Security Awareness

Fortschritte im Social Engineering bedingen die Erfolgsquote von Phishing-E-Mails

Fortschritte im Social Engineering bedingen die Erfolgsquote von Phishing-E-Mails

Social Engineering ist das Herzstück von Phishing-Angriffen

Von Stu Sjouwerman, CEO bei KnowBe4

Die Bösewichte, die Phishing-Kampagnen durchführen, sind unerbittlich innovativ. Die Betrachtung neuer Trends im Phishing-Bereich konzentriert sich oft ausschließlich auf die technischen Innovationen der Malware, die den Desktop der Anwender infiziert hat.

Stu Sjouwerman, CEO bei KnowBe4

Während die Entwicklungssprünge bei bösartiger Software (allen voran Ransomware) in den letzten Jahren auffällig waren, sollten die anderen kleineren und subtileren Innovationen nicht übersehen werden. Das Herzstück jedes Phishing-Angriffs ist ein Social Engineering-Job – ein Versuch, leichtgläubige Benutzer dazu zu bringen, realitätswidrige Behauptungen zu glauben und sie dann zu gefährlichen Aktionen zu überreden.

Die Kunst des Lügens ist eine der dunklen Künste der Cyberkriminellen. Es ist ein Unterfangen, das diejenigen mit der Geduld für kleine Gesten und einem scharfen Blick für scheinbar harmlose Details belohnt. Im Folgenden wird ein Blick auf mehrere Trends im Bereich Social Engineering geworfen, die in den Phishing-E-Mails beobachtet und die von Kunden über den Phishing Alert Button (PAB) gemeldet wurden.

Die Kunst der Verführung

Eine der einfachsten Möglichkeiten, Mitarbeiter davon zu überzeugen, Aufforderungen zu erfüllen, ist sie in die Defensive zu bringen. Klassische Phishing-E-Mails necken die Nutzer oft mit Angeboten, die zu gut sind, um wahr zu sein (z.B. nigerianische 419 Phishings und andere ähnliche „Vorauszahlungsbetrügereien“). Oder sie behaupten, dass kleinere Probleme mit Online-Konten behoben werden müssen (z.B. stereotypenhafte Zugangsdaten, die die Nutzer einladen, sich auf gefälschten Online-Banking-Seiten anzumelden, um ihre Identität zu bestätigen oder Datenprobleme zu korrigieren). Inzwischen wurde jedoch festgestellt, dass die Bösewichte die Nutzer mit Behauptungen unter Druck setzen, das unerwünschte Ereignisse eintreten werden, wenn sie nicht die von ihnen geforderten Maßnahmen ergreifen (was in der Regel das Öffnen eines Anhangs oder das Anklicken eines Links beinhaltet).

Hier ist ein typisches Beispiel, das als „negative Folgen vermeiden“ des Phishings angeführt werden kann:

Und hier ist eine Variante, die angeblich aus dem IT-Helpdesk eines Unternehmens stammt:

Das Ziel dieser Phishing-Angriffe ist eindeutig, die Benutzer zu zwingen, auf ein unmittelbares Problem zu reagieren. Die Warnung vor negativen Folgen ist jedoch nicht der einzige Weg, um Mitarbeiter dazu zu bringen auf eine Anfrage zu reagieren.

Die Aussicht auf einen bevorstehenden Anruf reicht für viele Desktop-gebundene Benutzer aus, um die Öffnung eines infizierten Anhangs zu rechtfertigen. Wenn die Bösewichte jedoch maximalen Druck auf die Benutzer ausüben möchten, drohen sie zunehmend in der Rolle eines falschen Präsidenten oder CEOs:

Die meisten Phishing-E-Mails beginnen mit einer einfachen Frage: „Bist du im Büro?“ oder „Bist du an deinem Schreibtisch?“ Beachten sie, wie diese einfache einzeilige Variante den Empfänger sofort unter Druck bringt und eine konforme, unbedachte Antwort verlangt.

Hier ist eine umfangreichere Version des gleichen Ansatzes:

Opfer mit einem Details-Sturm konfrontieren

Manchmal genügt ein subtilerer, weniger offensichtlicher Ansatz, um Mitarbeiter zu überzeugen, einen infizierten Anhang zu öffnen oder auf einen gefährlichen Link zu klicken. In diesem Phishing-Angriff erschaffen die Bösewichte eine alternative Realität, die so detailreich ist und vertrauenswürdig scheint. Dadurch sind potenzielle Opfer dazu gezwungen, auf einen bösartigen Link zu klicken.

Die Menge an Kontext und Details kann sich als Hürde für das Handeln erweisen. Wie ungenau der Aufruf zum Handeln in dem oben genannten Phishing ist, ist im dritten Absatz der E-Mail versteckt. Einige Mitarbeiter werden dies möglicherweise nicht sehen.

Fazit

In vielen Fällen können persönlicher Kontext und Details ausreichen, um mit einer Aufforderung einen Mitarbeiter dazu zu bringen, ein infiziertes Word-Dokument zu öffnen. Social Engineering wird als Werkzeug für Cyberkriminelle immer spannender. In sozialen Netzwerken lassen sich immer mehr Details über die potentiellen Opfer herausfinden und damit gegen sie verwenden.