Phishing ist eine der größten Herausforderung in der Cybersicherheit. Seit mehr als 20 Jahren beschäftigt das Phänomen Experten. Sinnvollen und sicheren Schutz gibt es bislang nicht. Was Sie zu Ihrem Schutz tun sollten. Ein Gastbeitrag von Bern Allritz, Lookout.
Phishing gilt gemeinhin als eine der größten Herausforderungen für Cybersicherheit insbesondere im mobilen Umfeld. Im Laufe seiner Evolution hat Phishing unterschiedliche Stadien durchlaufen und sich in vielerlei Hinsicht weiterentwickelt.
Bis heute eine ideale Methode
Deshalb ist die Methode auch heute noch ideal, wenn Hacker einen Angriff über den Weg des geringsten Widerstands lancieren wollen. AOL machte schon in den frühen neunziger Jahren auf die ersten Phishing-Angriffe auf Basis von Algorithmen aufmerksam.
Rund 20 Jahre später kamen E-Mail- und Domain-Spoofing in Mode. Diese Kampagnen waren allerdings eher schlecht aufgebaut und voller Darstellungsfehler. Die meisten Phishing-Angriffe zum Beispiel per E-Mail, waren so recht schnell als solche erkennen. Das hat sich inzwischen geändert. Hacker betreiben viel Aufwand um die Webseiten und den Auftritt namhafter Firmen überzeugend nachzubauen.
Ziel ist „Social Engineering“
Das führt zu zielgerichteten und äußerst effizienten Angriffen, die mit den Phishing-Attacken der ersten Stunde kaum noch etwas gemein haben. Das Ziel ist es, durch sog. „Social Engineering“ einzelne Mitarbeiter oder Führungskräfte zu täuschen und sich so Zutritt zum Netzwerk zu verschaffen.
Unternehmen haben allen Grund, Phishing nicht auf die leichte Schulter zu nehmen. Schätzungen zufolge lagen die durchschnittlichen Kosten infolge eines Phishing-Angriffs im Jahr 2018 bei 1,6 Millionen US-Dollar. Eine Summe, die das wirtschaftliche Aus für eine Firma bedeuten kann.
Webbasiertes Phishing
Seit 1994 werden Websites SSL-Zertifiziert. Der Sicherheitsstandard für eine gesicherte Site wird durch das bekannte Schlosssymbol in der Browserleiste dargestellt. Inhaltlich sagt es aus, dass die Seite vor Man-in-the-Middle-Angriffen, Fälschung und Spyware geschützt ist.
Als Folge davon, begannen Hacker nach anderen Wegen zu suchen und https-Webseiten zu attackieren. Es existiert keine zentrale Behörde, die das Erstellen von https-Websites überwacht. Dieses Manko machen Cyberkriminelle sich zunutze, um https-fähige Phishing-Websites zu entwickeln und potenzielle Opfer bzw. „Targets“ täuschen. Nach einem Klick wird der ahnungslose Benutzer zu einer gefälschten Website weitergeleitet, die sich als die ursprünglich anvisierte legitime Website ausgibt.
Sie zeigt dasselbe Sicherheitsschloss in der Adressleiste, das https-Präfix sowie den üblichen auf der Website gehosteten Content. Das Opfer hat also kaum einen Grund, diesem Webauftritt zu misstrauen, und fährt mit der Eingabe kritischer und sensibler Informationen und Daten fort. Die Methode erfreut sich dank ihrer Erfolgsquote bei Hackern großer Beliebtheit und hat sich entsprechend schnell und weit verbreitet.
Mobile Phishing
Smartphones, wie wir sie heute vielfältig nutzen, haben ihre ganz eigene Entwicklungsgeschichte hinter sich. Vom reinen Telefon zum Kommunikationsinstrument, hin zu einem Gerät, das sich in seinen Funktionen und seiner technischen Ausstattung prinzipiell nicht mehr von einem Laptop unterscheidet. Mit ganz wenigen Ausnahmen laufen Mobilgeräte nicht mehr auf proprietären oder gerätespezifischen Betriebssystemen.
Seite 2: Warum mobile Endgeräte profitabler als Laptops sind