Phishing

Phishing ist Social Engineering im Internet. Die einfachsten Angriffe sind die sog. Nigeria-Scams, die jeder von und kennt. Die Absender behaupten, Rechte auf Konten, Erbschaften, Lotterie-Gewinne zu besitzen und bitten den Mailempfänger um Hilfe bei der Bezahlung von Gebühren, Bestechungsgeldern, etc. und stellen dafür Provisionen in zweistelliger Höhe in Aussicht: „Sie mögen überrascht sein, diesen Brief von mir zu erhalten …“

Die hier verwendete Social Engineering Technik ist die „Fuß-in-die-Tür-Technik“, eine Beeinflussungsstrategie, die mit einer kleinen Bitte anfängt, die nur selten abgeschlagen wird, um dann immer größere Forderungen zu stellen. Das ist Vorschussbetrug, der sich mit den Mitteln des Internets massenhaft verbreitet hat. Variationen sind Versprechen auf Liebe, Wohnungen, Gewinne.

Spear Phishing

Die Erfolgsquoten bei Vorschussbetrug im Internet sind relativ gering. Es ist Fischen mit einem Schleppnetz mit sehr großen Maschen.
Die organisierte Kriminalität widmet sich dem Spear-Phishing, dem gezielten Angriff auf genau definierte Zielgruppen, einzelne Organisationen oder sogar Individuen.
Spear-Phishing Angriffe beginnen mit der Informationssammlung über die Zielorganisation oder Zielpersonen. Der Spear-Phisher hat damit die Möglichkeit, den Angriff sehr genau zu planen. Er kennt das Opfer durch Recherchen und Aggregation von Informationen aus vielen Quellen – und dadurch oft besser als sich das Opfer selbst.
Spear-Phisher versuchen in der Regel Benutzerkonten zu übernehmen und Netzwerke zu infiltrieren. Erpressungstrojaner und andere APT-Komponenten (advanced persistent threat) werden gerne mit Spear-Phishing Angriffen platziert.
Business Email Compromise (BEC), CEO-Fraud und Whaling sind Sonderformen von Spear-Phishing Angriffen. Hier werden hochrangige Entscheider direkt angegriffen oder ganze Geschäftsabläufe gekapert und der Transfer hoher Summen umgeleitet.

Vishing, Smishing

Vishing (voice phishing) und Smishing (SMS Phishing) sind alte Betrugstechniken, denen neue technische Entwicklungen auch neue Wirksamkeit verleihen.

Voice Phishing gibt es seit der Erfindung des Telefons. Der Trick ist einfach: Der Betrüger ruft Sie von „Ihrer Bank“ an und versucht, mit geschickten Fragen Ihre Konto- und Kreditkartendaten herauszufinden. Oder der „Microsoft-Support“ ruft an und will dabei helfen, ein drohendes Computerproblem zu verhindern. Das ist aufwendig, aber mit dem Aufkommen von Bots und Robotern, die die Anrufe erledigen, hat Vishing ein neues Niveau erreicht. Es rufen nun nicht mehr menschliche Betrüger nunmehr ihre Opfer an, sondern auch Bots und Roboter. Für Cyberkriminelle ist das ein echter technischer Quantensprung, da sie eine große Anzahl potenzieller Opfer nahezu ohne Anstrengung rund um die Uhr kontaktieren können. Es kommt hinzu, dass wir mit den Hotlines und Werbeabteilungen großer Firmen gute Trainer haben, die uns an die Kommunikation mit Robotern gewöhnen. Maschinelles Lernen macht diese Anwendungen besser, allerdings auch die Fähigkeiten von Vishing-Robotern.
Dasselbe gilt für SMS Phishing und zeigt, dass jede technische Entwicklung für Betrug und andere unlautere Aktivitäten genutzt werden kann und genutzt werden wird.

So gut wie alle Cyberangriffe sind nur deswegen erfolgreich, weil Menschen dabei helfen.

• Organisationen haben kein ISMS (Informations-Sicherheits-Management-System) in Betrieb oder haben das Regelwerk weder umgesetzt noch getestet.
• Systemadministratoren machen Fehler bei der Konfiguration von Sicherheitskomponenten wie der Firewall, dem Webserver oder beim Endgeräteschutz.
• Mitarbeiter fallen auf Phishing-Angriffe herein und geben ihre Anmeldedaten preis oder laden sich einen Trojaner auf den Rechner: die Mitarbeiter, die eigentlich wie eine Human Firewall fungieren sollen, sind oft selbst das Trojanische Pferd.

Menschen sind oft gutgläubig, kenntnisarm, abgelenkt oder gestresst und während der Arbeit im Kopf auch noch mit anderen Dingen beschäftigt. Das macht Mitarbeiter – und die Geräte, die sie bedienen – anfällig für semantische Angriffe, die Eigenschaften der menschlichen Natur ausnutzen.

So gut wie immer war der Bediener der letzte, der etwas getan hat oder nicht getan hat vor dem Schadereignis, der Verschlüsselung der Unternehmensdaten, dem Diebstahl von Daten, dem Stillstand der Datenverarbeitung, dem Stillstand des Unternehmens.

In vielen Fällen hört die Suche nach der eigentlichen Ursache („root cause„) bei der Feststellung eines „operator errors“ auf. Es wurde ein Schuldiger gefunden, der Fall kann geschlossen werden.

Die „eigentliche Ursache“ ist aber in Sicherheitsschichten vor der letzten Scheibe im „swiss cheese model“ der Fehlerursachen oder ist dein Ereignis, das aus dem Zusammenwirken von Menschen, Maschinen, Methoden und Materialien in  genau dieser Organisation ergibt. Wenn man das Gesamtsystem nicht ändert, ändert man gar nichts (–> siehe „Informationsssicherheit“: Technik, Menschen und Prozesse (vielleicht auch Menschen, Maschinen, Methoden))

 

Eine Firewall muss konfiguriert werden, damit sie richtig arbeitet. Bei Menschen ist das nicht anders. Im „Auslieferungszustand“ ist der Mensch nur mit wenig Fähigkeiten ausgestattet. Er muss sozialisiert, trainiert, geschult und ausgebildet werden.

In Bezug auf informationssicheres Verhalten in der digitalisierten Welt sind Menschen Mängelwesen. Das ist die schlechte Nachricht – die gute Nachricht ist, dass Menschen lernen können, schlechte Gewohnheiten sich durch gute Gewohnheiten ersetzen lassen und Sicherheitskultur erreicht werden kann.
Es reicht allerdings nicht, Menschen vorzuwerfen, dass sie sich falsch verhalten. Damit aus dem „weakest link“ eine „human firewall“ wird, muss man ihnen beibringen, wie sie sich richtig verhalten können und sollen.

Menschen sind konfigurierbar. Es ist alles eine Frage der Sicherheitspädagogik und guter Anreize für informationssicheres Verhalten.

Die Konfiguration der Human Firewall ist in der Theorie einfach und führt in vier Schritten zum Erfolg.

1. Sensibilisieren: Man muss wissen, dass es ein Problem gibt. Man muss glauben, dass das Problem auch für einen selbst ein Problem ist und die Motivation haben, das Problem aus der Welt zu schaffen.
2. Trainieren: Wenn unsicheres Verhalten und schlechte Gewohnheiten das Problem sind, dann muss sicheres Verhalten trainiert und schlechte Gewohnheiten durch gute Gewohnheiten ersetzt werden.
3. Schulen: Die digitalisierte Welt ist komplex, man kann nicht jedes Verhalten für jede mögliche Situation trainieren und dauerhaft beibehalten. Wenn man allerdings verstanden hat, warum man was macht, kann man sich auch in neuen Situationen sicher verhalten.
4. Einbeziehen: Für Informationssicherheit trainierte und geschulte Mitarbeiter sind eine Investion in die Zukunft. Wenn die Human Firewall funktioniert und  ihren Beitrag zur Informationssicherheit leistet ist man angekommen: Die Organisation lebt ihr ISMS und hat eine Sicherheitskultur.