Bei einer simulierten Phishing Kampagne erhalten Mitarbeiter:innen E-Mails die zwar aus seriöser Quelle stammen, jedoch aufgemacht und formuliert sind wie Phishing Mails. Der Sinn ist es die Erkennung zu trainieren. Nicht zuletzt wegen der Corona-Krise sind simulierte Mail Kampagnen gefragter denn je – es ist der Angriffsvektor Nummer 1 ist.
Die AWARE7 war bereits 2019 an einer wissenschaftlichen Veröffentlichung beteiligt die zeigt, dass über 80% aller Angriffe mit einer E-Mail starten.
Warum ist Phishing so im Fokus?
Nutzer:innen werden oft als letzte Verteidigungslinie angesehen, insbesondere bei E-Mail basierten Angriffen. Mitarbeiter:innen sind jedoch häufig nicht sensibilisiert genug, um Angriffe erkennen zu können. Technische Lösungen, wie zum Beispiel Blacklisten oder Phishing-Filter schützen vor vielen Mails, jedoch lange nicht vor allen.
Und insbesondere richtig gute Phishing Mails schaffen es häufig an den Filtern vorbei. Dann ist jeder einzelne Nutzer:in gefragt, bösartige Mails zu erkennen. Hier gibt es jedoch ein Problem:
E-Mails an sich bieten zu wenig „bemerkbare Differenzierungsmerkmale“.
Der optische Reizunterschied zwischen einer legitimen Mail, die zum Beispiel von „name@unternehmen.de“ kommt ist im Vergleich zu „nane@unternehmen.de“ gering. Training kann dabei helfen, Nutzer:innen auf diesen und andere feine Unterschiede zu trainieren, damit diese erkannt werden.
Wie gehen Angreifer vor?
Angreifer gehen analog zur sogenannten Cyber-Killchain von Lockheed-Martin vor. Der Prozess gliedert sich in fünf Phasen:
- Der Angreifer beginnt mit der Aufklärungsphase in der er Informationen zum angegriffenen Unternehmen sammelt.
- In der Phase der Bewaffnung registriert sich der Angreifer beispielsweise eine Look Alike Domain und hostet eine Website, die ähnlich aussieht wie die Website der legitimen Entität, für die er sich ausgibt.
- Die Verbreitungsphase beim Phishing beschreibt die Verbreitung des Angriffsvektors über E-Mail oder eine andere Form der Online-Kommunikation. Es gibt Phishing mit QR-Codes (QRishing), in Social Networks (Snishing) und SMS-basiertes Phishing (Smishing).
- Die Exploitation besteht normalerweise darin, den menschlichen Verstand auszunutzen, um die Opfer glauben zu machen, sie würden auf eine legitime Website klicken, aber der Angreifer benutzt ähnlich aussehende URLs, Webseiten oder Domains.
- In der abschließenden Exfiltrationsphase zieht der Angreifer legitime (Anmelde)informationen aus dem angegriffenen Unternehmen und war erfolgreich. Dieses Vorgehen kann bei nahezu allen Phishing Kampagnen beobachtet werden. Eine gute Phishing Kampagne wird also nicht „out of the box“ sein, sondern sich an die individuellen Gegebenheiten Ihres Unternehmens anpassen und individualisierbar sein.
Was ist Phishing eigentlich?
Im Bereich Cybersecurity beschreibt Phishing einen Angriff, bei der ein Angreifer sich als vertrauenswürdige Entität tarnt, um Nutzer:innen dazu zu bringen, personenbezogene Daten oder kritische Informationen preiszugeben. Phishing ist die prävalenteste Social Engineering Methode im Online-Kontext. Angreifer nutzen dafür teilweise frei verfügbare Informationen im Internet, um Ihren Opfern einen entsprechend realistischen „Pretext“ zu liefern.
In diesem Fall wird von Spear-Phishing gesprochen, da einzelne Personen gezielt ausgewählt und angegriffen werden. Es können verschiedene Szenarien oder Kontaktanlässe genutzt werden, um Pretexting zu nutzen. Sobald das Opfer dem Angreifer vertraut, dass er vertrauenswürdig ist, hat ein Angreifer in der Regel leichtes Spiel.
Informationen, die beispielsweise verwendet werden können, sind verwendete Sportausrüstung oder Wohnort und Geburtsdatum sowie weitere persönliche Informationen. Werden gezielt Personen adressiert die selbst finanzstark sind oder eine hohe Entscheidungskraft in Unternehmen besitzen sprechen Expert:innen vom sogenannten „Whaling“.
Welche Techniken zur Erstellung von Domains im Rahmen einer Phishing Kampagne gibt es?
Die Qualität einer Phishing Kampagne hängt auch von den verwendeten Domains ab, die ein Angreifer zum täuschen nutzt. Wie oben im Artikel beschrieben wird es umso schwieriger für die Mitarbeiter:innen, wenn die Unterschiede zwischen legitimer und gefälschter Domain möglichst gering sind. Die folgende Tabelle zeigt verschiedene Techniken für die Domain „beispiel.de“:
| Manipulierte URL | Technik |
| beispie1.de | Ersetzung |
| beipsiel.de | Transposition |
| beispuel.de | Vokaltausch |
| beisspiel.de | Wiederholung |
| bespiel.de | Omission |
| beiispiel.de | Einsetzung |
| bei-spiel.de | Hyphenation |
| beispïel.de | Homoglyph |
| beispiels.de | Addition |
Die beschriebenen Techniken zeigen häufig verwendete Techniken bei der Erstellung von Phishing-Nachrichten, die wir selbst bei unseren Phishing Kampagnen gerne nutzen aber auch von Angreifern verwendet werden. Vom einfachen vertauschen von Buchstaben über die Ersetzung einzelner Zeichen bis hin zur Homoglyphentechnik gibt es zahlreiche Möglichkeiten für Angreifer ähnlich aussehende Domains zu registrieren.
So besteht die vorletzte Domain nichtmal mehr aus Zeichen des im westlichen Raums verwendeten Zeichensatzes sondern ist komplett aus kyrillischen Buchstaben zusammengesetzt „beispïel.de“. Beim Genauen hinsehen fällt auf, dass auf dem i zwei Punkte zu sehen sind. Dies ist ein „i mit Trema“.
Zusätzlich erschweren ungewöhnliche, aber legitime Top-Level Domains (z.B. „paypal.me“) und Subdomains (z.B. „admin.google.com“) diesen Erkennungsprozess noch weiter, da Angreifer diese Technik ebenfalls nutzen, beim sogenannten „Domain Squatting“. Auch speziell eingeführte „Vertrauensanker“ wie beispielsweise Extended Validation Zertifikate sind für die meisten Nutzer:innen kein funktionierender Indikator, ob eine Webseite vertrauenswürdig ist oder nicht.
Diese Domains werden registriert und es wird ein Mailserver eingerichtet, von dem die Mails ausgehen. Die Phishingmail wird also nicht von „chef@beispiel.de“, sondern von „chef@beipsiel.de“ versendet, was für ein potenzielles Opfer viel schwerer zu erkennen ist.
Fünf Prinzipien beim Phishing
Bereits 2012 hat eine Analyse gezeigt, dass insbesondere Laien häufig einem erhöhten Risiko ausgesetzt sind. Sie sehen andere Nutzer häufig als größeres Risiko als sich selbst. Dies ist jedoch in den meisten Fällen ein Trugschluss und sorgt für ein falsches Bewusstsein für den Umgang mit Informationstechnik.
Insbesondere mit sehr ausgeklügelten Angriffen, bei denen verschiedene Aspekte ausgenutzt werden, sind Laien einem Angreifer schutzlos ausgeliefert. Eine regelmäßige Durchführung Phishing Kampagnen kann dabei helfen das Bewusstsein für Phishing zu erhöhen und dadurch tatsächlich Risiken zu senken.
Verschiedene Forschungsarbeiten haben sich mit den zugrundeliegenden Mechanismen und Prinzipien beschäftigt. Fünf Prinzipien kristallisieren sich dabei heraus, die Angreifer immer wieder verwenden, wenn Sie Nutzer:innen angreifen.
| Prinzip | Beschreibung |
| Autorität | Compliance mit vorgetäuschter Autorität oder das Einlösen eines Gefallens für eine Autorität |
| Soziale Bestätigung | Nachahmen von Verhalten einer Mehrheit |
| Gefallen, Ähnlichkeit und Täuschung | Gehorsam gegenüber etwas bekanntem oder etwas das gemocht wird, dem Opfer ähnlich ist oder das Opfer als attraktiv empfindet |
| Verbindlichkeit, Gegenseitigkeit und Konsistenz | Festnageln des Opfers auf Verbindlichkeiten, Konsistenz zwischen gesagtem und gemachtem herstellen oder Erwiderung eines Gefallens |
| Ablenkung | Fokussierung auf den Gewinn oder Verlust eines Opfers |
Mit diesen aufgestellten Prinzipien lassen sich die meisten erfolgreichen Phishing-Nachrichten auf „Ablenkung“ zurückführen (beispielsweise durch Fear of Missing Out, zeitliche Beschränkungen).
Ihnen Folgen Nachrichten, die den Prinzipien „Autorität“ und „Gefallen, Ähnlichkeit, Täuschung“ folgen. Neben diesen fünf Prinzipien gibt es zudem noch fünf Faktoren einer betrügerischen Nachricht, die Menschen mit höherer Wahrscheinlichkeit reagieren lassen. Hiervon sind die ersten vier Einflüsse die der Angreifer bewusst steuern kann, der fünfte Punkt ist abhängig vom Empfänger der Nachricht:
- Hohe Motivationsauslöser in Bezug auf die Höhe der Belohnung
- Fokussierung auf Interaktion, statt auf den Inhalt der Nachricht. Beispielsweise durch die vermehrte Verwendung von offiziellen Logos, Siegeln etc.
- Sozialer Einfluss, beispielsweise Sympathie und Gegenseitigkeit
- Knapper Zeitrahmen oder dringendes Anliegen
- Persönlichkeit des Opfers in Kombination mit der häufig verzerrten Selbstwahrnehmung, dass Betrug erkannt werden würde. Bei diesem Faktor ist unklar, inwieweit er Einfluss auf die Entscheidung nimmt.
Die Top 3 Phishing-Betreffzeilen
2020 gab es einige coronaspezifische Betreffzeilen, die Nutzer:innen dazu bewegt haben auf Phishing Nachrichten zu klicken. Es gibt jedoch drei Betreffzeilen, die häufiger als andere von Angreifern gewählt werden, da diese entsprechend gut funktionieren:
- Bewerbung
- Zugrundeliegendes Prinzip: Verbindlichkeit des Opfers Bewerbungen bearbeiten zu müssen
- Häufg hinzugefügte Faktoren: Sozialer Einfluss, Fokus auf Interaktion
- Ein echter Klassiker unter den Phishing-Mails. Angreifer fokussieren hierbei speziell Personalabteilungen oder versenden direkt an das gesamte Unternehmen. Eine Bewerbungsemail ist in der Regel simpel aufgebaut und kann mit wenig Aufwand nachgestellt werden. Auch Dateianhänge sind durchaus beliebt. Ransomware verbreitet sich ebenfalls auf diesem Weg.
- Gehaltsabrechnung
- Zugrundeliegendes Prinzip: Soziale Bestätigung. Das Opfer ist interessiert, ob seine soziale Stellung auch im Gehalt widergespiegelt ist.
- Häufg hinzugefügte Faktoren: Sozialer Einfluss, hohe Motivationsauslöser
- Ein weiterer Klassiker. Gehaltsabrechnungen sorgen oft für Wirbel, wenn Sie wirklich einmal in die falschen Hände geraten. Erhalten Mitarbeiter:innen Daten über die Abrechnung, können Sie Ihre soziale Stellung anhand dieses wirtschaftlichen Kontrollfaktors überprüfen.
- Passwortwechsel aufgrund eines Serverumzugs
- Zugrundeliegendes Prinzip: Autorität. Das Opfer ist gegenüber der IT „hörig“.
- Häufg hinzugefügte Faktoren: Fokussierung auf Interaktion, knapper Zeitrahmen
- Passwörter begleiten uns tagtäglich im Internet. Die korrekte Nutzung ist schwer. Nutzer:innen fehlt in der Regel Fachwissen, ob aktuell wirklich irgendwelche Server umgezogen werden und ob es berechtigt ist, dass Sie dort Passwörter erneut eingeben müssen.
Kritik an der Durchführung einer Phishing Kampagne
Eine Phishing Kampagne sollte nie durchgeführt werden, um einzelne Mitarbeiter:innen zu testen. Es geht vor allem darum, Lerneffekte zu erzielen. Zwischen dem Erzielen von Lerneffekten und der Herausforderung Mitarbeiter:innen nicht zu hintergehen liegt das Problem:
Wird eine Kampagne angekündigt, reagieren Mitarbeiter:innen unter Umständen vorsichtig und es werden keine realen Gegebenheiten gemessen. Benachrichtigt der:die Verantwortliche die Mitarbeiter:innen nicht, so kann eine Phishing Kampagne negativen Einfluss auf die Fehler- und Vertrauenskultur haben. Gemeinsam mit Ihnen besprechen wir den optimalen Weg aus diesem Dilemma und sorgen für eine positive Fehler- und Vertrauenskultur in Ihrem Unternehmen.
Zusätzlich leidet das Betriebsklima und Mitarbeiter:innen sehen sich einem zusätzlichen Zeit- und Leistungsdruck ausgesetzt. Dieser Aspekt ist spannend, da zwei aktuelle Studien nahelegen, dass Angriffe erfolgreicher sind, je höher die aktuelle Arbeitslast ist.
Phishing Mails sind insgesamt erfolgreicher, wenn das E-Mail Volumen innerhalb einer Organisation hoch ist. Auch die Kombination zwischen subjektiv empfundener, hoher Arbeitslast und fehlender Expertise kann zu hohen Klickraten führen.
Erkennen Sie zuverlässig Phishing E-Mails?
Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!
Phishing Kampagne durchführen
Phishing Kampagnen der AWARE7 orientieren sich individuell an Ihren Bedürfnissen. Wir beraten Sie hinsichtlich der Planung, Konzeption und Durchführung Ihrer Phishing Kampagne. Einmalige Kampagnen sind ebenso möglich wie langfristige Engagements über Monate, Quartale bis hin zu Jahren.
Überzeugen Sie sich selbst und tragen Sie sich für drei simulierte Phishing E-Mails ein, die Sie im Laufe der nächsten Wochen erhalten. Neben der einfachen Phishing Simulation bieten wir Kampagnen an, welche zugrundeliegenden Prinzipien und Faktoren messen, die Ihre Mitarbeiter:innen besonders motivieren zu klicken.
Entsprechend dieser Ergebnisse können dann individuelle Schulungsangebote durchgeführt werden. Neben den Kampagnen bieten wir auch Awareness-Trainings und eLearnings rund um das Thema Phishing an. So können sich Ihre Mitarbeiter:innen weiterbilden, wenn es in den Arbeitsalltag passt, um möglichst wenig zusätzlichen Stress aufzubauen.
Über die Jahre haben wir wertvolle Handlungsempfehlungen für die Durchführung und Planung zusammengetragen. Wir nutzen dabei ISO27001 zertifizierte Server zum Versand unserer E-Mails und nutzen ausschließlich europäische Anbieter, damit werden wir auch den hohen Anforderungen der DSGVO gerecht.
Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.
