Die AWARE7 GmbH veröffentlicht Forschung zum Thema Phishing auf einer international anerkannten Konferenz mit Forschungspartnern. Der Titel lautet: “Plenty of Phish in the Sea: Analyzing Potential Pre-Attack Surfaces”. Fokus des Papers ist die Analyse von potentiellen Phishing Zielen auf Basis von frei verfügbaren Daten im Internet. Zusätzlich dazu haben die Forscher 93 Berichte rund um das Thema “Advanced Persistent Threats” gesammelt und ausgewertet.
Wo stellen wir die Forschung rund um das Thema Phishing vor?
Aktuell findet das “European Symposium on Research in Computer Security” (ESORICS) zum 25. mal statt. Eigentlich sollte das Symposium in Guildford stattfinden. Guildford ist eine Stadt in Großbritannien. Aufgrund von COVID-19 findet das Symposium jedoch Online statt. Wir begrüßen diese Durchführungsform und auch nach zwei Tagen digitalem Symposium überwiegen für uns die Vorteile, da die Reisen wegfallen und dadurch das Klima geschützt wird.
Cybersecurity ist der Schutz von Informationen in verschiedenen Umgebungen, die Angreifern die Möglichkeit geben dort einzudringen oder allgemein böswillige Handlungen durchzuführen. Die ESORICS möchte Fortschritt und Forschung im Bereich Computersicherheit fördern und fordern. Sie ist das führende europäische Symposium im Bereich der Cybersecurity. Seit der ersten Konferenz im Jahr 1990 hat Sie sich diesen Status Jahr um Jahr erarbeitet.
Die Forschungsarbeit wurde nicht allein durch die AWARE7 durchgeführt sondern ebenfalls vom Horst Görtz Institut der Ruhr Universität Bochum und dem Institut für Internet-Sicherheit der Westfälischen Hochschule.
Phishing Forschung untersucht häufig nicht die Ursachen
Wir wollten mit unserer Arbeit verstehen und messen, ob es öffentlich verfügbare Daten gibt, die böswillige Akteure nutzen könnten. Beispielsweise um Angriffe zu planen oder durchzuführen. Alle bisherigen Arbeiten bezogen sich darauf Angriffe zu erkennen, während Sie stattfinden oder Sie zu untersuchen nachdem ein Angriff durchgeführt wurde. In einem ersten Schritt analysieren wir 93 Berichte über großangelegte Angriffe, sogenannten Advanced Persistent Threats oder APTs. Bei der Analyse fanden wir heraus, dass 80% der Angriffe Phishing E-Mails verwendet, um Benutzer dazu zu verleiten unwissentlich ein System zu infizieren. Am häufigsten werden für die initiale Infektion Office Makros verwendet, welche in Office Dokumenten eingebunden sind.
Analyse von potentiellen Daten die zu Angriffen führen können
Nachdem wir die Berichte analysiert haben, durchsuchen wir insgesamt fast 5 Millionen Webseiten, analysierten über 250.000 Dokumente und mehr als 18.000 Social Media Profile im Hinblick auf mögliche Angriffsstrategien. Hierfür wählen wir 30 Unternehmen fokussiert aus. Die 30 Unternehmen haben zwischen 50 und 375.000 Mitarbeiter*innen. Im Anschluss versuchen wir zu messen, wieviele Firmen Daten verlieren und kommen zu dem Ergebnis, dass 90% der Unternehmen und Mitarbeiter*innen Daten verlieren, die Angreifer für die Durchführung von bösartigen Phishing Kampagnen nutzen könnten. 71% der identifizierbaren Mitarbeiter*innen haben sogar noch mehr Merkmale (z.B. Vorgesetzte, Schwerpunkt der Arbeit oder verwendete Software) ins Internet gestellt, sodass Sie sehr gute Ziele für potentielle Angreifer darstellen.
Zusammenfassung der Ergebnisse
Unsere Ergebnisse zeigen auf, dass alle analysierten Unternehmen eine große Angriffsfläche bieten die aktuell weder überwacht oder durch Sicherheitstechnologien geschützt wird. Ein Problem hierbei ist, dass die Daten nichtmehr unter der Kontrolle der Unternehmen stehen und es meist nicht möglich ist, einen Datenverlust rückgängig zu machen. Eine Möglichkeit das Risiko und die möglichen Schäden zu reduzieren kann das Schärfen des Bewusstseins der Mitarbeiter*innen sein, dass Daten von Angreifern regelmäßig missbraucht werden und dass das Prinzip der Datensparsamkeit höchste Prämisse sein sollte. Eine weitere Möglichkeit einem Missbrauch entgegenzuwirken ist Metadaten aus allen hochgeladenen Dateien zu löschen.
Die komplette Arbeit kann als “Preprint” abgerufen und heruntergeladen werden. Nachfolgend ist zudem eine Aufzeichnung der Vorstellung der Ergebnisse auf der ESORICS am 15.09.2020 von Matteo Große-Kampmann zu sehen.