Phishing auf unser Datengold nimmt zu

2018 hat die Melde- und Analysestelle Melani immer wieder Meldungen zu Phishing-Attacken erhalten. Tatsächlich kursiert diese Angriffsmethode (siehe Box rechts) schweizweit. Phishing- Plattformen wie freigegebene PDFs, Links, Logos und dergleichen imitieren Absenderadressen und gelangen so zu persönlichen Daten.

Zum Beispiel werden oft auch die Webseiten von Microsoft Office 365 oder OneDrive nachgebaut. Die Qualität und die Art der EMails unterscheiden sich stark. Bei gewissen EMails wird der Empfänger gebeten sich zu identifizieren, um vielleicht ein Problem mit seinem Bankkonto zu lösen, oder aber aufgefordert, ein mit ihm geteiltes Dokument anzuschauen.

In allen Fällen wird der Empfänger auf eine Phishing-Seite weitergeleitet, welche die Seite des Anbieters imitiert; dort sollen der Benutzername und das Passwort eintreffen.

«Sie imitieren die Seite des Anbieters.»

Massgeschneiderter Betrugsversuch
Sobald die Kriminellen Zugang zum Konto haben, können sie prinzipiell dieselben Einstellungen vornehmen wie der Kontoinhaber:
– Eine E-Mail-Weiterleitung einrichten, sodass sie Zugang zur gesamten Korrespondenz der geschädigten Person haben.

Die Weiterleitung erfolgt oft mittels Kopie, sodass dies für den Kontoinhaber nicht erkennbar ist.
– Wenn das E-Mail-Konto der Plattform als Rücksetz-E-Mail-Adresse für weitere Dienste verwendet wird, könnte ein Angreifer entsprechende Passwörter zurücksetzen lassen und so Zugang zu weiteren Diensten gewinnen.
– Angreifer können sich Zugang zu weiteren Dokumenten verschaffen, soweit die Rechte des Benutzers dies zulassen. Sie können aber auch andere Benutzer im Namen ihres Opfers für die Freigabe von Dokumenten angehen.

Da diese ebenso annehmen, dass dies von einem Kollegen angeordnet wurde, kommen sie diesem «Wunsch» oft nach.

Für Cyber-Kriminelle sind solche Daten, speziell die Zugangsdaten, Gold wert. Die Daten ermöglichen ihnen, relevante Informationen wie beispielsweise Geschäftsbeziehungen einzulesen, zu bearbeitende Fälle, Struktur und Organigramme des Unternehmens für einen massgeschneiderten Betrugsversuch anzusammeln.

Ebenfalls kann nicht ausgeschlossen werden, dass solche Informationen zur Wirtschaftsspionage benutzt oder weiterverkauft werden.

Melde- und Analysestelle alarmiert
Sobald ein Konto kompromittiert ist, können alle Kontakte der geschädigten Person betroffen sein. Oft riskieren sie, dass ein E-Mail mit Malware an sie verschickt wird, welches scheinbar vom Konto des Kollegen oder Geschäftspartners kommt. Mit dieser Methode können die Angreifer weitere Zugänge im Firmennetzwerk gewinnen.

Die Bundesstelle Melani gibt folgende Empfehlungen ab:

Technische Massnahmen:
Nutzen Sie eine Zwei-Faktor-Authentifizierung, wo immer diese verfügbar ist.

• Es wird empfohlen, einen Dienst zu wählen, der genügend Logging-Funktionalität bietet und die Logs in geeigneter Form für Kunden zur Verfügung stellt.
• Den Unternehmen wird empfohlen, nach anormalen Aktionen bei den Konten der Mitarbeitenden zu suchen: Zugang von ungewöhnlichen Orten oder zu unüblichen Zeiten, Hinzufügen von E-Mail-Weiterleitungen etc.
• Mails sollten (zumindest intern) immer digital signiert sein und Benutzer darauf trainiert werden, Mails ohne eine entsprechende Signatur besonders vorsichtig zu behandeln.
• Beim Versand von legitimen E-Mails mit hohem Missbrauchspotenzial für Phishing, wie z. B. der elektronische Versand von Rechnungen, sollte darauf geachtet werden, dass die Links nicht hinter HTML-Text versteckt sind und dass die Mails und/oder Dokumente digital signiert sind.
• Damit die eigene Domain weniger einfach für Phishing-Versuche missbraucht werden kann, sollten SPF-, DKIM- und DMARCProtokolle eingerichtet werden. Dies ist auch bei einigen der grossen «Collaboration Provider» möglich, wie z.B. bei Office365.

Organisatorische Massnahmen:
Die beste Methode, um Phishing zu bekämpfen, ist die Mitarbeitenden bezüglich dieses Phänomens zu sensibilisieren: Es ist unerlässlich, dass die Mitarbeitenden in der Erkennung und dem Umgang mit suspekten und betrügerischen E-Mails geschult werden.

Sensibilisierte Mitarbeitende wissen, dass sie bei suspekten oder betrügerischen E-Mails auf keine Links klicken oder Anhänge öffnen sollen, sondern umgehend die Vorgesetzten oder die IT-Verantwortlichen informieren sollten.

«Bei Abnormalitäten ist Vorsicht geboten .»

Ebenfalls sind die vom Unternehmen definierten Prozesse und risikominimierenden Massnahmen zu jeder Zeit einzuhalten. Insbesondere sollten sämtliche Prozesse, welche den Zahlungsverkehr betreffen, firmenintern klar geregelt sein und von den Mitarbeitenden in allen Fällen eingehalten werden (z. B. Vier-Augen- Prinzip, Unterschrift kollektiv zu zweien, Prozesse gemäss internem Kontrollsystem).

Mehr zu aktuellen Phishing-Wellen, Versuchen und Gegenmassnahmen findet man auf der Seite www.antiphishing.ch