Mishing: Angreifer setzen beim Phishing auf Smartphones, Smartwatches, Tablets
Vor kurzem ist eine interessante Studie zu Phishing-Angriffen auf mobile Endgeräte, die sogenannten Mishing-Angriffe, erschienen, die Aufmerksamkeit verdient. Immer häufiger kommen in Unternehmen mobile Endgeräte zum Einsatz. Zum Beispiel im Rahmen einer Multi-Faktor-Authentifizierung oder um eine Mobile First-Anwendung nutzen zu können.
Cyberkriminelle machen sich diesen Umstand, so die Studie, immer häufiger zu Nutze, da mobile Endgeräte, in aller Regel, mit schwächeren Verteidigungslösungen ausgestattet sind als etwa Desktop-Lösungen.
Mishing – das Phishing über mobile Endgeräte – ist nicht nur eine Weiterentwicklung herkömmlicher mobiler Phishing-Taktiken, sondern eine völlig neue Angriffskategorie, die darauf abzielt, die spezifischen Schwachstellen und Features eines mobilen Endgeräts, zum Beispiel die Kamera und das Mikrofon eines Smartphones, in einen Angriff mit einzubeziehen. Angriffe können dabei über SMS, QR-Codes, Sprachnachrichten oder auch E-Mails eingeleitet werden. Laut den Autoren der Studie ist Smishing (SMS-/Text-basiertes Phishing) nach wie vor der häufigste mobile Phishing-Angriffsvektor. Quishing (QR-Code-Phishing) ist auf dem Vormarsch. Ebenso wie das traditionelle Phishing über E-Mails. Letzteres allerdings hält für Mobilfunknutzer eine besondere Überraschung parat.
Opfer erhalten eine typische Standard-Phishing-Mail – versehen mit einer verborgenen bösartigen Nutzlast oder ausgestattet mit Links, die sie zu einer getarnten Phishing-Webseite weiterleiten sollen. Das Besondere daran: die bösartige Nutzlast wird, ebenso wie die Weiterleitung zur getarnten Phishing-Webseite, nur dann ausgelöst, wenn die E-Mail auf einem mobilen Endgerät geöffnet wird. Trifft die E-Mail dagegen auf einer traditionellen Desktop-Umgebung ein, wird die Angriffskette nicht ausgelöst. Opfer werden dann beispielsweise, klicken sie auf den Link, automatisch zu einem legitimen Dienst, wie Google oder Facebook, weitergeleitet. Erkennung und Analyse des Phishing-Angriffs durch Standard-E-Mail- und Netzwerksicherheitslösungen werden so bedeutend erschwert. Angreifer können lange Zeit im Verborgenen agieren, was die Wahrscheinlichkeit eines erfolgreichen Angriffs erhöht.
Mishing – Unternehmen brauchen Sicherheitsstrategien für mobile Endgeräte
Die Studie hält fest, dass Unternehmen spezifische Sicherheitsstrategien für mobile Endgeräte einführen müssen, um diese immer raffinierteren Angriffsstrategien und -taktiken erfolgreich zu bekämpfen. Angreifer seien nachweislich dabei, zu einer „Mobile-First“-Strategie überzugehen, um ungestört in Unternehmensnetzwerke eindringen und sensible Daten entwenden zu können. Dabei würden sie sich auch den Umstand zu Nutze machen, dass Mitarbeiter ihre mobilen Endgeräte, zum Beispiel Smartphones, häufig sowohl beruflich als auch privat nutzen. Unternehmen sollten deshalb dringend umdenken. Sie sollten erkennen, dass traditionelle Anti-Phishing-Maßnahmen, die ursprünglich einmal in erster Linie für Desktop- und Unternehmensnetzwerkumgebungen entwickelt worden sind, gegenüber Mishing-Angriffsvektoren allenfalls unzureichenden Schutz bieten.
Dem kann nur zugestimmt werden. Wollen Unternehmen hier effektiv – und effizient – gegensteuern, werden sie das Risiko, dass ihre Mitarbeiter Opfer eines Phishing- oder Spear Phishing-Angriffs werden, aktiv reduzieren müssen. Das wird ihnen nur gelingen, wenn sie die ‚Human Risks‘, die Risiken, denen die Unternehmens-IoT und -IT naturgemäß jeden Tag durch die eigenen Mitarbeiter ausgesetzt ist, endlich umfassend in den Blick bekommen und zu managen beginnen. Menschliche Risiken müssen, genau wie die technischen ja auch, kontinuierlich überwacht, analysiert und ausgewertet, gemanagt und auf das absolute Minimum zurückgefahren werden.
Die eigenen Mitarbeiter, wie in den vergangenen Jahren in vielen Unternehmen vielfach geschehen, nur von Zeit zu Zeit einer Anti-Phishing-Trainingseinheit zu unterziehen, genügt nicht mehr. Human Risk Management muss professioneller, zielgerichteter, kontinuierlicher erfolgen.
Auf individuelle Schwachstellen jedes einzelnen Mitarbeiters zugeschnittene Schulungen
Längst lassen sich Phishing-Trainings, -Schulungen und -Tests, KI sei Dank, personalisieren, zugeschnitten auf die individuellen Schwachstellen jedes einzelnen Mitarbeiters, und automatisiert – eben kontinuierlich – zum Einsatz bringen. Moderne Anti-Phishing-E-Mail-Lösungen kombinieren KI mit Crowdsourcing, um so selbst neueste Zero Day-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können – so dass sie gar nicht erst in die Posteingänge der Mitarbeiter gelangen. Mit solchen und ähnlichen Lösungen wird es Unternehmen auch in Zukunft gelingen, die unzähligen Human Risks, die jedem Unternehmen nun einmal naturgemäß innewohnen, im Blick zu behalten und so zu managen, dass sie für das Unternehmen allenfalls noch eine vertretbare Gefahr darstellen können.
