Die Evolution von Phishing: Vishing und Quishing
24. Januar 2024In den Anfangszeiten waren Phishing-Angriffe oft sehr einfach gestrickt und verwendeten seriöse Quellen der schriftlichen Kommunikation wie E-Mail, um Zugang zu sensiblen Daten zu erlangen. Anlässlich des bevorstehenden EU Data Protection Day 2024 am 28. Januar liegt es nahe, sich im Zeitalter der KI vor Augen zu führen, wie Angreifende ihre Phishing-Methoden modernisieren.
Mit der wachsenden Popularität von GenAI-Tools sind sprachbasierte Phishing-Angriffe – auch bekannt als „Vishing“ – zur neuen Norm geworden und die Entwicklung der Angriffsmethoden setzt sich kontinuierlich fort. Um die Bedeutung von Phishing in der Malware-Industrie zu verstehen, hilft der Blick auf die Anatomie eines Angriffs.
Phishing als Sprungbrett für größere Angriffe
Meist sind es erfolgreiche Ransomware-Angriffe, die die gesamte mediale Aufmerksamkeit erlangen. Das erfolgreiche Platzieren von Erpressungstrojanern ist allerdings bereits das Ende eines Infektions-Zyklusses, das zu den gefürchteten Lösegeldforderungen oder zu Datenverlusten führt. Die Vorbereitungsphase eines solchen Angriffs steht deutlich weniger im Rampenlicht, obwohl die Abwehrstrategie bereits hier einsetzen sollte. In der Phase des Auskundschaftens eines Opfers spielen moderne Phishing-Methoden eine bedeutsame Rolle, auf die IT-Organisationen reagieren müssen.
Phishing-Mechanismen spielen dann eine Rolle, wenn Malware-Akteure die Angriffsfläche einer Organisation eruieren. Dabei stehen oft persönliche Zugangsdaten im Mittelpunkt des Interesses oder auch das Platzieren von Zero Day-Malware, um den Zugriff auf ein System zu erhalten. Da Angreifende für ihre Täuschungsmanöver auch auf den KI-Trend setzen, müssen Organisationen ihre Abwehrmechanismen verstärken und dazu beispielsweise auf moderne verhaltensbasierte Malware-Analysetechniken zurückgreifen.
Phishing-Angriffe werden immer personalisierter
Die Bandbreite an Ködern für die Opfer hat sich von einfachen E-Mail-Scams für ein Massenpublikum zu personalisierten Angriffen weiterentwickelt. Da das Bewusstsein für herkömmliche Phishing-Kampagnen durch Schulungen gestärkt wurde, haben die Gegner neue Kanäle und Techniken für sich entdeckt. Dementsprechend haben in letzter Zeit gefälschte Telefonanrufe also Vishing zugenommen.
Dabei wird die echte Stimme einer Führungskraft mit Hilfe eines KI-Tools zum Klonen von Stimmen imitiert. Diese Tools definieren zunächst die Merkmale einer menschlichen Stimme und trainieren dann mit Hilfe künstlicher Intelligenz das System darauf, diese Stimme beim Aufsagen verschiedener Nachrichten perfekt nachzuahmen. In Verbindung mit herkömmlichen Phishing-Techniken wird es immer schwieriger, imitierte Stimmen, also sogenannte Voice Fakes, zu erkennen.
Neben dem Klonen von Stimmen wird eine weitere Phishing-Methode Einzug halten. Beim „Quishing“ wird ein QR-Code per E-Mail versendet, in dem sich hinter dem Bild ein bösartiger Link verbirgt. Eine solche Methode macht die Erkennung des Schadcodes schwierig, da Sicherheits-Tools hier oft nicht greifen. Dadurch erhöht sich insbesondere das Risiko für Mitarbeitende mit privaten Mobiltelefonen, die nicht ausreichend geschützt sind.
Um mit diesen Entwicklungen der Phishing-Techniken Schritt zu halten, ist eine Zero Trust-Mentalität angeraten. Nicht nur als technische Sicherheitslösung, sondern auch auf der menschlichen Ebene. Die Belegschaft muss ein gesundes Misstrauen gegen ungewöhnliche Kommunikation, Inhalte oder unbekannte Absender an den Tag legen, um versteckte Bedrohungen an der Ausführung zu hindern.
Vertrauen ist gut, Kontrolle ist besser
Natürlich müssen neben der menschlichen Abwehr auch Cyber-Sicherheitsstrategien angepasst werden, um der wachsenden Bedrohung durch modernes Phishing Herr zu werden und sensible Informationen zu schützen. Heutzutage vertrauen Mitarbeitende allerdings den verfügbaren Sicherheitslösungen zu sehr und sind nicht vorsichtig genug im Umgang mit verdächtigen Mitteilungen.
Ein Telefonanruf von Personen, die man zu kennen glaubt, die aber ungewöhnliche oder unerwartete Anfragen stellen, sollten immer hinterfragt werden. Bevor Mitarbeitende in einer solchen Situation handeln, ist Vorsicht angeraten. Im Zweifel sorgt ein Rückruf für die Klärung der befremdlichen Situation und Authentifizierung eines Anrufenden und damit für die Absicherung wertvoller Informationen.
Da in der heutigen hybriden Arbeitsumgebung eine persönliche Interaktion zur Verifizierung nicht immer möglich ist, empfiehlt sich die Wahl eines anderen Kanals zur Überprüfung der empfangenen Kommunikation. Wenn beispielsweise der Verdacht für einen Vishing-Anruf über WhatsApp besteht, ist es ratsam sich über einen Mobilfunkanruf, eine Slack-Nachricht oder eine E-Mail zu vergewissern, dass die Person am Telefon auch wirklich diejenige ist, die sie vorgibt zu sein.
Um eine Kompromittierung zu vermeiden, sollten Mitarbeitende außerdem sicherstellen, dass sie niemals persönliche Daten oder Passwörter am Telefon oder per E-Mail weitergeben, wenn sie dazu aufgefordert werden. Denn eines muss der Belegschaft vermittelt werden: Es besteht intern keine Notwendigkeit, das Kennwort eines anderen Mitarbeitenden zu verwenden, um auf Daten oder Ressourcen im System zuzugreifen. Auch bei einer solchen Anfrage sollten die Alarmglocken läuten, bevor sensible Daten weitergegeben werden.
Mehr Aufmerksamkeit für Phishing
Da Phishing oft nur der Anfang einer Kompromittierungskette ist, sollte dieser Social Engineering-Taktik mehr Aufmerksamkeit zukommen – nicht nur am Data Protection Day. Unternehmen müssen sich gegen die neuen Angriffsmöglichkeiten auf Basis von KI wappnen, da damit Angriffe auf ein neues Gefahrenniveau gehoben werden. Wenn sich Unternehmen dieser Herausforderung stellen, können sie eine widerstandsfähigere Kultur der Cyber-Sicherheit fördern und sensible Daten wirksam schützen.
Das Credo sollte sein, eine Zero Trust-Mentalität auf die menschliche Ebene zu heben. Das bedeutet, dass die Belegschaft darin geschult werden muss, einer Informationsquelle nicht stillschweigend zu vertrauen, sondern sie immer über ein anderes Medium zu prüfen. Dies wird umso bedeutsamer werden, da KI in Zukunft eine wichtige Rolle bei Fehlinformationen und Desinformationskampagnen spielen wird.
Tony Fergusson ist CISO für die Region EMEA bei Zscaler.