Technologische Lösungen sind nur eine von mehreren Ansätzen bei der Verteidigung gegen Phishing-Versuche. Da Angreifer oftmals entweder Zugang zu kostenlosen Diensten oder zu vollständig kompromittierten Konten von legitimen Domänen erhalten, wird es immer schwieriger zu erkennen, dass etwas nicht stimmt.
Tatsache ist, dass bei vielen dieser Angriffsversuche Technologie für den Schutz nicht allein ausreicht, sondern dass menschliche Intelligenz, Sensibilität und Bildung in Verbindung mit einem gesunden Menschenverstand gebraucht werden.
Ein Schlüsselelement erfolgreicher Phishing-Angriffe ist das Gefühl der Angst und der Dringlichkeit, die sie beim Opfer hervorrufen. Der Angreifer rechnet damit, dass er sein Opfer dazu bringt, auf einen Link zu klicken oder eine Telefonnummer zu wählen, um sich gegen Zahlungsaufforderungen zu wehren. Daraufhin versucht er, die Zugangsdaten der Opfer zu erbeuten. Das Ziel ist es, dass das Opfer handelt, ohne nachzudenken. Gerade im persönlichen Gespräch verfügen Angreifer über ein ganzes Arsenal an psychologischen Strategien, um ihr Opfer von der Legitimität des Vorhabens zu überzeugen und erfolgreich Anmeldedaten, Geld oder beides zu erpressen.
Doch wie sichert man sich in solchen Fällen ab? Mehrere Genehmigungs- und Überprüfungsstellen, bevor Rechnungen bezahlt werden, sind gute Kontrollmechanismen. Wichtig sind außerdem eine vertrauenswürdige Liste von Dingen wie Kontonummern oder Kontaktpersonen und die Überprüfung vergangener Zahlungs- und Lieferantendatensätze. Diese helfen dabei, Sicherheitslücken und Angriffe zu erkennen. Als allgemeine Faustregel gilt: Wenn etwas “dumm, anders oder gefährlich” ist, sollte eine zusätzliche Überprüfung veranlasst werden. Auch wenn diese Mitteilungen von seriösen Anbietern und Domänen stammen, gehören sie meist nicht zu den normalen Geschäftsvorgängen im Unternehmen. Unabhängig davon, ob eine E-Mail optisch seriös oder verdächtig erscheint, lohnt es sich immer, eine zweite Meinung einzuholen oder bei Zweifeln sofort das Sicherheitsteam des Unternehmens für eine zusätzliche Überprüfung einzuschalten.
Es ist von entscheidender Bedeutung, dass die Benutzer darüber aufgeklärt werden, dass Tippfehler und ähnlich aussehenden Domains zwar immer noch in Phishing-Mails vorkommen, aber nicht die einzige Methode des Social Engineering sind. Schulungen zu Taktiken der Kompromittierung bei geschäftlichen E-Mails sollten zusammen mit der gleichen Aufklärung und Sensibilisierung für Dinge wie Tailgating (bei dem jemand einem autorisierten Mitarbeiter physisch in einen gesicherten Bereich folgt), Vishing oder andere Social-Engineering-Techniken durchgeführt werden, für deren Erfolg der Mensch als Schwachstelle eine zentrale Rolle spielt.
Jim Kelly, RVP Endpoint Security bei Tanium, www.tanium.com