Eine weit verbreitete Angriffsmethode von Cyberkriminellen ist die Kompromittierung von (Geschäfts)-E-Mails. Dabei erhalten die Benutzer beispielsweise eine E-Mail, vermeintlich von einem Vorgesetzten, Manager oder einer anderen Autorität, mit der Bitte sensible Daten weiterzuleiten, einen Link anzuklicken oder eine Datei zu öffnen. Viele Anwender haben keine Vorstellung davon, welche Gefahren im Bereich Phishing lauern und wie man darauf reagiert.
Zwar stammt die E-Mail mitnichten vom vorgeblichen Absender – aber da sie so wirkt, sind Anwender eher geneigt die Dateien zu öffnen, oder den Link anzuklicken.
Dazu kommt, dass laut PriceWaterHouse Coopers drei Viertel aller Berufstätigen einen Sicherheitsvorfall aus Angst vor negativen Konsequenzen nicht melden. Vor allem, wenn die Betroffenen der Meinung sind, eine erfolgreiche Cyberattacke selbst verschuldet zu haben. Eine unverzügliche Meldung ist aber enorm wichtig, um Angriffe schnell einzudämmen. Je länger ein Krimineller ungestört im Netzwerk sein Unwesen treibt, desto höher der zu erwartende Schaden. Firmen sollten ihre Belegschaft also nicht nur im Umgang mit Cyberangriffen schulen, sondern auch darin, diese zu melden. Das gilt selbst für Verdachtsfälle.
Phishing bei Microsoft Teams, Slack und Co.
Cyberkriminelle gehen dabei äußerst raffiniert vor, und nutzen etwa Bilder von Vorgesetzten, Deep Fakes oder Chats auf Plattformen wie Slack und Teams. Diese Angriffe beschränken sich nicht auf E-Mails, sondern auf unterschiedliche Kanäle und soziale Netzwerke, die im geschäftlichen Umfeld genutzt werden. Mittels Deep Fakes lässt sich sogar die Stimme einer Personen fälschen und in Videokonferenzen nutzen. Viele Anwender haben kaum eine Vorstellung davon, welche Gefahren im Bereich Phishing heutzutage lauern, geschweige denn, wie man am besten darauf reagiert. Trainings, die genau das adressieren, sind ein wichtiges Standbein für die Unternehmenssicherheit.
Trainings helfen, Netzwerke besser zu schützen und Malware zu bekämpfen
Anwender sollten zuverlässig erkennen können, wann E-Mails oder andere Nachrichten nicht seriös sind, auch wenn der Absender vermeintlich ein Vorgesetzter oder eine andere Autoritätsperson ist. Einfach ist das allerdings nicht. Aber Benutzer sollten lernen, keine Datei blind zu öffnen oder auf einen Link klicken, nur weil ihnen der Absender bekannt zu sein scheint. Um solche E-Mails zuverlässig zu erkennen und was man tun sollte, wenn eine verdächtige E-Mail ins Postfach eingeht, bilden Trainings ein wichtiges Fundament. Auch gefälschte Rechnungen und andere Dokumente dieser Art werden gern per E-Mail versendet, um Empfänger in die Falle zu locken oder Malware einzuschleusen. Cyberkriminelle gehen dabei inzwischen äußerst raffiniert vor. Ohne entsprechende Ausbildung und Trainings reagieren Mitarbeiter nicht selten falsch.
Mehr QR-Scams und QR-Phishing
Mit QR-Scams werden Benutzer auf kompromittierte Webseiten geleitet. QR-Codes verleiten Anwender dazu, über ihre Smartphones schnell und einfach auf Webseiten zuzugreifen, indem sie den Code scannen. Statistiken zeigen, dass fast 90 Prozent aller Smartphone-Benutzer schon mindestens einen QR-Code gescannt haben, über ein Drittel macht das jede Woche. Mit einiger Verspätung verbreiten QR-Codes sich inzwischen in vielen Bereichen. Benutzer sollten also wissen wie diese funktionieren und auf was sie bei der Verwendung achten sollten.
Auch bei Phishing-Attacken kommen QR-Codes zum Einsatz. Dazu binden die Angreifer QR-Codes in die Phishing-E-Mails oder andere Nachrichten ein. Nach dem Abscannen öffnet sich eine neue Webseite, und der Anwender wird aufgefordert zum Beispiel seinen Benutzernamen und das Kennwort einzugeben. Durch diese Technik hebeln Cyberkriminelle die Sicherheitsfunktionen des E-Mail-Systems aus: Es erkennt die gefährlichen URLs nicht, weil die E-Mail lediglich einen QR-Code enthält. Das sollten Benutzer wissen und vorsichtiger mit QR-Codes umgehen, respektive bei verdächtigen QR-Codes misstrauisch werden.
Deep Fakes in Kombination mit Spear-Phishing
Bei Deep Fakes handelt es sich um täuschend echt wirkende Videos oder Bilder. Sie werden häufig für die gezielte Desinformation oder im Bereich Social Engineering verwendet. Deep Fakes lassen sich oftmals nur schwer erkennen, stellen aber eine wachsende Gefahr dar. Häufig kommen sie in Verbindung mit Spear-Phishing-Angriffen zum Einsatz, um gezielt Informationen beim Opfer abzuziehen. Auch wenn Deep Fakes gut gemacht sind, ist die Botschaft nicht selten unglaubwürdig oder das Bild/Video wirkt in sich inkonsistent. Auf was genau man achten muss, kann man mit der Hilfe von Profis gut trainieren. Mittlerweile gibt es Deep Fakes auch in Form von Anrufen. Deep Fakes per Telefon basieren oft auf Text-to-Speech-Technologien in Verbindung mit der perfekten Fälschung einer Stimme. Solche Deep Fakes sind inzwischen in der Lage, auch biometrische Systeme zu überwinden.
Mobile Security
Immer mehr Nutzer arbeiten überwiegend mobil auf Notebook, Tablet oder Smartphone. Fälschlicherweise verlassen sich dabei viele auf die Sicherheit ihres Smartphones und nehmen Phishing-Angriffe oder Malware auf mobilen Endgeräten weniger ernst als auf einem stationären Computer. In den vorherrschenden, mindestens hybriden Arbeitsmodellen greifen Mitarbeiter über die unterschiedlichsten Kanäle mobil auf Unternehmensnetze zu. Fake-Apps und gefälschte URLs verbreiten sich rasant, und bilden ein zusätzliches Einfallstor für Cyberkriminelle. Virenscanner bieten kaum Schutz. Besser sind eine umsichtige Bedienung und die richtige Reaktion, wenn es zu einem Cyberangriff kommt. Der nahezu flächendeckende Umstieg auf Remote Working oder hybride Infrastrukturen hat zahlreiche Einfallstore geöffnet. Gerade hier bewirken Trainings oft Wunder.
Cyberangriffe von innen: Insider Threats
Wenig überraschend droht Unternehmensnetzwerken nicht nur Gefahr von unbekannten externen Angreifern, sondern von Insidern aus dem eigenen Unternehmen. Das können unzufriedene Mitarbeiter sein, eingeschleuste Kriminelle, Gäste, Partner oder Lieferanten. Es gibt viele Wege, zu einem Teil des Unternehmens zu werden, es intern anzugreifen und so die meisten externen Sicherheitssysteme auszuhebeln. Wenn Mitarbeiter andere Mitarbeiter ausspionieren oder versuchen auf Daten zuzugreifen, ist es naturgemäß schwieriger, Missbrauch entgegenzuwirken. Benutzer sollten wissen, wie sie ihre Daten am besten schützen und sicherstellen, dass nur dazu berechtigte Personen auf die jeweiligen Rechner zugreifen können.
Fazit
Netzwerke sind ohnehin gefährdet, unzureichend geschulte Benutzer vergrößern das Potenzial von Datenschutz- und Datensicherheitsvorfällen. Phishing ist eine der weitreichendsten Cyberbedrohungen, und es gibt unzählige Wege, wie man über Phishing an heikle Informationen kommt. Unternehmen und Benutzer stehen dem aber nicht wehrlos gegenüber. Die Wahrscheinlichkeit eines erfolgreichen Angriffs lässt sich durch gezielte, praxisnahe Security Awareness Trainings deutlich senken.