Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Eine ereignisreiche Phishing-Woche und ihre Lehren

2024-08-16

Lesezeit: 6 Min.
Dieser Beitrag ist auch auf English, 繁體中文, Français, 日本語, 한국어, Español, und 简体中文 verfügbar.

Internetkriminalität ist ein einträgliches Geschäft. Mehr als 90 Prozent der Cybersicherheitsvorfälle gehen auf Phishing zurück und dieses Jahr gab es in der dritten Augustwoche Phishing-Angriffe im Zusammenhang mit den Wahlen in den USA und dem Konflikt zwischen den Vereinigten Staaten, Israel und dem Iran. Dabei sind Unternehmen Verluste von insgesamt 60 Millionen US-Dollar entstanden.

Nun sind E-Mails schon seit 30 Jahren das beliebteste Werkzeug für Cyberangriffe und -bedrohungen. Man könnte also meinen, dass dagegen kein Kraut gewachsen ist. Doch damit würde man Kriminellen mehr Anerkennung zollen, als sie verdienen. Es wäre ein Irrtum, zu glauben, dass man dieser Bedrohung nicht Herr werden und die Angreifer zurückschlagen kann: Man muss den Fokus nur stark genug auf die Erkennung legen.

Bei Phishing geht es nicht ausschließlich um E-Mails oder ein bestimmtes Protokoll. Einfach ausgedrückt handelt es sich um den Versuch, jemanden wie Sie und mich zu einer Handlung zu bewegen, mit der diese Person unbeabsichtigt einen Schaden verursacht. Diese Angriffe funktionieren, weil der Absender der E-Mail visuell oder in unternehmensbezoger Hinsicht authentisch wirkt – wenn sich der Angreifer also etwa erfolgreich als CEO oder Finanzvorstand einer Firma ausgibt. Bei genauerer Betrachtung der schädlichen E-Mails, vor denen wir unsere Kunden schützen, lassen sich im Wesentlichen drei besonders folgenreiche Angriffsvektoren ausmachen: 1. Anklicken von Links (betrügerische Links sind für 35,6 % der Bedrohungshinweise verantwortlich) 2. Herunterladen von Dateien oder Malware (schädliche Anhänge machen 1,9 % der Bedrohungsindikatoren aus) 3. Infiltrierung geschäftlicher E-Mails (Business Email Compromise – BEC), im Rahmen derer Geld oder geistiges Eigentum ohne Einsatz von Links oder Dateien erpresst wird (0,5 % der Bedrohungshinweise).

Aktuell beobachten wir bei Cloudflare eine Zunahme des sogenannten Multi-Channel-Phishing. Welche anderen Kanäle können genutzt werden, um Links oder Dateien zu versenden und BEC-Aktionen auszulösen? SMS (Textnachrichten) sowie öffentliche und private Messaging-Apps werden immer häufiger als Angriffsvektoren verwendet. Dabei wird die Möglichkeit ausgenutzt, Links über diese Kanäle zu versenden – aber auch die Art und Weise, wie Menschen arbeiten und Informationen konsumieren. Hinzu kommt die Zusammenarbeit über die Cloud, bei der Angreifer Links, Dateien und Phishing per BEC innerhalb häufig beliebter Groupware-Tools wie Google Workspace, Atlassian und Microsoft Office 365 einsetzen. Und schließlich wären noch das auf LinkedIn und X abzielende Web- und Social-Phishing zu nennen. Letzten Endes muss jede Lösung zur Phishing-Bekämpfung umfassend genug sein, um diese verschiedenen Vektoren zu erkennen und davor zu schützen.

Mehr über diese Technologien und Produkte erfahren Sie hier

Ein Beispiel aus der Praxis

Um das Ganze anschaulicher zu machen, folgt jetzt ein konkretes Beispiel für das Vorgehen eines raffinierten Angreifers beim Multi-Channel-Phishing.

Unten ist eine E-Mail-Nachricht abgebildet, die eine Führungskraft im Spam-Ordner ihres E-Mail-Postfachs vorfindet. Die Mail wurde von unserer E-Mail-Sicherheitslösung automatisch dorthin verschoben, weil festgestellt wurde, dass damit etwas nicht stimmt. Die Nachricht steht aber in Bezug zu einem aktuellen Projekt der Führungskraft, weshalb diese sie für authentisch hält. Es wird ein Organigramm des Unternehmens angefordert und der Angreifer weiß, dass diese Art von Anfragen abgefangen wird, wenn die Kommunikation weiter per E-Mail läuft. Deshalb bindet er einen Link in ein echtes Google-Formular ein:

  • Die Führungskraft klickt auf den Link. Da es sich um ein reguläres Google-Formular handelt, wird Folgendes angezeigt:

  • Sie wird aufgefordert, das Organigramm hier hochzuladen, und versucht genau das:

  • Die Führungskraft versucht es per Drag and Drop. Der Upload wird aber nicht abgeschlossen, weil das Dokument mit dem Wasserzeichen „Nur zur internen Verwendung“ versehen ist. Unser Gateway-Produkt und unserer Digital Loss Prevention (DLP)-Engine erkennen dies und verhindern das Hochladen.

  • Raffinierte Angreifer sorgen künstlich für Zeitdruck, um ihre Erfolgschancen zu erhöhen. Im vorliegenden Fall wissen sie, dass bei der Führungskraft demnächst eine Frist ansteht, bis zu der dem CEO Bericht erstattet werden muss. Weil das Dokument nicht hochgeladen werden konnte, antwortet die Führungskraft dem Angreifer. Dieser schlägt vor, es zunächst mit einer anderen Upload-Methode zu versuchen und das Dokument zur Not per WhatsApp zu schicken.

  • Die Führungskraft versucht, das Organigramm auf der Website hochzuladen, für die sie in der zweiten E-Mail einen Link erhalten hat – ohne zu wissen, dass diese Website Schadsoftware eingespielt hätte. Da die Seite aber in der Browser Isolation-Lösung von Cloudflare geladen wurde, wurde das Gerät der Führungskraft nicht infiziert. Wichtiger noch: Das Hochladen sensibler Unternehmensunterlagen wurde erneut unterbunden:

  • Zu guter Letzt versucht die Führungskraft es per WhatsApp, doch auch dies wird von uns verhindert:

Benutzerfreundlichkeit

Um langfristig geschützt zu sein, ist die Einrichtung und Wartung einer Sicherheitslösung das A und O. Dafür braucht man jedoch eigentlich IT-Administratoren, die Produkte und Konfigurationen ständig individuell anpassen und die Bedürfnisse der einzelnen Nutzer im Blick behalten. Das ist nicht nur kostspielig, sondern auch riskant, weil es einen großen Mehraufwand und damit eine Zusatzbelastung für diese Teams mit sich bringt.

Um die Führungskraft in unserem Beispiel zu schützen, waren nur vier Schritte erforderlich:

  1. Installieren Sie den Device Agent von Cloudflare und loggen Sie sich dort ein.

Wer über den Device Agent-Client verfügt, kann mit wenigen Klicks vor Multi-Channel-Phishing geschützt werden, was Endnutzern und Administratoren das Leben leichter macht. Sollte ein Unternehmen keine Client-Installation gestatten, ist auch eine Implementierung ohne Agent möglich.

2.  Konfigurieren Sie Richtlinien für Ihren gesamten Nutzer-Traffic. Dieser wird über unser Secure Web Gateway geleitet. Mit diesen Richtlinien kann der Zugang zu hochgradig risikobehafteten Websites, wie sie beispielsweise für Phishing-Kampagnen genutzt werden, vollständig verwehrt werden. Bei verdächtigen Websites, zum Beispiel mit einer gerade erst registrierten Domain, erlaubt die Browser Isolation den Nutzern zwar den Zugriff auf die Website, aber nur mit eingeschränkten Interaktionsmöglichkeiten.

Die Führungskraft war auch nicht in der Lage, das Organigramm bei einem kostenlosen Cloud-Speicherdienst hochzuladen, weil ihr Unternehmen die Cloudflare One-Lösungen Gateway und Browser Isolation verwendet. Diese sind so konfiguriert, dass sie jede kostenlose Cloud-Speicher-Website in einer isolierten Remote-Umgebung laden. Damit wird der Nutzer nicht nur am Hochladen, sondern auch am Kopieren und Einfügen von Informationen gehindert.

Die Führungskraft konnte mit dem Angreifer per WhatsApp kommunizieren. Dateien konnte sie auf diesem Weg aber nicht versenden, weil die Gateway-Lösung von Cloudflare One so konfiguriert wurde, dass alle Uploads und Downloads auf WhatsApp blockiert werden.

3.  Legen Sie mithilfe von DLP-Richtlinien fest, was nicht hochgeladen, eingegeben, kopiert und eingefügt werden darf.

Die Führungskraft konnte das Organigramm nicht in das Google-Formular hochladen, weil das Unternehmen die Gateway- und DLP-Lösungen von Cloudflare One nutzt.Gateway wird dabei so konfiguriert, dass bei jedem Verstoß gegen eine DLP-Richtlinie eine Blockierung erfolgt – selbst auf eigentlich zulässigen Websites wie denen von Google.

4.  Implementieren Sie unsere E-Mail-Sicherheitslösung und richten Sie Regeln zum automatischen Verschieben auf Grundlage der erkannten Art von E-Mails ein.

Im vorliegenden Beispiel hat die Führungskraft keine der zahlreichen an sie gerichteten Schad-E-Mails erhalten, weil ihr elektronisches Postfach durch die E-Mail-Sicherheitslösung von Cloudflare geschützt wurde. Die eingehenden Phishing-E-Mails landeten im Spam-Ordner, da sich ihr Absender als jemand ausgegeben hat, der nicht mit der Signatur in der E-Mail übereinstimmte. Die E-Mail-Sicherheitslösung war mit einem einzigen Klick so konfiguriert worden, dass die Nachrichten in solchen Fällen automatisch im Spam-Ordner abgelegt werden.

Aber auch bei erstklassig arbeitenden Erkennungslösungen muss man selbstverständlich Kennzahlen gesondert aufschlüsseln können, um in der Lage zu sein, Angriffe auf einzelne Nutzer zu erkennen. Es folgt ein Modell unseres demnächst verfügbaren, optimierten Dashboards zur Überwachung der E-Mail-Sicherheit.

Was steht als Nächstes an?

Obwohl Phishing bereits seit drei Jahrzehnten existiert, stellt es ohne Zweifel weiterhin eine Gefahr dar. Die einzige Möglichkeit, sich davor zu schützen, sind wirksame Erkennungsmechanismen in einer sich nahtlos einfügenden und umfassenden Lösung.

Sollten Sie in Erwägung gezogen haben, lediglich eine E-Mail-Sicherheitslösung anzuschaffen, verstehen Sie jetzt, warum das nicht ausreicht. Für Mitarbeitende ist ein mehrstufiger Schutz heute unerlässlich, weil die für die Arbeit erforderlichen Unterlagen und Daten nicht allein in den E-Mail-Postfächern liegen. Sie befinden sich überall und auf jedem Gerät. Das gleiche muss folglich für Ihren Phishing-Schutz gelten.

Theoretisch lässt sich das zwar auch mit mehreren Anbietern bewerkstelligen, doch in der Praxis arbeiten die einzelnen Lösungen nicht ohne Weiteres zusammen. Außerdem fallen bei einem solchen Ansatz nicht nur höhere Kosten an, sondern in der Regel steigt auch der mit Nachforschung, Wartung und Vereinheitlichung verbundene Aufwand für die ohnehin bereits stark beanspruchten IT-Teams.

Wenn Sie mit Cloudflare noch nicht viel Erfahrung sammeln konnten, ist durch diesen Beitrag hoffentlich verdeutlicht worden, wie sich durch die Produkte von Cloudflare One die Phishing-Bekämpfung auf ganzheitliche Weise verbessern lässt. Sollten Sie mit Cloudflare bereits gut vertraut und auf der Suche nach einer Lösung sein, die 99,99 Prozent aller schädlichen E-Mails erkennt und der Unternehmen der Fortune 500, internationale Konzerne und sogar Behörden ihr Vertrauen schenken, liegt für Sie der Nutzen unseres E-Mail-Sicherheitsprodukts sicherlich auf der Hand.

Sie nutzen Office 365 und möchten wissen, was wir aufspüren können, das Ihrem aktuellen Anbieter entgeht? Dann nutzen Sie unseren Retro Scan.

Falls Sie unsere E-Mail-Sicherheitslösung bereits verwenden, erfahren Sie hier mehr über unseren Rundum-Schutz.

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
Cloudflare OneEmail Security (DE)Remote Browser IsolationDLPSecure Web GatewayPhishing

Folgen auf X

Pete Pang|@growthpang
Cloudflare|@cloudflare

Verwandte Beiträge

24. September 2024 um 13:00

A safer Internet with Cloudflare: free threat intelligence, analytics, and new threat detections

Today, we are taking some big steps forward in our mission to help build a better Internet. Cloudflare is giving everyone free access to 10+ different website and network security products and features....

30. Mai 2024 um 13:00

Disrupting FlyingYeti's campaign targeting Ukraine

In April and May 2024, Cloudforce One employed proactive defense measures to successfully prevent Russia-aligned threat actor FlyingYeti from launching their latest phishing campaign targeting Ukraine...

30. Mai 2024 um 12:12

Cloudflare acquires BastionZero to extend Zero Trust access to IT infrastructure

We’re excited to announce that BastionZero, a Zero Trust infrastructure access platform, has joined Cloudflare. This acquisition extends our Zero Trust Network Access (ZTNA) flows with native access management for infrastructure like servers, Kubernetes clusters, and databases...