Anleitung zum Schutz vor Phishing

Anleitung zum Schutz vor Phishing

Anleitung zum Schutz vor Phishing

Die meisten Online-Dienste verfügen über ein integriertes Sicherheitssystem, das Sie warnen kann, wenn eine ungesunde Aktivität in Ihrem Konto beginnt. Zum Beispiel senden die Dienste Benachrichtigungen über den Versuch, die mit dem Konto verknüpfte Telefon- und Postanschrift oder das Passwort zu ändern. Sobald diese Art von Nachrichten alltäglich wurden, fanden sich natürlich unternehmungslustige Angreifer, die versuchten, diesen Mechanismus für Angriffe auf Unternehmensbenutzer nachzuahmen.

Ein Beispiel für eine gefälschte Notifikation. Natürlich kann eine Benachrichtigung absolut anders aussehen. Wenn es darum geht, einen öffentlichen Online-Dienst zu imitieren, können Angreifer bestimmte Anstrengungen unternehmen und eine absolut genaue Kopie eines echten Briefes erstellen. Wenn sie den Zugang zum internen System suchen, müssen sie meistens fantasieren.

Dieser Brief sieht geradezu lächerlich aus, von einer falschen Sprache bis hin zu einer ziemlich zweifelhaften Logik — es scheint, als ob es um das Binden eines neuen Telefons geht, und es scheint, als würde er bereits einen Code senden, um das Passwort zu ändern. Die Postanschrift "Support" fügt dem Brief ebenfalls keine Glaubwürdigkeit hinzu — es gibt keine Gründe, warum sich die Supportbox auf einer völlig fremden Domain (vor allem auf Chinesisch) befinden könnte.

Die Angreifer erwarten, dass das Opfer Angst vor dem sicheren Zugriff auf das Konto hat und auf den roten Knopf DON'T SEND CODE klickt. Danach wird es auf eine Website weitergeleitet, die eine Anmeldeseite für das Konto simuliert, die eigentlich dazu dient, das Benutzerpasswort direkt zu stehlen. Gestohlene E-Mails können Kriminelle später zur Organisation von BEC-Angriffen oder als Informationsquelle für weitere Angriffe mithilfe von Social-Engineering-Methoden verwenden.

Was Sie den Mitarbeitern des Unternehmens erklären sollten. Um die Chancen von Angreifern zu minimieren, Mitarbeiteranmeldeinformationen zu erhalten, sollten Sie ihnen Folgendes mitteilen: Klicken Sie nicht auf Links aus den automatischen Sicherheitsbezeichnungen - egal, ob sie vorhanden sind oder nicht; Im Falle einer Benachrichtigung können Sie die Sicherheitseinstellungen und die zugehörigen Daten überprüfen, aber Sie sollten die Seite des Dienstes besuchen, indem Sie sie selbstständig im Browser öffnen; Es ist besser, die ehrlich gemachte Notifikation (wie im Beispiel) zu ignorieren; wenn die Benachrichtigung der echten ähnelt, sollten Sie den IB—Dienst (oder den für die Sicherheit verantwortlichen Mitarbeiter) benachrichtigen - dies kann ein Zeichen für einen gezielten Angriff sein.

So schützen Sie Ihre Mitarbeiter vor Phishing. Im Allgemeinen ist es am besten, unnötige Phishing-E-Mails überhaupt nicht an die Postfächer der Mitarbeiter zu lassen. Sie sowie alle unerwünschten Korrespondenzen, einschließlich Spam, Nachrichten mit bösartigen Anhängen und E-Mails, die Teil von BEC-Angriffen sind, sollten auf der Ebene des E-Mail-Gateways gut aufgehalten werden. Um diese Bedrohungen zu bekämpfen, gibt es eine Lösung für Kaspersky Secure Mail Gateway. Sie können mehr über die Lösung auf unserer Website erfahren.

Was macht ein Benutzer, wenn unerwünschte Korrespondenz an seine geschäftliche E-Mail-Adresse gelangt? Wenn er kein Spam-Analyst ist, löscht er in den meisten Fällen. Paradoxerweise erwarten Angreifer, die sich auf das Versenden von Phishing spezialisiert haben, genau das. In unseren Postfallen fielen immer mehr Briefe ein, die Nachahmen, dass sie offensichtlich ungewollte Korrespondenz erhalten.

Wie das Phishing-Schema funktioniert. Angreifer erwarten, dass der Benutzer nicht genau weiß, wie die Antispam-Technologie funktioniert. Sie senden dem Mitarbeiter des Unternehmens Benachrichtigungen über E-Mails, die angeblich an seine Adresse kamen und sich in Quarantäne befanden.

Ihre Botschaften sehen ungefähr so aus: Die Auswahl der Themen spielt im Großen und Ganzen keine Rolle: Die Angreifer imitieren einfach die Standardwerbung für unerwünschte Produkte und Dienstleistungen. Der Empfänger wird aufgefordert, eine Wahl zu treffen — jede E-Mail zu löschen oder sie dem Postfach zuzulassen. Es gibt auch die Möglichkeit, alle E-Mails in der Quarantäne sofort zu löschen oder in die Mailbox-Einstellungen zu gehen.

Dem Benutzer wird sogar eine visuelle Anleitung angeboten. Was ist der Haken? Der Haken ist natürlich, dass Sie auf keinen der Knöpfe klicken müssen. Unter allen Schaltflächen und Hyperlinks ist die gleiche Adresse genäht, die den Angeklickten auf eine Standardseite sendet, die die Anmeldeseite für das Webinterface des E-Mail-Dienstes simuliert.

Die Inschrift Session Expired sollte die Notwendigkeit der Anmeldung in der Mail begründen. Nun, im Allgemeinen dient diese ganze Seite einem Zweck: das Sammeln von Anmeldeinformationen aus Unternehmensmail.

Worauf man achten musste. In der E-Mail selbst sollte das erste, was alarmiert werden sollte, die Adresse des Absenders sein. Selbst wenn die Benachrichtigung real wäre, müsste sie von Ihrem E-Mail-Server kommen, dessen Domain mit der Domäne Ihrer E-Mail-Adresse übereinstimmt. Und nicht von der Adresse eines fremden ungarischen Unternehmens, wie in diesem Fall.

Bevor Sie auf die Links aus dem Brief klicken oder auf die Schaltflächen klicken, ist es nützlich, die Maus zu ihnen zu bringen und genau zu untersuchen, wohin sie führen. In diesem Fall ist derselbe Link in alle aktiven Elemente eingebunden, der zu einer Website führt, die weder mit der Domäne des Empfängers noch mit der ungarischen Domäne des Absenders verwandt ist. Sogar eine Schaltfläche, die theoretisch eine Art «HTTPs-Anfrage senden sollte, um alle Nachrichten aus der Quarantäne zu löschen». Die gleiche Adresse sollte als Stoppsignal auf der Login-Seite dienen.

So vermeiden Sie Spam und Phishing. Um nicht von Phisher erwischt zu werden, müssen Unternehmensbenutzer die Standardtricks von Angreifern erklären. Dies kann beispielsweise über eine Online-Plattform geschehen, um das Bewusstsein für Cyberbedrohungen zu schärfen.

Aber im Idealfall ist es besser, den Kontakt des Endbenutzers mit gefährlicher Korrespondenz und Phishing-Websites überhaupt zu vermeiden. Dazu sollten Sie Phishing-Schutzlösungen sowohl auf der Ebene des E-Mail-Servers als auch auf den Computern der Benutzer anwenden.

Wie man ein Unternehmen vor Phishing schützt. Ein Klick auf einen bösartigen Link kann das Unternehmen sowohl Geld als auch Ruf kosten. Wir sagen Ihnen, wie Sie Ihr Unternehmen vor Phishing schützen können.

Sicherheitslösungen für Unternehmen werden ständig verbessert, so dass Kriminelle mehr und mehr Zeit und Geld aufwenden müssen, um Zugang zu Unternehmensnetzwerken zu erhalten. Daher setzen sie zunehmend nicht auf rein technische Methoden des Eindringens, sondern auf den menschlichen Faktor — sie versuchen, Logins und Passwörter von Mitarbeitern zu finden. Ihre Aufgabe wird dadurch erleichtert, dass die Kontakte von Mitarbeitern wie HR-Spezialisten oder Public Relations-Managern oft leicht öffentlich zugänglich sind.

Leider gibt es kein magisches Mittel, um das Unternehmen vor Phishing zu schützen — es braucht eine ganze Reihe von organisatorischen und technischen Maßnahmen, um dieses Problem zu lösen. Wir sagen Ihnen, wie Sie einen solchen Schutz in der Praxis umsetzen können.

Schützen Sie den Mailserver. Browser und einige E—Mail-Clients haben ihre eigenen Schutzfilter, aber Angreifer kennen viele Tricks, um sie zu umgehen - zum Beispiel mit Mailing-Diensten.

Daher sollten Sie im Idealfall besser mit Maßnahmen beginnen, die es Phishing-Mails grundsätzlich nicht erlauben, in die Postfächer der Mitarbeiter zu gelangen: eine Sicherheitslösung auf der Ebene des Postgateways zu installieren. Kaspersky Security für Mailserver prüft beispielsweise nicht nur Links in eingehenden E-Mails, sondern erkennt auch Bedrohungen in weitergeleiteten Dateien.

Schützen Sie Microsoft Office-Dienste. Viele Unternehmen nutzen jetzt Cloud-Dienste, anstatt ihren eigenen Mailserver bereitzustellen, und vor allem MS Office 365. Kontodaten in Microsoft Office sind ein häufiges Ziel von Phishing-Angriffen. Und kein Wunder, dass Angreifer oft auf andere Dienste wie Outlook, One Drive oder SharePoint zugreifen können, auf denen vertrauliche Informationen und Kontakte von Kollegen gespeichert werden können. Auch wenn der Mitarbeiter theoretisch weiß, dass alle Benachrichtigungen sorgfältig überprüft werden müssen, kann er in Eile auf den Link klicken oder ihn an Kollegen weiterleiten.

Microsoft hat seine eigenen Schutztechnologien, aber sie sind nicht perfekt — sie können und müssen mit zusätzlichen Schutzschichten verstärkt werden. Kaspersky Security für Microsoft Office 365 verhindert beispielsweise die Verbreitung von Bedrohungen über Office-Dienste, schützt vor Spam und Phishing und entfernt schädliche Anhänge.

Schulen Sie die Mitarbeiter. Bei ihren Angriffen verwenden Kriminelle verschiedene Tricks: Sie verstecken bösartige Links in E-Mails, befestigen Trojaner unter dem Deckmantel von Dokumenten, verachten gefälschte SMS und Telefonanrufe nicht. Eine Phishing-Nachricht kann angeblich von einem Hosting-Anbieter oder von einem Partnerunternehmen kommen, wenn das Konto eines seiner Mitarbeiter kompromittiert wurde. Um nicht Opfer von Betrügern zu werden, müssen Ihre Mitarbeiter sich dieser Systeme bewusst sein und in der Lage sein, verdächtige Nachrichten zu berechnen.

Sie können Cybersicherheitsschulungen durch Ihre eigene IT-Abteilung oder durch eingeladene Spezialisten für das Personal organisieren. Und es gibt auch Online-Tools, mit denen Sie das Material in einem bequemen Format ohne Unterbrechung von der Arbeit beherrschen können — zum Beispiel Kaspersky Automated Security Awareness Platform.

Führen Sie Phishing-E-Mails durch. So können die Mitarbeiter das gewonnene Wissen in die Praxis umsetzen und sich auf reale Vorfälle vorbereiten. Und Sie werden wiederum sehen, an wen und welche Themen Sie anziehen müssen. Nach einer detaillierten Analyse der Fehler werden diejenigen, die mit Phishing erwischt wurden, wahrscheinlich ihre Online-Aktivitäten ernst nehmen und wirksamen Angriffen besser widerstehen.

Lassen Sie die Kontakte eines Spezialisten, der bei der Überprüfung verdächtiger E-Mails hilft. Nachdem Sie die Grundlagen der Cybersicherheit unterrichtet haben, können Ihre Mitarbeiter die meisten Phishing-E-Mails selbst identifizieren. Zum Beispiel durch visuelle Merkmale wie eine seltsame Absenderadresse, Fehler im Text, falsche Firmenlogos und andere. In einigen Fällen kann das Schreiben jedoch verdächtig sein, aber ein Mitarbeiter benötigt möglicherweise die Hilfe eines Spezialisten, um die richtige Entscheidung zu treffen. Daher wäre es schön, es so zu machen, dass er im Falle von etwas nicht fieberhaft nach der richtigen Adresse suchen musste: Geben Sie es sofort in die Anleitung für neue Mitarbeiter ein oder lassen Sie es an einem prominenten Ort auf dem Corporate Informationsportal liegen.

Schützen Sie Ihre Arbeitsstationen. Selbst der erfahrenste und aufmerksamste Mitarbeiter kann einen Fehler machen. Ein Phishing-Link kann in einem Brief an eine persönliche Adresse oder über einen Messenger kommen, dh einen Kanal, der nicht von Ihren Sicherheitssystemen gesteuert wird. Daher ist es auch notwendig, auf jeder Arbeitsstation, die über eine Internetverbindung verfügt, eine Sicherheitslösung zu haben. Selbst wenn die Phishing-E-Mail den Empfänger erreicht und er auf den Link klickt, wird der Übergang blockiert.

Vergessen Sie nicht über mobile Geräte. Mobile Geräte waren früher eine Bedrohung für die Sicherheit von Unternehmen, und im Zeitalter der Massenfernbedienung wurde diese Frage noch schärfer. Die Mitarbeiter durchsuchen auf ihren persönlichen Smartphones E-Mails und Finanzdokumente, laden Spiele herunter, schauen sich Serien an und schreiben in Boten um. Um das Öffnen von Phishing—Links auf mobilen Geräten zu vermeiden, müssen Sie diese auch schützen - damit kann Kaspersky Endpoint Security for Business helfen, sowohl Workstations als auch Mobiltelefone zu schützen.

Bereite dich auf Angriffe vor. Kriminelle entwickeln ständig neue Phishing-Systeme, so dass selbst der am besten informierte und vorsichtige Mitarbeiter eines Tages verwirrt werden kann und, ohne es zu wissen, dem Angreifer die Schlüssel für die Post oder den Dienst übergeben kann. Was muss getan werden, damit Phisher trotzdem so wenig vertrauliche Informationen wie möglich erhalten?

Verbinden Sie die Zwei-Faktor-Authentifizierung. Aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Online-Dienste von Unternehmen. In diesem Fall können sich Angreifer selbst dann, wenn sie ihre Kontodaten oder ihr E-Mail-Passwort erhalten, nicht einfach so bei den Arbeitsdiensten anmelden.

Verwenden Sie nicht dasselbe Passwort für mehrere Dienste. Überzeugen Sie die Mitarbeiter, für jeden Dienst oder jedes Gerät eindeutige Kennwörter zu verwenden. Selbst wenn Phisher ein Passwort ausloten, werden die anderen Ressourcen vor unbefugtem Zugriff geschützt.

Halten Sie sich an die Richtlinie für minimale Privilegien. Wenn Mitarbeiter keine zusätzlichen Zugriffsrechte auf Server, Cloud-Speicher und andere wertvolle Ressourcen haben, können Kriminelle, selbst wenn sie die Kontrolle über ihr Konto haben, keinen zu großen Schaden anrichten.

Und noch einmal über die Hauptsache. Wenn Sie diese einfachen Tipps befolgen, schützen Sie Ihre Mitarbeiter — und damit auch Ihr Unternehmen — vor Phishing-Angriffen. Lassen Sie uns den Aktionsplan noch einmal kurz wiederholen:

Schützen Sie den Mailserver. Schützen Sie Microsoft Office-Dienste. Trainieren Sie Ihre Mitarbeiter. Führen Sie Simulationen von Phishing-Angriffen durch, um das Wissen zu sichern. Lassen Sie die Kontakte eines Spezialisten im Auge, der bei der Überprüfung verdächtiger E-Mails hilft. Schützen Sie Ihre Arbeitsstationen. Achten Sie auf die Sicherheit mobiler Geräte. Stellen Sie die Zwei-Faktor-Authentifizierung wo immer möglich ein. Verwenden Sie zuverlässige Sicherheitslösungen.

Phishing mit Google Apps Script. Damit der Phishing-Link nicht auf dem E-Mail-Server blockiert wird, wenden Betrüger Umleitungen über Google Apps Script an.

Um Mitarbeiter von Unternehmen mit Anmeldeinformationen aus der E-Mail zu locken, müssen Angreifer in erster Linie Anti-Phishing-Lösungen auf E-Mail-Servern betrügen. Oft versuchen sie, dafür legitime Webdienste zu nutzen: Sie haben in der Regel einen vertrauenswürdigen Ruf und erwecken bei E-Mail-Filtern keinen Verdacht. In letzter Zeit verwenden Betrüger Google Apps Script zunehmend als einen dieser Dienste.

Was ist Apps Script und wie Angreifer es verwenden? Apps Script ist eine Google-Skriptplattform, die auf Java Script basiert. Nach der Idee der Autoren dient es dazu, Aufgaben sowohl in den Produkten des Unternehmens (z. B. Addons für Google Text & Tabellen) als auch in Anwendungen von Drittanbietern zu automatisieren. Im Großen und Ganzen ist es ein Dienst, mit dem Sie Skripte in der Google-Infrastruktur erstellen und ausführen können.

Im E-Mail-Phishing wird dieser Dienst tatsächlich für die Weiterleitung verwendet. Anstatt die URL einer bösartigen Website direkt einzufügen, nähen Angreifer einen Skriptlink in den Text ein. Auf diese Weise lösen sie mehrere Aufgaben gleichzeitig: Für eine Antiphishing-Lösung auf einem Mailserver sieht die E-Mail wie eine normale Nachricht aus, die einen Hyperlink zu einer legitimen Google-Website mit normaler Reputation enthält.

Dieses Schema ermöglicht es Ihnen, eine Phishing-Website länger zu betreiben, da ihre URL in E-Mails nicht leuchtet und daher die meisten Sicherheitslösungen nicht sichtbar sind. Das Schema erhält eine gewisse Flexibilität - bei Bedarf kann das Skript geändert werden (falls die Website noch von Anbietern von Schutzlösungen verboten wird), und außerdem können Sie mit der Bereitstellung von Inhalten experimentieren (z. B. ein Opfer an verschiedene Sprachvarianten der Website senden, abhängig von der Region).

Ein Beispiel für die Verwendung eines Tricks mit Google Apps Script. Alles, was Angreifer brauchen, ist, den Benutzer dazu zu bringen, auf den Link zu klicken. In letzter Zeit wird meistens ein «Briefkastenüberlauf» als Grund verwendet. In der Theorie sieht es logisch aus — der für den Briefkasten des Opfers reservierte Platz ist vorbei und man muss entweder alte Briefe löschen oder eine Kontingenterweiterung beantragen.

In der Praxis handeln die Angreifer meistens ziemlich nachlässig und hinterlassen deutliche Anzeichen von Betrug, die selbst eine Person, die mit dem tatsächlichen Format der Notifikationen des E-Mail-Clients nicht vertraut ist, leicht bemerken kann.

Die E-Mail kam anscheinend von Microsoft Outlook, aber die E-Mail-Adresse des Absenders hat eine völlig fremde Domäne. In einem legitimen Brief ist dies nicht der Fall — die Benachrichtigung über einen Boxüberlauf kommt von einem Exchange-Server, der in der Infrastruktur Ihres Unternehmens arbeitet. Plus, wenn Sie genau hinsehen, ist es bemerkenswert, dass der Name des Absenders von Microsoft Outlook ohne Leerzeichen und mit dem Zeichen 0 anstelle des Buchstabens O. Am wichtigsten ist: Wenn Sie mit der Maus auf den Link Fix this in storage settings klicken, sehen Sie eine echte Adresse: Einen Link zu Google Apps Script in der E-Mail.

Es gibt keinen legitimen Grund, warum Sie aus der Notifikation des Microsoft—E-Mail-Clients auf die Google-Website gehen müssen. Und überhaupt aus irgendeinem Brief. Der einzige Grund ist ein Phishing—Versuch.

Eine rote Skala fällt ins Auge — Ihr Posteingang hat plötzlich das Limit von 850 Megabyte überschritten. Das passiert nicht – Outlook beginnt zu warnen, dass der Ort endet, lange bevor das Limit erreicht wird. Das heißt, um es plötzlich so weit zu überschreiten, müssen Sie ungefähr ein Gigabyte Spam erhalten. Das ist äußerst unwahrscheinlich.

Wenn Sie immer noch auf Fix this in storage settings gestoßen sind, wird das Skript Sie auf eine Phishing-Site umleiten. In diesem Fall ist es eine ziemlich überzeugende Kopie der Anmeldeseite von der Outlook-Weboberfläche. Sie sollten jedoch auf die Adressleiste des Browsers achten — sie wird nicht in der Infrastruktur des Opfers gehostet, sondern wie üblich auf der «linken» Seite.

Wie man nicht erwischt wird. Wie die Praxis zeigt, können Angreifer eine Phishing-E-Mail senden, die keinen Phishing-Link als solche enthält. Daher ist es notwendig, eine Antiphishing-Lösung sowohl auf der Ebene des E-Mail-Servers als auch auf den Computern der Benutzer zu haben, um sicher vor betrügerischen Tricks zu schützen.

Darüber hinaus ist es sinnvoll, die Mitarbeiter durch Online-Schulungen über aktuelle Cyberbedrohungen und Phishing-Tricks auf dem Laufenden zu halten.