Mitarbeitende von Betrieben, die online Dokumente teilen oder auf Bürosysteme zugreifen, sind oft leichte Beute. Denn oft reicht bereits ein erbeutetes Passwort, um Zugriff auf relevante Informationen und Systeme des Unternehmens zu erhalten.
Laut der Melde- und Analysestelle MELANI haben in den letzten Monaten vermehrt Phising-Attacken auf Schweizer Unternehmen stattgefunden. In den meisten Fällen erfolgen die Angriffe mittels gefälschter E-Mails. Haben die Angreifer einmal Zugang zu einem E-Mail-Konto, können sie sich Zugang zur gesamten Korrespondenz der geschädigten Person verschaffen. Zudem können sie die Passwörter der Dienste zurücksetzen, bei denen der Nutzer mit der erbeuteten E-Mail-Adresse registriert war. Mithilfe der neuen Passwörter erhalten sie anschliessend selbst Zugang zu den Diensten.
Auch betriebsintern genutzte Systeme lassen sich auf diese Weise missbrauchen: Wer über den entsprechenden Zugang verfügt, kann sich zudem im Namen des geschädigten Nutzers über das Bürosystem von Arbeitskollegen Dokumente und Dateien zustellen lassen.
Gefälschte Webseiten
Die Angreifer gehen in den aktuellen Fällen ziemlich raffiniert vor, um an ihr Ziel – die begehrten Zugangsdaten – zu gelangen. Potenzielle Opfer erhalten in den meisten Fällen zunächst eine E-Mail mit der Bitte, sich zu identifizieren, um ein angebliches Problem mit dem Konto zu beheben. Eine häufige Maschine ist auch die – ebenfalls via E-Mail verschickte – Aufforderung, sich ein von Arbeitskollegen geteiltes Dokument anzusehen. Anschliessend wird der Empfänger der E-Mail über einen Link auf eine Phishing-Seite weitergeleitet, wo Benutzername und Passwort angegeben werden sollen. In einigen der von MELANI registrierten Fällen handelte es sich bei diesen Phishing-Seiten um nachgemachte Webseiten von Microsoft Office 365 oder OneDrive.
Mit den erbeuteten Zugangsdaten können sich Kriminelle im Prinzip alle relevanten Informationen über ein Unternehmen verschaffen – von der Struktur, über Geschäftsbeziehungen bis zu laufenden Projekten – und diese beispielsweise für einen ausgeklügelten Betrugsversuch nutzen. Zudem kann nicht ausgeschlossen werden, dass derartige Informationen für Wirtschaftsspionage verwendet oder an Dritte verkauft werden.
Wie beuge ich Phishing-Attacken vor?
Zwei-Faktor-Authentifizierung ist laut Analyse- und Meldestelle MELANI das effizienteste Mittel zum Schutz vor Phishing-Angriffen. Auch sollten Dienste mit genügend Logging- Funktionalität gewählt werden, die den Kunden Logs in geeigneter Form zur Verfügung stellen. Anomalien in Mitarbeiter-Konten – wie beispielsweise der Zugang von unüblichen Orten bzw. Zeiten – sind zudem ein wichtiger Hinweis auf mögliche Attacken.
Doch nicht nur auf technischer Ebene, auch organisatorisch können sich Unternehmen gegen Phishing-Attacken wappnen. An erster Stelle steht hier die Sensibilisierung: alle Mitarbeitenden müssen in der Erkennung von und im Umgang mit verdächtigen E-Mails geschult sein – und z.B. wissen, dass Links in verdächtigen Mails nicht geöffnet werden dürfen. Im Zweifelsfall soll vielmehr zuerst der Vorgesetzte oder der IT-Verantwortliche informiert werden. Auch müssen Mitarbeitenden dazu angehalten werden, risikomindernde Massnahmen und Prozesse unbedingt zu befolgen.
Eine Phishing-Attacke oder ein entsprechender Verdacht kann MELANI unter www.antiphishing.ch gemeldet werden.
