Phishing-Übungen
Mitarbeiter sind oft das schwächste Glied. Wir testen, wie gut Ihr Unternehmen auf Phishing-Angriffe vorbereitet ist.
Die Realität zeigt, dass Angreifer extrem häufig mit Hilfe von Phishing, meist Spear-Phishing, in Unternehmen eindringen bzw. so erst einmal Fuß fassen. Die Mitarbeiter sind dabei das schwächste Glied in der Kette. Mit unseren Phishing-Übungen können Sie Ihre Mitarbeiter auf die Probe stellen.
Was ist Phishing?
Das Wort Phishing ist eine Kombination der englischen Wörter für "Passwort" und "Fischen/Angeln" (Password+Fishing = Phishing). Es beschreibt eine gängige Taktik von Cyberkriminellen, um ein bestimmtes Ziel zu erreichen. Dieses Ziel kann - wie der Name schon sagt - Zugangsdaten eines Nutzers sein. Aber auch andere Informationen wie Kreditkartennummern und ähnliches könnten das Ziel sein. Oft steht ein (erfolgreicher) Phishing-Angriff am Anfang von u.a. Ransomware-Attacken.
Im Kontext von Unternehmen werden immer häufiger so genannte Spear-Phishing-Angriffe durchgeführt.
Hierbei werden gezielt Mitarbeiter eines Unternehmens angeschrieben, um an sensible Informationen zu
gelangen. Die Angreifer geben sich dabei als vertrauenswürdige Personen aus, um die Mitarbeiter zu
täuschen. Die Angreifer nutzen dabei oft Informationen aus sozialen Netzwerken, um die Mitarbeiter
zu täuschen.
Je mehr ein Angreifer über sein Ziel weiß, desto ausgefeilter könnten Angriffe dieser Art
sein. Speziell in Zusammenhang mit GenAI/LLM lassen sich schnell sehr echte E-Mails vorbereiten, die
leider häufig nicht als Probleme erkannt werden.
Das Opfer klickt auf einen Link, bekommt Ransomware auf den (Unternehmens-)Rechner oder gibt
auf einer vermeintlich vertrauenswürdigen Seite seine Zugangsdaten ein.
Welche Arten von Phishing-Übungen gibt es?
Spear phishing
Stellen Sie sich vor, ein Hacker wirft nicht einfach ein Netz aus, sondern zielt mit der
Angel gezielt auf einen ganz bestimmten Fisch. So ähnlich funktioniert Spear Phishing. Statt
massenhaft Köder auszuwerfen, nehmen sich die Täter
eine
spezifische Person oder Firma vor.
Dafür betreiben sie erstmal gründliche Recherche: Name, Adresse, Job, Kontakte aus
dem Beruf, Social Media - alles wird unter die Lupe genommen. Mit diesen Infos basteln sie
dann eine Nachricht, die wie maßgeschneidert wirkt. Oft sieht es so aus, als käme sie von
jemandem aus der eigenen Firma, dem man vertraut.
Das Ziel? Die Zielperson soll etwas Bestimmtes tun - vielleicht vertrauliche Daten
preisgeben oder auf einen Link klicken, der heimlich Schadsoftware installiert. Weil alles
so echt und persönlich rüberkommt, ist Spear Phishing besonders tückisch. Selbst Profis
tappen da leicht in die Falle.
Whaling
Beim sogenannten "Whaling" haben es Cyberkriminelle auf die
ganz dicken Fische abgesehen. Im Visier stehen Topmanager und wichtige
Entscheider in Unternehmen - quasi die Wale im Meer der Mitarbeiter. Anders als beim breit
gestreuten Phishing gehen die Täter hier mit Ködern angeln, die speziell auf CEOs,
Finanzvorstände und Co. zugeschnitten sind.
Dafür betreiben sie oft akribische Recherche und verfassen täuschend echte
Nachrichten. Diese kommen als vermeintlich dringende Geschäftsmails daher und fordern zum
Beispiel Überweisungen, vertrauliche Infos oder das Öffnen bestimmter Dateien. Weil die
Zielpersonen viel Macht und Zugang zu sensiblen Daten haben, können erfolgreiche Attacken
richtig ins Kontor schlagen - sowohl finanziell als auch in puncto Firmenreputation.
Clone Phishing
Kennen Sie das? Sie bekommen eine E-Mail, die Ihnen irgendwie bekannt vorkommt. Kein Wunder,
denn beim sogenannten Clone Phishing machen sich Betrüger genau das zunutze.
Sie kopieren
eine echte Nachricht, die Sie schon mal erhalten haben, fast eins zu eins.
Der Clou liegt im Detail: Die Gauner verändern nur Kleinigkeiten. Ein harmloser
Anhang wird gegen einen verseuchten ausgetauscht oder ein Link durch einen fiesen
Doppelgänger ersetzt. Ziel des Ganzen? Ihnen Schadsoftware unterzujubeln oder Ihre
Zugangsdaten abzugreifen.
Was diese Masche so tückisch macht: Die gefälschten Mails wirken extrem
vertrauenswürdig. Sie passen nahtlos in den laufenden Mailverkehr und scheinen von jemandem
zu kommen, mit dem Sie ohnehin in Kontakt stehen. Selbst für aufmerksame Nutzer ist es oft
schwer, hier Betrug zu wittern. Nichts schreit "Vorsicht, Fälschung!" - und genau das macht
Clone Phishing so gefährlich.
Vishing
Vishing, eine Abkürzung für "Voice Phishing", stellt eine raffinierte Form des Betrugs dar,
bei der Kriminelle das
Telefon als Werkzeug nutzen. Im Kern geht es darum,
arglose Bürger zur Preisgabe sensibler Informationen oder finanzieller Daten zu bewegen.
Die Täter geben sich dabei als Vertreter seriöser Institutionen aus - etwa Banken,
Behörden oder namhafte Unternehmen. Ihr Vorgehen ist psychologisch geschickt: Sie erzeugen
gezielt ein Gefühl von Dringlichkeit oder Besorgnis, um ihre Opfer zu überrumpeln.
Ein typisches Szenario: Der Anrufer behauptet, er sei von der Hausbank und habe eine
Unregelmäßigkeit im Konto entdeckt. Um das "Problem" zu lösen, werden dann eilig persönliche
Daten angefordert.
Was Vishing besonders gefährlich macht, ist die oft hochprofessionelle Durchführung.
Die Anrufer sind rhetorisch geschult und verfügen häufig über erstaunlich detaillierte
Vorkenntnisse. Dies verleiht ihren Anliegen eine trügerische Glaubwürdigkeit.
Die Folgen können erheblich sein: Vom Identitätsdiebstahl bis hin zu massiven
finanziellen Einbußen ist vieles möglich. Daher ist erhöhte Wachsamkeit bei unerwarteten
Anrufen, die persönliche Daten betreffen, dringend geboten.
Smishing
In der Welt der digitalen Betrügereien hat sich neben dem altbekannten E-Mail-Phishing eine
neue Masche etabliert: Smishing. Der Name mag witzig klingen, die Sache ist es nicht.
Smishing nutzt die gute alte SMS, um arglose
Handynutzer aufs Glatteis zu führen. Die Täter tarnen sich als seriöse Absender - Ihre Bank,
ein Paketdienst oder eine Behörde. Ihre Botschaften klingen meist dringend: "Ihr Konto wird
gesperrt!", "Paket nicht zustellbar!" oder "Bestätigen Sie Ihre Daten!".
Was die Sache tückisch macht: SMS-Nachrichten genießen oft mehr Vertrauen als
E-Mails. Sie sind kurz, kommen direkt auf's Handy und wecken den Impuls, schnell zu
reagieren. Genau darauf setzen die Betrüger.
Klickt man auf den mitgeschickten Link, landet man auf täuschend echten Fake-Seiten.
Oder man wird aufgefordert, sensible Infos per SMS zurückzuschicken. In beiden Fällen ist
das Ziel dasselbe: an Ihre persönlichen Daten zu kommen.
Die Folgen können verheerend sein: Identitätsdiebstahl, geplünderte Konten oder
Zugriff auf Ihre Online-Accounts. In Zeiten, wo das Smartphone unser ständiger Begleiter
ist, wird Smishing zu einer ernsten Gefahr für unsere digitale Sicherheit.
Fazit: Bleiben Sie wachsam, auch bei harmlosen SMS. Im Zweifel lieber einmal mehr
beim vermeintlichen Absender nachfragen - aber bitte über die offiziellen Kontaktwege, nicht
über die Nummer in der verdächtigen SMS.
Phishing im Red Teaming
Phishing-Übungen sind ein wichtiger Bestandteil von Red-Team-Tests. Dabei simulieren
Sicherheitsexperten realistische Angriffe, um die Schwachstellen in einem Unternehmen aufzudecken.
Das Ziel: herauszufinden, wie gut die Mitarbeiter auf Phishing-Mails
reagieren und ob die
Sicherheitsvorkehrungen greifen.
Im Rahmen eines Red-Team-Tests werden die Phishing-Übungen oft noch weiter verfeinert. Die
Angreifer passen ihre Taktik an die spezifischen Gegebenheiten des Unternehmens an und nutzen
gezielt Schwachstellen aus. So können sie beispielsweise Social Engineering-Techniken einsetzen, um
Mitarbeiter zu manipulieren und an sensible Daten zu gelangen.
Die Ergebnisse eines Red-Team-Tests geben Aufschluss darüber, wie gut das Unternehmen gegen
Cyberangriffe gewappnet ist. Auf Basis dieser Erkenntnisse können dann gezielte Maßnahmen ergriffen
werden, um die Sicherheit zu verbessern und die Angriffsfläche zu minimieren.
Besonders perfide wird es, wenn das Red Team so genannte Subdomain Takeovers dafür nutzt die Phishing-Mails so zu gestalten, dass die gefälschten Login-Portale so wirken, als wären sie wirklich vom Unternehmen gehostet. Aus unserer Praxis ist mitunter der beeindruckendste Phishing-Angriff der gewesen, bei dem wir einen Takeover von vpn.unternehmen.com verwendet haben. Reihenweise haben die Mitarbeiter nach Aufforderung ihre Zugangsdaten in dieses neue VPN-Portal eingegeben.
Häufigster Initialvektor: Social Engineering/Phishing
Nach wie vor belegt Social Engineering/Phishing den ersten Platz als Initialvektor für Cyberangriffe. So entwenden Angreifer extrem oft wichtige Zugangsdaten oder schaffen es das Opfer davon zu überzeugen auf einen bestimmten Link zu klicken, der dafür sorgt, dass eine Hintertür installiert wird. Oder noch schlimmer - dass das Opfer selbst die Hintertür installiert, in dem es Anhänge öffnet.
Brandgefährlicher Trend in Zusammenhang mit Phishing: Generative KI/LLM
Cyberkriminelle nutzen immer häufiger generative KI-Modelle, um Phishing-Mails zu erstellen. Füttert man diese Modelle mit bereits vorhanden Daten, Personendaten, bereits bekannten geleakten Passwörtern, ggf. mit aktuellen Probleme des Unternehmens und sucht das richtige Opfer aus, kann automatisch eine E-Mail erstellt werden deren Anhang vom Opfer sehr wahrscheinlich geöffnet wird.
Das Problem ist hierbei, dass man den Faktor Mensch nur sehr schwer aus der Gleichung entfernen kann. Zwar sollte man Mitarbeiter schulen und das Risiko minimieren, dass jemand unvorsichtig wird und auf Phishing reinfällt, aber man darf nicht vergessen, dass es immer jemanden geben wird, der auf den Köder reinfällt. Entsprechend ist es genauso wichtig das interne Netzwerk regelmäßig zu stärken, zu prüfen und Netzwerksegmentierung zu betreiben.
Phishing anfragen
Passt zum Thema Phishing
Kontinuierliche Überwachung
Unsere eASM Plattform "Argos" ist in der Lage ihre gesamte externe Infrastruktur nonstop zu überwachen - so erkennen Sie und wir schnell potenzielle Probleme. Die Platform sucht und meldet uns Anomalien.
Penetrationstests
Penetrationstests dienen dazu in besonders wichtigen Applikationen sehr fokussiert nach Sicherheitslücken zu suchen.
Darknet Intelligence
Zu oft sind wir Teil von hochkomplexen technischen Penetrationstest, die aber nicht verhindern, dass im Internet Daten von Mitarbeitern für das getestete Portal geleakt werden. Sie sollten als Kunde davon wissen!
Was Kunden über uns sagen
„Wir waren sehr von DSecured beeindruckt. Die Ergebnisse, die vorgestellt wurden, übertrafen unsere Erwartungen bei weitem. Es wurde eine Vielzahl von IT-Problemen und schwerwiegenden Schwachstellen gefunden - die klar und deutlich kommuniziert wurden. Die Zusammenarbeit war unkompliziert und reibungslos.“
„Die Sicherheit der Daten unserer Kunden steht für uns an erster Stelle. Dank DSecured waren wir in der Lage die Resilienz unserer Systeme zu verbessern und festzustellen, wie wichtig das Thema "Shadow IT" ist. Das Engagement des Teams und deren Fähigkeiten haben für uns den entscheidenden Unterschied gemacht.“
„DSecured konnte erstaunlich viele bisher unentdeckte Sicherheitslücken in unserer Infrastruktur entdecken. Hierfür wurde die Plattform Argos als auch klassische Penetrationstests verwendet. Wir haben die ehrliche Beratung rund um das Thema IT-Sicherheit sowie Automatisierung sehr geschätzt und danken Herrn Strobel hierfür.“
„Herr Strobel und sein Team führen regelmäßig Penetrationstests gegen unsere Automatisierungsplattform durch - und werden immer wieder fündig. Die Ergebnisse werden klar und reproduzierbar dargestellt. Die Kommunikation erfolgte bisher auf kurzem Wege via z.B. Slack. Wir können DSecured definitiv weiter empfehlen.“
