Awareness

Phishingerkennung – Die Macht der eigenen Finger

Aktualisiert am

Warum ist Phishingerkennung so schwierig? Wie können heutzutage selbst große Unternehmen Opfer von erfolgreichen Phishing-Angriffen werden? Die Antwort liegt in der Funktionsweise von Phishing-Angriffen und eine neue Methode könnte die Erkennrate von bösartigen E-Mails verbessern.

Phishing im Laufe der Zeit

Phishing E-Mails sind keine neue Erfindung, sie reichen bis zum Ende der 1990er zurück. Eine der ersten Erwähnungen tauchte im für Windows geschriebenen Programm “AOHell” auf, was für den Passwortdiebstahl von AOL Kunden entwickelt wurde. Es implementierte ein Phishing-Tool, um automatisiert Nachrichten an zufällige AOL Nutzende zu senden und aufzufordern, ihre Zugangsdaten einzugeben. Schnell wurden auch Banken und Zahlungsdienstleister ins Visier genommen, Phishing wurde immer beliebter und lukrativer.

Mittlerweile werden so viele Phishing-Angriffe wie noch nie durchgeführt. Allein im Dezember 2021 wurden laut der Anti-Phishing Working Group ca. 320 000 Attacken verzeichnet. Besonders beliebt ist das Imitieren von Finanzdienstleistern, um schnell Zugangsdaten in Geld verwandeln zu können.

Das Problem der Erkennrate

Das große Problem: Phishing ist schwieriger zu erkennen, als viele glauben. Wenn man sich schon erfolgreich durchgeführte Phishing-Attacken ansieht, könnte man sich fragen, wieso teilweise offensichtliche Fehler oder Ungereimtheiten in der E-Mail übersehen wurden.

“Ich hätte doch auf sowas niemals geklickt”

ist oft die Reaktion Außenstehender. Doch die Realität sieht anders aus, im Arbeitsalltag hat man nicht viel Zeit, um jede E-Mail genau unter die Lupe zu nehmen und auf etwaige Fehler zu untersuchen. Ein kurzer Blick auf den Betreff, ein Überfliegen der Formatierung – schnell hat man sich ein grobes Bild der Seriosität einer E-Mail gebildet.

Professionelle Phishing E-Mails können aber sehr wohl auch professionell aussehen. Da der Identitäts- sowie Integritätsnachweis einer E-Mail nur mit Mehraufwand möglich ist, ist es viel einfacher, einen Absender zu fälschen, als viele annehmen. Die E-Mail ist mittlerweile jedoch Kommunikationsstandard in vielen Unternehmen, ein Verbot undenkbar.

Zwar werden automatisierte Filter immer besser, doch auch die bösartigen Angreifenden immer kreativer. Oft bilden die technischen Maßnahmen eine erste Hürde. Leider kann dem Nutzenden jedoch nicht sämtliche Arbeit abgenommen werden. Der Empfangende muss am Ende entscheiden, ob eine E-Mail bösartig ist oder nicht. Eine hohe Erkennrate wird somit ohne die Hilfe des Nutzenden unmöglich.

Was haben Züge mit der Erkennrate zu tun?

Wer schon mal in Japan war und Triebfahrzeugführer:innen oder Schaffner:innen beobachtet hat, könnte etwas für uns Ungewohntes bemerkt haben. Sie zeigen auf alles und sprechen dabei laut:

Shisa kanko

oder im Englischen auch “Pointing and Calling” wird diese Sicherheitsmaßnahme genannt. Das Anwenden der Methode ist denkbar einfach: Auf alle Dinge, die für das Ausführen der eigenen Arbeit wichtig sind, wird mit dem Zeigefinger gezeigt und laut ausgesprochen, was man sieht. Was so einfach klingt, hat einen enormen Effekt auf die Fehlerrate. Insgesamt konnte so im japanischen Schienenverkehr die Anzahl an Fehlern am Arbeitsplatz um 85 % gesenkt werden.

Mittlerweile wird das Anwenden von “Pointing and Calling” von der “Japan Industrial Safety and Health Association” empfohlen. Auch die New Yorker U-Bahn wendet eine abgewandelte Form an, das “Pointing”. Hier wird auf den lauten Ausruf verzichtet. “Pointing and Calling” verbessert somit die Erkennrate von potentiellen Fehlern, indem das Ausgerufene aktiv in das Bewusstsein geholt wird.

Unser Beitrag

Wir unterstützen die Erforschung und möchten ermitteln, wie diese Methode genutzt werden kann, um die Erkennrate von bösartigen E-Mails zu erhöhen.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.