Jeden Tag werden 100 Milliarden E-Mails verschickt! Schauen Sie sich Ihren eigenen Posteingang an - Sie haben wahrscheinlich ein paar Werbemails erhalten, vielleicht einen Kontoauszug von Ihrer Bank oder eine E-Mail von einem Freund, der Ihnen endlich die Bilder aus dem Urlaub geschickt hat. Oder zumindest denken Sie, dass diese E-Mails tatsächlich von diesen Online-Shops, Ihrer Bank und Ihrem Freund gekommen sind. Aber woher wissen Sie, dass sie seriös und nicht ein Phishing-Betrug sind?
Was ist Phishing?
Phishing ist ein groß angelegter Angriff, bei dem ein Hacker eine E-Mail fälscht, so dass sie von einem seriösen Unternehmen zu kommen scheint (z. B. einer Bank). Die Absicht dahinter ist normalerweise, den ahnungslosen Empfänger dazu zu bringen, Malware herunterladen oder vertrauliche Daten in eine gephishte Website einzugeben (eine Website, die vorgibt, legitim zu sein, die aber eine gefälschte Website ist. Sie wird dazu genutzt, Menschen zu betrügen und ihre Daten preiszugeben). Durch diese gephishte Website sind die eingegebenen Daten dann dem Hacker zugänglich. Phishing-Angriffe können an eine große Anzahl von E-Mail-Empfängern gesendet werden, in der Hoffnung, dass nur eine kleine Anzahl von Reaktionen zu einem erfolgreichen Angriff führen.
Was ist Spear Phishing?
Spear Phishing ist eine Art von Phishing und beinhaltet im Allgemeinen einen dedizierten Angriff gegen eine Person oder eine Organisation. Spear weist dabei auf einen Angriff wie bei einer Speerjagd hin. Ein Angreifer nimmt beim Spear Phishing häufig die Identität einer Person oder einer Abteilung der Organisation an. Sie erhalten beispielsweise eine E-Mail, die anscheinend von Ihrer IT-Abteilung stammt, die besagt, dass Sie Ihre Anmeldeinformationen auf einer bestimmten Website neu eingeben müssen. Oder Sie erhalten eine E-Mail von der Personalabteilung, an die ein "neues Leistungspaket" angehängt ist.
Warum ist Phishing solch eine Gefahr?
Phishing stellt eine Bedrohung dar, weil es sehr schwierig sein kann, diese Art von Nachrichten zu identifizieren – einige Studien fanden heraus, dass mehr als 94% der Mitarbeiter nicht zwischen echten und Phishing-Mails unterscheiden können. Aus diesem Grund klicken mehr als 11 % der Mitarbeiter auf die Anhänge in diesen E-Mails, die in der Regel Malware enthalten. Falls Sie denken, dass dies keine große Sache wäre – eine aktuelle Studie von Intel fand heraus, dass satte 95% der Angriffe auf Unternehmensnetzwerke das Ergebnis erfolgreichen Spear-Phishings sind. Spear-Phishing ist eine Bedrohung, die man nicht auf die leichte Schulter nehmen darf.
Es ist schwierig für Empfänger, zwischen echten und gefälschten E-Mails zu unterscheiden. Während es manchmal offensichtliche Hinweise wie Rechtschreibfehler und EXE-Dateianhänge gibt, können andere Hinweise versteckter sein. Beispielsweise ist es unmöglich, zu erkennen, dass man einen Word-Dateianhang hat, der beim Öffnen der Datei ein Makro ausführt. Aber dies ist genauso fatal.
Selbst Experten fallen auf Phishing herein
In einer Studie von Kapost fand man heraus, dass 96% der Führungskräfte weltweit nicht 100%-ig zwischen einer echten und einer Phishing-E-Mail unterscheiden konnten. Auch sicherheitsbewusste Menschen sind gefährdet, aber die Chancen sind bei weitem größer, wenn es keine Schulung dazu gibt.
Also beginnen wir damit, wie einfach es ist, eine E-Mail zu fälschen.
So einfach ist es, eine gefälschte E-Mail zu erstellen
In dieser Demonstration wollen wir Ihnen zeigen, wie einfach es ist, eine gefälschte E-Mail mit einem SMTP-Tool zu Erstellen, das man ganz einfach aus dem Internet herunterladen kann. Man kann eine Domain und Benutzer vom Server oder direkt aus dem eigenen Outlook-Konto erstellen. Wir haben als Test uns selbst eine bill.gates@microsoft.com und barrack.obama@whitehouse.gov Adresse erstellt, einfach um zu zeigen, was möglich ist.
Man kann sofort damit loslegen, E-Mails mit diesen Adressen aus Outlook zu senden. Hier ist eine gefälschte E-Mail, die wir von netbanking@barclays.com gesendet habe.
Wenn Sie den genauen Vorgang sehen möchten, klicken Sie hier.
Dies zeigt, wie einfach es für einen Hacker ist, eine E-Mail-Adresse zu erstellen und Ihnen eine gefälschte E-Mail zu senden, mit der er persönliche Informationen von Ihnen stehlen kann. Tatsächlich können Sie sich ohne Schwierigkeiten als jeder andere ausgeben und jeder andere kann sich als Sie ausgeben. Und diese Wahrheit ist beängstigend. Aber es gibt Lösungen, wie z.B. digitale Zertifikate.
Was ist ein digitales Zertifikat?
Ein digitales Zertifikat ist wie ein virtuelles Passwort. Es sagt einem Benutzer, dass Sie die Person sind, als die Sie sich ausgeben. Genau wie Ausweise von Behörden ausgestellt werden, werden digitale Zertifikate von Zertifizierungsstellen (CAs) ausgestellt. Genau so wie eine Behörde Ihre Identität überprüfen würde, bevor sie einen Ausweis ausstellt, hat eine CA ein Verfahren namens Vetting (Überprüfung), das feststellt, ob Sie die Person sind, die Sie vorgeben zu sein.
Es gibt mehrere Überprüfungsstufen. Bei der einfachsten Form überprüfen wir nur, dass die E-Mail dem Antragsteller gehört. Auf der zweiten Stufe überprüfen wir die Identität (wie Ausweise etc.), um sicherzustellen, dass sie die Person sind, die sie vorgeben zu sein. Höhere Überprüfungsstufen beinhalten auch die Verifizierung des Unternehmens der Person und den Standort.
Mit einem digitalen Zertifikat können Sie eine E-Mail sowohl digital signieren als auch verschlüsseln. Für diesen Post werde ich mich darauf konzentrieren, was es bedeutet, eine E-Mail digital zu signieren.
Digitale Signaturen in E-Mails verwenden
Eine E-Mail digital zu signieren zeigt einem Empfänger, dass die E-Mail, die er erhalten hat, von einer seriösen Quelle kommt.
Im Bild oben können Sie sehen, dass die verifizierte Identität des Absenders deutlich in der E-Mail präsentiert wird. Man kann leicht erkennen, wie dies uns hilft, Fälscher von echten Absendern zu trennen, und verhindert, das wir Opfer von Phishing werden.
Neben dem Nachweis der Quelle der E-Mail, bietet das digitale Signieren einer E-Mail auch Folgendes:
- Unleugbarkeit: Da ein persönliches Zertifikat einer Person verwendet wurde, um die E-Mail zu signieren, kann diese später nicht behaupten, dass sie es nicht war, die sie signiert hat.
- Integrität der Nachricht: Wenn der Empfänger die E-Mail öffnet, überprüft sein E-Mail-Client, ob der Inhalt der E-Mail mit dem ursprünglichen Text übereinstimmt, als die Signatur eingefügt wurde. Selbst die geringste Veränderung am ursprünglichen Dokument würde dazu führen, dass diese Prüfung negativ ausfällt.
Für weitere Informationen darüber, wie man eine E-Mail digital signiert und wie ein gültiges oder ungültiges digitales S/MIME-Zertifikat aussieht, schauen Sie sich bitte unser Webinar zu E-Mail-Sicherheit mit digitalen Signaturen & Verschlüsselung an.
