Mit CEO-Phishing die wertvollsten Unternehmensdaten ins Visier nehmen

Angreifer nutzen Soziale Medien, um Gewohnheiten dieser speziellen Opfergruppe besser zu verstehen

[datensicherheit.de, 06.05.2016] Menschen neigten erwiesenermaßen dazu auf Links zu klicken – manche widerstünden dabei der Versuchung besser als andere, so Andy Green von Varonis. „Trotzdem könnte man erwarten, dass, wenn man in der Unternehmenshierarchie nach oben klettert bis auf die Führungsebene, Phishing dort eine weit weniger erfolgreiche Methode sein sollte.“ Anders als erwartet sei das nicht Fall, und auch Führungskräfte neigten dazu, auf die ihnen per E-Mail servierten Links zu klicken. Allerdings müssten es die „richtigen“ Links sein.

Cyber-Kriminelle nehmen Führungsebene gezielt ins Visier

Cyber-Kriminelle seien in letzter Zeit sehr viel besser darin geworden, Angriffe auf dieses spezielle Ziel hin zu konzipieren und damit die potenziell sensibelsten Unternehmensdaten ins Visier zu nehmen. Die Methode werde allgemein als „Whale Phishing“ oder auch „Whaling“ bezeichnet. Das Sicherheitsunternehmen Digitalis Reputation habe herausgefunden, dass Angreifer Soziale Medien nutzten, um die Gewohnheiten dieser speziellen Opferklientel besser zu verstehen. Green: „Nehmen wir an, das potenzielle Opfer interessiert sich für eine Sportart wie Kricket. Dann konzipiert der Hacker eine E-Mail-Nachricht, die sich auf genau dieses Kricket-Match bezieht. Die Absenderadresse ist so manipuliert, dass sie von einem Geschäftspartner zu kommen scheint, in Wirklichkeit befördert
sie aber eine schädliche Fracht direkt in den Posteingang der betreffenden Führungskraft. Sozusagen die Business-Class-Variante des gemeinen Phishing-Angriffs.“
Eine Führungskraft habe potenziell besonders wichtige und sensible Daten gespeichert oder könne auf sie zugreifen. Das mache „Whaling“ so interessant für einen Angreifer. Es seien eben nicht durchschnittliche Daten, die bei den üblichen Datenschutzverletzungen erbeutet würden, sondern in aller Regel wertvolles geistiges Eigentum und hoch vertrauliche Daten zu Geschäftsprozessen, Schlüsselkunden und -kontakten, vertrauliche Finanzdaten oder E-Mails mit kompromittierenden Inhalten. „Genau die Art von Informationen, die sich an die Konkurrenz verkaufen lässt oder die sich besonders gut für eine Ransomware-Attacke mit einer entsprechend hohen Lösegeldforderung eignet“, warnt Green.

Soziale Netzwerke als Informationsquellen für Angreifer

„Eine Phishing-Attacke funktioniert umso besser, je mehr der Angreifer über das potenzielle Opfer weiß. Auf welchen Link würde man wohl eher klicken: eine E-Mail des nigerianischen Finanzministers, bei der es um eine Geldanweisung geht, oder doch eher auf den Link, der von der eigenen, lokalen Bankfiliale zu kommen scheint … ?“, fragt Green.
Digitalis Reputation habe auch noch herausgefunden, dass bei Führungskräfte die Einstellungen der Privatsphäre beispielsweise auf facebook oder in anderen Sozialen Netzwerken betreffend nicht besser als der Durchschnitt seien. Weniger als die Hälfte der von Digitalis Reputation befragten Führungskräfte schränkten die Zahl derer ein, die ihr komplettes Profil einsehen könnten, nur 36 Prozent gingen sorgsamer mit ihren Einstellungen zur Privatsphäre um.

Führungskräfte sollten durchaus selbst ihre Cyber-Identität pflegen!

Es stelle sich die Frage, ob Führungskräfte also gänzlich darauf verzichten sollten, Soziale Medien zu nutzen. Einige Experten gingen davon aus, dass in diesem Fall Hacker die Arbeit für sie erledigten und mit Hilfe einer gefälschten Identität selbst ein Konto anlegten – eine Methode, die das Potenzial für ausgefeilte Phishing-Angriffe habe.
Es sei also durchaus empfehlenswert, dass sich Führungskräfte selbst um ihre Identität in Sozialen Medien kümmerten. Allerdings sollten auch sie keinesfalls mehr Daten als unbedingt nötig preisgeben. Ganz ähnlich wie in der Welt der Dateisysteme sollte man auf Einstellungen wie „jeder“/“alle“ komplett verzichten und den Kreis der Berechtigten auf „Freunde“ beschränken. Anbieter von Sozialen Netzwerken seien nicht unbedingt dafür bekannt, die Einstellungen zur Privatsphäre besonders zu schützen – eher im Gegenteil. Man sollte also sein Konto dahingehend regelmäßig überprüfen.

Schutz der digitalen Identität: keine einfachen Antworten

Sicherheitsexperten hätten immer wieder darauf hingewiesen, dass Soziale Netzwerke absichtlich bestimmte Informationen standardmäßig weitergäben. Green: „Zu diesen Informationen gehört typischerweise wer welche Freunde hat. Selbst wenn die Einstellungen restriktiver gesetzt werden, bekommt ein Angreifer immer noch eine ganze Reihe sehr brauchbarer Informationen frei Haus geliefert und kann recht gute Rückschlüsse auf Gewohnheiten, Interessen und Vorlieben einer Führungskraft ziehen.“
Es gebe leider keine einfachen Antworten darauf, wie man Führungskräfte in einem Unternehmen am besten schützt. Dieses Problem unterscheide sich nicht grundlegend von einem grundsätzlichen – Hacker würden es immer schaffen, in ein Netzwerk zu gelangen. Dann sei es umso wichtiger, unübliche System- und Dateiaktivitäten so frühzeitig wir möglich aufzudecken. „Das geht aber nur dann, wenn man diese Aktivitäten kontinuierlich überwacht“, betont Green.
Die Umfrageergebnisse von Digitalis Reputation bestätigten, dass es in jedem Falle sinnvoll sei, IT-Sicherheitsressourcen dazu einzusetzen, die Dateiaktivitäten von Führungskräften unter die Lupe nehmen. In Großunternehmen und Konzernen biete es sich sogar an, einen speziellen „Sicherheitsdienst“ innerhalb der IT-Abteilung für genau diesen Zweck abzustellen. „So oder so sollte man jeden Alarm und sämtliche Benachrichtigungen, die Konten von Führungskräften betreffen, ernstnehmen und nicht als ,false positives‘ ignorieren“, sagt Green. Hierbei sei es sinnvoll, jede einzelne Aktivität bis zum Finden der Ursache zu untersuchen.

Weitere Informationen zum Thema:

CITY A.M., 29.03.2016
Cyber security: Business leaders are inadvertently leaving their companies open to threats from social engineering