens, das Registrieren eines sehr ähnlichen Domainnamens (Typosquatting), die Verschleierung des im E-Mail enthaltenen Links oder das Identity Spoofing. Telefon-Phishing Nicht alle Phishing-Angriffe benötigen eine gefälschte Webseite oder ein E-Mail. Oft werden auch Textnachrichten eingesetzt, dies wird als sogenanntes Smishing bezeichnet. Smishing setzt sich aus dem Wort «SMS» und «Phishing» zusammen und bezeichnet einen Angriff über eine betrügerische Textnachricht. Der Angreifer versucht, dem potenziellen Opfer persönliche Informationen zu entlocken oder das Telefon mit Malware zu infizieren. Eine andere Möglichkeit ist das Vishing (Voice Phishing), hierbei verschleiert der Angreifer seine Nummer und ruft von einer scheinbar vertrauenswürdigen Organisation an. QR-Phishing Eine weitere Möglichkeit ist das QR-Phishing, bei dem bestehende QR-Codes modifiziert werden, um potenzielle Opfer auf eine falsche Webseite zu leiten, die danach im Hintergrund Downloads startet, um das mobile Gerät mittels Malware zu infizieren. Schützen Sie sich:

• Kein seriöser Dienstleister würde seine Kunden jemals per Mailnachricht oder Telefon zur Angabe von Passwörtern oder Kreditkartendaten auffordern.
• Misstrauen Sie E-Mails, die Sie unaufgefordert erhalten. Besonders vertrauenswürdige und bekannte Firmen werden gerne dazu missbraucht, E-Mails mit gefälschte Absenderadressen zu verschicken.
• Seien Sie vorsichtig, wenn Sie E-Mails bekommen, die eine Aktion von Ihnen verlangen und ansonsten mit Konsequenzen (Geldverlust, Strafanzeige, Konto- oder Kartensperrung, verpasste Chance, Unglück) drohen.
• Klicken Sie in verdächtigen E-Mails nicht auf Anhänge und öffnen Sie keine Links.

Massnahmen für Unternehmen:

• Implementierung eines E-Mail-Filters (E-Mail Gateway) der eingehende E-Mails auf bekannte Phishing-Muster untersucht und gegebenenfalls blockiert (Blacklisting) oder geschäftsrelevante Dateien erlaubt (Whitelisting).
• Implementieren von SPF und DMARC auf dem E-Mail Gateway, um das Risiko von Spoofing zu mindern.
• Blockieren Sie das Öffnen von Dateianhängen, die oft im Zusammenhang mit Malware genutzt werden, beispielsweise, .dll, .exe, .msi.
• Blockieren von verschlüsselten oder passwortgeschützten Anhängen.
• Sandboxanalysen von Dateianhängen.
• Trainieren Sie Ihre Benutzer darauf, Phishing-E-Mails zu erkennen und zu wissen, was in diesem Falle zu tun ist (z.B. Meldung beim Helpdesk).
• Regelmässiges Aktualisieren des Betriebssystems und der dazugehörigen Software.

---

Blogpost wurde erstellt im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Der CAS findet in der Regel zweimal im Jahr statt. Starttermine: März & September Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.