Awareness

Phishing Kampagne – Das müssen Sie wissen

Aktualisiert am

Bei einer simulierten Phishing Kampagne erhalten Mitarbeiter:innen E-Mails die zwar aus seriöser Quelle stammen, jedoch aufgemacht und formuliert sind wie Phishing Mails. Der Sinn ist es die Erkennung zu trainieren. Nicht zuletzt wegen der Corona-Krise sind simulierte Mail Kampagnen gefragter denn je – es ist der Angriffsvektor Nummer 1 ist.

Die AWARE7 war bereits 2019 an einer wissenschaftlichen Veröffentlichung beteiligt die zeigt, dass über 80% aller Angriffe mit einer E-Mail starten.

Warum ist Phishing so im Fokus?

Nutzer:innen werden oft als letzte Verteidigungslinie angesehen, insbesondere bei E-Mail basierten Angriffen. Mitarbeiter:innen sind jedoch häufig nicht sensibilisiert genug, um Angriffe erkennen zu können.  Technische Lösungen, wie zum Beispiel Blacklisten oder Phishing-Filter schützen vor vielen Mails, jedoch lange nicht vor allen.

Und insbesondere richtig gute Phishing Mails schaffen es häufig an den Filtern vorbei. Dann ist jeder einzelne Nutzer:in gefragt, bösartige Mails zu erkennen. Hier gibt es jedoch ein Problem:

E-Mails an sich bieten zu wenig “bemerkbare Differenzierungsmerkmale”.

Der optische Reizunterschied zwischen einer legitimen Mail, die zum Beispiel von “name@unternehmen.de” kommt ist im Vergleich zu “nane@unternehmen.de” gering. Training kann dabei helfen, Nutzer:innen auf diesen und andere feine Unterschiede zu trainieren, damit diese erkannt werden.

Wie gehen Angreifer vor?

Angreifer gehen analog zur sogenannten Cyber-Killchain von Lockheed-Martin vor. Der Prozess gliedert sich in fünf Phasen:

Phishing Kampagne - CyberKillChain

  1. Der Angreifer beginnt mit der Aufklärungsphase in der er Informationen zum angegriffenen Unternehmen sammelt.
  2. In der Phase der Bewaffnung registriert sich der Angreifer beispielsweise eine Look Alike Domain und hostet eine Website, die ähnlich aussieht wie die Website der legitimen Entität, für die er sich ausgibt.
  3. Die Verbreitungsphase beim Phishing beschreibt die Verbreitung des Angriffsvektors über E-Mail oder eine andere Form der Online-Kommunikation. Es gibt Phishing mit QR-Codes (QRishing), in Social Networks (Snishing) und SMS-basiertes Phishing (Smishing).
  4. Die Exploitation besteht normalerweise darin, den menschlichen Verstand auszunutzen, um die Opfer glauben zu machen, sie würden auf eine legitime Website klicken, aber der Angreifer benutzt ähnlich aussehende URLs, Webseiten oder Domains.
  5. In der abschließenden Exfiltrationsphase zieht der Angreifer legitime (Anmelde)informationen aus dem angegriffenen Unternehmen und war erfolgreich. Dieses Vorgehen kann bei nahezu allen Phishing Kampagnen beobachtet werden. Eine gute Phishing Kampagne wird also nicht “out of the box” sein, sondern sich an die individuellen Gegebenheiten Ihres Unternehmens anpassen und individualisierbar sein.

Was ist Phishing eigentlich?

Im Bereich Cybersecurity beschreibt Phishing einen Angriff, bei der ein Angreifer sich als vertrauenswürdige Entität tarnt, um Nutzer:innen dazu zu bringen, personenbezogene Daten oder kritische Informationen preiszugeben. Phishing ist die prävalenteste Social Engineering Methode im Online-Kontext. Angreifer nutzen dafür teilweise frei verfügbare Informationen im Internet, um Ihren Opfern einen entsprechend realistischen „Pretext“ zu liefern.

In diesem Fall wird von Spear-Phishing gesprochen, da einzelne Personen gezielt ausgewählt und angegriffen werden. Es können verschiedene Szenarien oder Kontaktanlässe genutzt werden, um Pretexting zu nutzen. Sobald das Opfer dem Angreifer vertraut, dass er vertrauenswürdig ist, hat ein Angreifer in der Regel leichtes Spiel.

Informationen, die beispielsweise verwendet werden können, sind verwendete Sportausrüstung oder Wohnort und Geburtsdatum sowie weitere persönliche Informationen. Werden gezielt Personen adressiert die selbst finanzstark sind oder eine hohe Entscheidungskraft in Unternehmen besitzen sprechen Expert:innen vom sogenannten “Whaling”.

Welche Techniken zur Erstellung von Domains im Rahmen einer Phishing Kampagne gibt es?

Die Qualität einer Phishing Kampagne hängt auch von den verwendeten Domains ab, die ein Angreifer zum täuschen nutzt. Wie oben im Artikel beschrieben wird es umso schwieriger für die Mitarbeiter:innen, wenn die Unterschiede zwischen legitimer und gefälschter Domain möglichst gering sind. Die folgende Tabelle zeigt verschiedene Techniken für die Domain “beispiel.de”:

VorteileNachteile
Kosteneffektiv: Einen qualifizierten CISO für Ihr Unternehmen zu finden, kann teuer sein, lange dauern und die Gehälter sind in der Regel im hohen fünf- bis sechsstelligen Bereich. Die Einstellung eines virtuellen CISO kann auch steuerlich sinnvoll sein, da Sie nur für die Zeit bezahlen, in der er mit Ihrem Unternehmen zusammenarbeitet.
Reaktionszeit: Ein virtueller CISO unterstützt nicht nur Sie, sondern viele Organisationen. Daher sind kann es manchmal schwierig sein, drängende Fragen zeitnah beantwortet zu bekommen. Um dies zu überwinden, empfiehlt es sich, mit dem Kandidaten ein SLA zu besprechen oder zu dokumentieren, bevor er an Bord geholt wird. Wenn im Voraus bekannt ist, dass Sie eine Antwort auf ein als "kritisch" markiertes Ticket innerhalb von zwei Stunden benötigen, dann ist es einfacher, die Erwartungen zu steuern.
Anpassungsfähig: Wenn Organisationen wachsen, sind Veränderungen so gut wie garantiert. Einige Leute sind großartig in Startups und andere sind großartig in etablierten Organisationen, oft ist eine Person nicht in beiden gut. Ziehen Sie in Erwägung, einen virtuellen CISO hinzuzuziehen, der sich mit Ihren Tools, Ihrem Markt und Ihrem Organisationsstil auskennt, und wenn sich das Unternehmen ändert, kann sich auch der CISO ändern.
Loyalität: Externe Mitarbeitende sind meist nicht stark in Ihrem Unternehmen "investiert" auch wenn sie technisch für Sie arbeiten. Insbesondere die tägliche Interaktion mit den Mitarbeiter:innen fehlt neben der fehlenden Teilnahme an der Unternehmenskultur.
Fachwissen: Virtuelle CISOs bringen eine Fülle von Wissen mit. Mit der vorhandenen Expertise, dem geschulten Umgang mit dem Tool-Set und der Erfahrung am Markt kann der virtuelle CISO sofort loslegen, sobald er engagiert wird.
Fehlende Risikoverantwortung: Schauen Sie sich den Vertrag sehr genau an und diskutieren Sie offen und ehrlich über die Risikoverantwortung, bevor Sie eine Firma oder eine Person beauftragen. Stellen Sie sicher, dass sie einen Teil des organisatorischen Risikos übernehmen, da sie es in vielen Fällen verwalten werden.
Etablierte Beziehungen und Verbindungen: Viele virtuelle CISOs verfügen über ein eingebautes Netzwerk und haben viele Verbindungen zu Anbietern und Branchenexperten. Die Möglichkeit, dieses Netzwerk zu nutzen, kann das Wachstum effizienter und kostengünstiger gestalten.Teuer in der Zeit, in der Sie ihn brauchen: Ein virtueller CISO kann sehr kosteneffektiv sein, vor allem, wenn Sie ihn nur periodisch im Laufe des Jahres oder während Audits benötigen. Wenn das Unternehmen jedoch schnell wächst oder eine größere Sicherheitsverletzung auftritt, können die Stunden, die der virtuelle CISO investiert, sehr zahlreich sein.

Die beschriebenen Techniken zeigen häufig verwendete Techniken bei der Erstellung von Phishing-Nachrichten, die wir selbst bei unseren Phishing Kampagnen gerne nutzen aber auch von Angreifern verwendet werden. Vom einfachen vertauschen von Buchstaben über die Ersetzung einzelner Zeichen bis hin zur Homoglyphentechnik gibt es zahlreiche Möglichkeiten für Angreifer ähnlich aussehende Domains zu registrieren.

So besteht die vorletzte Domain nichtmal mehr aus Zeichen des im westlichen Raums verwendeten Zeichensatzes sondern ist komplett aus kyrillischen Buchstaben zusammengesetzt “beispïel.de”. Beim Genauen hinsehen fällt auf, dass auf dem i zwei Punkte zu sehen sind. Dies ist ein “i mit Trema”.

Zusätzlich erschweren ungewöhnliche, aber legitime Top-Level Domains (z.B. „paypal.me“) und Subdomains (z.B. „admin.google.com“) diesen Erkennungsprozess noch weiter, da Angreifer diese Technik ebenfalls nutzen, beim sogenannten „Domain Squatting“. Auch speziell eingeführte „Vertrauensanker“ wie beispielsweise Extended Validation Zertifikate sind für die meisten Nutzer:innen kein funktionierender Indikator, ob eine Webseite vertrauenswürdig ist oder nicht.

Diese Domains werden registriert und es wird ein Mailserver eingerichtet, von dem die Mails ausgehen. Die Phishingmail wird also nicht von „chef@beispiel.de“, sondern von „chef@beipsiel.de“ versendet, was für ein potenzielles Opfer viel schwerer zu erkennen ist.

Fünf Prinzipien beim Phishing

Bereits 2012 hat eine Analyse gezeigt, dass insbesondere Laien häufig einem erhöhten Risiko ausgesetzt sind. Sie sehen andere Nutzer häufig als größeres Risiko als sich selbst. Dies ist jedoch in den meisten Fällen ein Trugschluss und sorgt für ein falsches Bewusstsein für den Umgang mit Informationstechnik.

Insbesondere mit sehr ausgeklügelten Angriffen, bei denen verschiedene Aspekte ausgenutzt werden, sind Laien einem Angreifer schutzlos ausgeliefert. Eine regelmäßige Durchführung Phishing Kampagnen kann dabei helfen das Bewusstsein für Phishing zu erhöhen und dadurch tatsächlich Risiken zu senken.

Verschiedene Forschungsarbeiten haben sich mit den zugrundeliegenden Mechanismen und Prinzipien beschäftigt. Fünf Prinzipien kristallisieren sich dabei heraus, die Angreifer immer wieder verwenden, wenn Sie Nutzer:innen angreifen.

Manipulierte URLTechnik
beispie1.deErsetzung
beipsiel.deTransposition
beispuel.deVokaltausch
beisspiel.deWiederholung
bespiel.deOmission
beiispiel.deEinsetzung
bei-spiel.deHyphenation
beispïel.deHomoglyph
beispiels.deAddition

Mit diesen aufgestellten Prinzipien lassen sich die meisten erfolgreichen Phishing-Nachrichten auf „Ablenkung“ zurückführen (beispielsweise durch Fear of Missing Out, zeitliche Beschränkungen).

Ihnen Folgen Nachrichten, die den Prinzipien „Autorität“ und „Gefallen, Ähnlichkeit, Täuschung“ folgen. Neben diesen fünf Prinzipien gibt es zudem noch fünf Faktoren einer betrügerischen Nachricht, die Menschen mit höherer Wahrscheinlichkeit reagieren lassen. Hiervon sind die ersten vier Einflüsse die der Angreifer bewusst steuern kann, der fünfte Punkt ist abhängig vom Empfänger der Nachricht:

  1. Hohe Motivationsauslöser in Bezug auf die Höhe der Belohnung
  2. Fokussierung auf Interaktion, statt auf den Inhalt der Nachricht. Beispielsweise durch die vermehrte Verwendung von offiziellen Logos, Siegeln etc.
  3. Sozialer Einfluss, beispielsweise Sympathie und Gegenseitigkeit
  4. Knapper Zeitrahmen oder dringendes Anliegen
  5. Persönlichkeit des Opfers in Kombination mit der häufig verzerrten Selbstwahrnehmung, dass Betrug erkannt werden würde. Bei diesem Faktor ist unklar, inwieweit er Einfluss auf die Entscheidung nimmt.

Die Top 3 Phishing-Betreffzeilen

2020 gab es einige coronaspezifische Betreffzeilen, die Nutzer:innen dazu bewegt haben auf Phishing Nachrichten zu klicken. Es gibt jedoch drei Betreffzeilen, die häufiger als andere von Angreifern gewählt werden, da diese entsprechend gut funktionieren:

  • Bewerbung
    • Zugrundeliegendes Prinzip: Verbindlichkeit des Opfers Bewerbungen bearbeiten zu müssen
    • Häufg hinzugefügte Faktoren: Sozialer Einfluss, Fokus auf Interaktion
    • Ein echter Klassiker unter den Phishing-Mails. Angreifer fokussieren hierbei speziell Personalabteilungen oder versenden direkt an das gesamte Unternehmen. Eine Bewerbungsemail ist in der Regel simpel aufgebaut und kann mit wenig Aufwand nachgestellt werden. Auch Dateianhänge sind durchaus beliebt. Ransomware verbreitet sich ebenfalls auf diesem Weg.
  • Gehaltsabrechnung
    • Zugrundeliegendes Prinzip: Soziale Bestätigung. Das Opfer ist interessiert, ob seine soziale Stellung auch im Gehalt widergespiegelt ist.
    • Häufg hinzugefügte Faktoren: Sozialer Einfluss, hohe Motivationsauslöser
    • Ein weiterer Klassiker. Gehaltsabrechnungen sorgen oft für Wirbel, wenn Sie wirklich einmal in die falschen Hände geraten. Erhalten Mitarbeiter:innen Daten über die Abrechnung, können Sie Ihre soziale Stellung anhand dieses wirtschaftlichen Kontrollfaktors überprüfen.
  • Passwortwechsel aufgrund eines Serverumzugs
    • Zugrundeliegendes Prinzip: Autorität. Das Opfer ist gegenüber der IT “hörig”.
    • Häufg hinzugefügte Faktoren: Fokussierung auf Interaktion, knapper Zeitrahmen
    • Passwörter begleiten uns tagtäglich im Internet. Die korrekte Nutzung ist schwer. Nutzer:innen fehlt in der Regel Fachwissen, ob aktuell wirklich irgendwelche Server umgezogen werden und ob es berechtigt ist, dass Sie dort Passwörter erneut eingeben müssen.

Kritik an der Durchführung einer Phishing Kampagne

Eine Phishing Kampagne sollte nie durchgeführt werden, um einzelne Mitarbeiter:innen zu testen. Es geht vor allem darum, Lerneffekte zu erzielen. Zwischen dem Erzielen von Lerneffekten und der Herausforderung Mitarbeiter:innen nicht zu hintergehen liegt das Problem:

Wird eine Kampagne angekündigt, reagieren Mitarbeiter:innen unter Umständen vorsichtig und es werden keine realen Gegebenheiten gemessen. Benachrichtigt der:die Verantwortliche die Mitarbeiter:innen nicht, so kann eine Phishing Kampagne negativen Einfluss auf die Fehler- und Vertrauenskultur haben. Gemeinsam mit Ihnen besprechen wir den optimalen Weg aus diesem Dilemma und sorgen für eine positive Fehler- und Vertrauenskultur in Ihrem Unternehmen.

Zusätzlich leidet das Betriebsklima und Mitarbeiter:innen sehen sich einem zusätzlichen Zeit- und Leistungsdruck ausgesetzt. Dieser Aspekt ist spannend, da zwei aktuelle Studien nahelegen, dass Angriffe erfolgreicher sind, je höher die aktuelle Arbeitslast ist.

Phishing Mails sind insgesamt erfolgreicher, wenn das E-Mail Volumen innerhalb einer Organisation hoch ist. Auch die Kombination zwischen subjektiv empfundener, hoher Arbeitslast und fehlender Expertise kann zu hohen Klickraten führen.

Phishing Kampagne durchführen

Phishing Kampagnen der AWARE7 orientieren sich individuell an Ihren Bedürfnissen.  Wir beraten Sie hinsichtlich der Planung, Konzeption und Durchführung Ihrer Phishing Kampagne. Einmalige Kampagnen sind ebenso möglich wie langfristige Engagements über Monate, Quartale bis hin zu Jahren.

Überzeugen Sie sich selbst und tragen Sie sich für drei simulierte Phishing E-Mails ein, die Sie im Laufe der nächsten Wochen erhalten. Neben der einfachen Phishing Simulation bieten wir Kampagnen an, welche zugrundeliegenden Prinzipien und Faktoren messen, die Ihre Mitarbeiter:innen besonders motivieren zu klicken.

[gravityform id=”10″ title=”true” description=”true”]

Entsprechend dieser Ergebnisse können dann individuelle Schulungsangebote durchgeführt werden. Neben den Kampagnen bieten wir auch Awareness-Trainings und eLearnings rund um das Thema Phishing an. So können sich Ihre Mitarbeiter:innen weiterbilden, wenn es in den Arbeitsalltag passt, um möglichst wenig zusätzlichen Stress aufzubauen.

Über die Jahre haben wir wertvolle Handlungsempfehlungen für die Durchführung und Planung zusammengetragen. Wir nutzen dabei ISO27001 zertifizierte Server zum Versand unserer E-Mails und nutzen ausschließlich europäische Anbieter, damit werden wir auch den hohen Anforderungen der DSGVO gerecht.

 

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.