Sprachfischen: Wir analysieren Angriffsmethoden und Schutzmethoden gegen sie

Phishing ist eine Art von Online-Betrug, der die Prinzipien des Social Engineering verwendet. Dies ist eine E-Mail, ein Anruf, eine SMS oder eine Nachricht im Messenger oder im sozialen Netzwerk, mit der versucht wird, den Benutzer dazu zu bringen, seine vertraulichen Daten zu übertragen, eine schädliche Datei herunterzuladen oder Geld zu überweisen. Zu diesem Zweck scheint der Absender eine andere Person zu sein, von der eine solche Anfrage weniger Verdacht erregt.

Spear Phishing ist eine Unterart von Phishing, die auf einen engeren Personenkreis abzielt. Dies kann eine Art Organisation sein, eine Gruppe ihrer Mitarbeiter oder eine Einzelperson, abhängig von den Absichten des Angreifers. Die empfangene Nachricht ist in diesem Fall speziell für einen begrenzten Personenkreis konzipiert. Während eines solchen Angriffs könnte ein Angreifer versuchen:

• vertrauliche Daten zu erhalten (Bankkartendaten, um Geld zu stehlen);
• Installieren Sie Malware auf dem Zielgerät.
• Geheimnisse und vertrauliche Daten der Organisation zum Zwecke der Erpressung oder des Weiterverkaufs an Wettbewerber zu erhalten;
• militärische Daten erhalten.

Unterschiede zwischen Phishing und gezieltem Phishing

1. Zielauswahl. Phishing funktioniert nach dem Prinzip „Sprühen und Beten“ (verbreiten und warten): Eine vorbereitete Nachricht wird von einer großen Anzahl von Menschen in der Hoffnung verbreitet, dass mindestens einer von ihnen getäuscht werden kann. Gezieltes Phishing ist ein gezielter Angriff. Ihr Ziel ist ein bestimmtes Unternehmen, bestimmte Mitarbeiter oder eine bestimmte Person, und daher wird eine Nachricht nur an sie gesendet.
2. Die Fähigkeitsstufe des Angreifers. Phishing erfordert weniger Kenntnisse und ist zunächst für eine große Anzahl von Fehlern ausgelegt. Gezieltes Phishing als gezielter Angriff ist komplexer, verwendet fortgeschrittenere Techniken und erfordert auch mehr Vorbereitungstraining.
3. Die Fähigkeit zu erkennen. Aus dem vorherigen Absatz folgt auch, dass gezieltes Phishing schwieriger zu erkennen ist als normales Phishing.
4. Der Zweck des Angriffs. Infolge eines der beiden Angriffe versucht ein Angreifer möglicherweise, Anmeldungen, Kennwörter oder andere Daten zu erhalten. Phishing bedeutet jedoch einen schnellen Gewinn an Vorteilen, z. B. Geld. In diesem Fall ist es unwahrscheinlich, dass ein Angreifer daran interessiert ist, zehn Konten aus den E-Mails unbekannter Personen zu erhalten. Selbst wenn das Ziel ein E-Mail-Passwort ist, ist dies bei gezieltem Phishing ein sinnvoller Schritt. Vielleicht weiß der Angreifer, dass wertvolle Informationen in dieser E-Mail gespeichert sind, aber es ist möglich, dass dies nur eine Phase eines mehrstufigen Angriffs ist.

Angriffskurs

Betrachten Sie den Fortschritt eines gezielten Phishing-Angriffs am Beispiel einer E-Mail-Nachricht.

Erstens führt der Angreifer viele Vorarbeiten durch, um Informationen über das Ziel zu finden. Dies können entweder die E-Mail-Adresse und die Namen von Auftragnehmern oder Kollegen, Hobbys, kürzlich getätigte Einkäufe oder andere Dinge sein, die in sozialen Netzwerken zu finden sind - alle Informationen, die dazu beitragen können, den Empfänger im Hauptteil des Briefes zu verwirren und ihn an seine Richtigkeit glauben zu lassen.
Ausgerüstet mit allen Daten aus zugänglichen Quellen verfasst der Angreifer dann einen Phishing-Brief für jemanden, mit dem das Opfer vertraut ist (Kollege, Familienmitglied, Freund, Kunde usw.). Die gesendete Nachricht sollte ein Gefühl der Dringlichkeit erzeugen und den Empfänger davon überzeugen, persönliche Informationen in der Antwort zu senden, sie durch Klicken auf den Link im Brief einzugeben oder die Malware aus den Anhängen zum Brief herunterzuladen.
In einigen Fällen wird in einem idealen Szenario für einen Angreifer nach dem Buchstaben "funktioniert" eine Hintertür auf dem Computer des Ziels installiert, damit dieser die erforderlichen Informationen stehlen kann. Es wird gesammelt, verschlüsselt und an den Angreifer gesendet.

Schutzmethoden

Technische Schutzmittel:

1. Spamfilter Es kann auf dem Mailserver installiert werden. Einige Phishing-E-Mails können anhand ihres Inhalts identifiziert werden. Wenn Sie versuchen, alle unerwünschten E-Mails auf diese Weise herauszufiltern, besteht eine hohe Wahrscheinlichkeit von Fehlalarmen, da Phishing-E-Mails (insbesondere mit gezieltem Phishing) legitime Nachrichten imitieren.
2. Überprüfen der Adressen der Absender des Briefes. Der im Brief angegebene Absender und der tatsächliche Absender im Header stimmen möglicherweise nicht überein. Der Filter kann beispielsweise auch überprüfen, ob die Domain des Absenders der Domain des Unternehmens ähnelt, jedoch falsch geschrieben ist.
3. Scannen Sie Anhänge in Briefen auf Viren und in der Sandbox. Bevor der Empfänger einen Brief mit dem ausführbaren Anhang erhält, wird er von einem Virenschutzprogramm überprüft oder in der Sandbox gestartet.
4. Blockbuchstaben mit Links und ausführbaren Dateien in Anhängen. Eine härtere Variante des vorherigen Absatzes, die jedoch an einigen Stellen wirklich verwendet wird und vor einigen Angriffsvektoren schützt.

Unabhängig davon, welche technischen Schutzmaßnahmen ergriffen werden, befindet sich möglicherweise immer noch ein unerwünschter Brief im Postfach. Daher lohnt es sich, verdächtige Dinge in Briefen zu beachten:

1. Absender

   
   
   • Dies ist jemand, mit dem Sie normalerweise nicht kommunizieren.
   • Sie kennen den Absender nicht persönlich und keiner von denen, denen Sie vertrauen, hat dafür bürgt.
   • Sie haben keine Geschäftsbeziehung mit dem Absender und haben noch nie zuvor kommuniziert.
   • Ein Brief von jemandem außerhalb des Unternehmens, der nicht für Ihre Arbeitsverantwortung gilt.
   • Sie kennen den Absender, aber der Brief ist auf eine für diese Person sehr ungewöhnliche Weise geschrieben.
   • Die Domain des Absenders ist buchstabiert (z. B. sbrebank.ru).
   
   

2. Der Empfänger.

   
   
   • Unter den Empfängern gibt es neben Ihnen noch andere Personen, mit denen Sie jedoch nicht vertraut sind.
   
   

3. Referenzen

   
   
   • Wenn Sie mit der Maus über den im Buchstaben angegebenen Link fahren, ist klar, dass der Link, auf den Sie beim Klicken klicken, in Wirklichkeit völlig anders ist.
   • Neben dem Link im Brief gibt es nichts mehr.
   • Der Link enthält eine Adresse, die einer bekannten Site ähnelt, aber einen Fehler gemacht hat.
   
   

4. Datum erhalten.

   
   
   • E-Mail zu ungewöhnlichen Zeiten erhalten. Zum Beispiel betrifft es die Arbeit, aber es wurde spät in der Nacht außerhalb der Arbeitszeit gesendet.
   
   

5. Betreff des Briefes.

   
   
   • Der Betreff des Briefes korreliert nicht mit dem Text des Briefes.
   • Das Thema wird als Antwort auf einen Brief markiert, den Sie nie gesendet haben.
   
   

6. Anhänge.

   
   
   • Der Absender hat der Nachricht eine Datei angehängt, die Sie nicht erwartet haben (normalerweise erhalten Sie diese Art von Anhang nicht von dieser Person) oder die nichts mit dem Text der Nachricht zu tun hat.
   • Ein Anhang hat eine potenziell gefährliche Erweiterung. Der einzige sichere Dateityp ist .txt.
   
   

7. Der Inhalt des Briefes.

   
   
   • Der Absender bittet, dem Link zu folgen oder den Anhang zu öffnen, um negative Folgen zu vermeiden oder im Gegenteil etwas Wertvolles zu erhalten.
   • Der Text sieht ungewöhnlich aus oder enthält viele Fehler.
   • Der Absender bittet Sie, dem Link zu folgen oder einen Anhang zu öffnen, der seltsam oder unlogisch erscheint.
   • Der Absender fordert Sie auf, vertrauliche Daten per Post oder SMS zu senden.
   
   

Es reicht natürlich nicht aus, diese Regeln zu kennen und zu befolgen. Es ist auch notwendig, diese Informationen an andere Personen im Unternehmen weiterzugeben. Es ist viel einfacher, einem Angriff zu widerstehen, wenn bekannt ist, dass er passieren kann. Es ist wichtig, Mitarbeiter zu schulen und sie über Phishing-Angriffe zu informieren. Es kann auch nützlich sein, von Zeit zu Zeit soziotechnische Tests durchzuführen, um sicherzustellen, dass die Informationen erfolgreich erfasst wurden.

Zusammenfassung

Es ist am schwierigsten, den Angriffen des Social Engineering zu widerstehen, da die Menschen zur letzten Grenze werden. Ein Angreifer kennt möglicherweise auch alle technischen Schutzmethoden, um einen Weg zu finden, um sie zu umgehen. Das Bewusstsein und die Implementierung einfacher Regeln reduzieren jedoch das Risiko eines erfolgreichen Angriffs erheblich.
Möchten Sie sicherstellen, dass Ihre Systeme gut geschützt sind? Oder interessieren Sie sich für die Übermittlung von Informationen an Mitarbeiter? Kontaktieren Sie uns, wir führen gerne soziotechnische Tests durch oder helfen beim Training und sprechen über solche Angriffe.