Phishing stoppen und verschlüsselte Exfiltration und Kommunikation unterbinden

Früher kam es nur zu bestimmten Zeiten im Jahr zu vermehrten Phishing- und Spearphishing-Angriffen, beispielsweise an wichtigen Feiertagen wie Weihnachten oder dem chinesischen Neujahrsfest, an konsumfreudigen Feiertagen wie dem Valentinstag oder dem Laternenfest in China oder rund um Einkaufsveranstaltungen wie dem Black Friday oder Cyber Monday in den USA, dem zweiten Weihnachtsfeiertag ( ^26. Dezember) in Großbritannien und den Commonwealth of Nations oder dem Singles Day ( ^11. November) in Asien.

Angreifer fanden dann heraus, dass sie FUD (Angst, Unsicherheit und Zweifel) ausnutzen konnten, die durch Naturkatastrophen und von Menschen verursachte Katastrophen, Kriege, Krankheiten, Wahlen oder jedes andere Ereignis, das den aktuellen Nachrichtenzyklus bestimmt, ausgelöst werden, um ihre bösartigen Saatkörner zu säen.

Im Vereinigten Königreich gab das Information Commissioner’s Office (ICO) an, dass Phishing zwischen April 2019 und März 2020 die häufigste Ursache für Cybersicherheitsverletzungen war. Das Office of the Australian Information Commissioner (OAIC) wies darauf hin, dass Phishing 36 % aller ihm gemeldeten Fälle ausmachte und damit ganz oben auf der Liste stand.

Aus diesem Grund haben Phishing- und Spearphishing-Angriffe im Laufe des Jahres 2020 drastisch zugenommen. Auslöser waren die Bedrohung durch eine weltweite Pandemie, Länder unter Quarantäne oder Ausgangssperre, Arbeitnehmer, die von zu Hause aus arbeiten müssen, und sogar umstrittene Wahlen in den USA und anderen Ländern. Sogar die Ankündigung, dass Impfstoffe gegen COVID-19 bereitstehen, wird ausgenutzt, um selbst misstrauische Leute dazu zu verleiten, E-Mails aus unbekannten Quellen zu öffnen – oder sogar aus bekannten Quellen, deren Konten möglicherweise gehackt oder gekapert wurden –, um dann Malware und andere bösartige Angriffsmethoden zu verbreiten und Benutzer- und Unternehmensinformationen zu stehlen oder unerlaubten Zugriff auf sensible Netzwerke, Clouds, Anwendungen und Daten zu ermöglichen.

Als einer der am häufigsten genannten Gründe für den jüngsten Anstieg der Phishing-Angriffe gelten die durch die COVID-19-Pandemie bedingten Homeoffice-Anordnungen. Viele Mitarbeiter, Vertragspartner und andere Angestellte waren gezwungen, von zu Hause oder aus der Ferne zu arbeiten, was schnell die unerwünschte Aufmerksamkeit von Angreifern auf sich zog. Ihnen war bewusst, dass die Wahrscheinlichkeit groß ist, dass Menschen, die von zu Hause aus arbeiten, einem erhöhten Druck ausgesetzt sind, ihre Abwehrmaßnahmen vernachlässigen und anfangen, auf Links in praktisch jeder E-Mail zu klicken, selbst auf solche, die normalerweise Verdacht erregen würden. Sie wissen auch, dass diejenigen, die von zu Hause aus arbeiten, möglicherweise BYOD-Produkte verwenden, die nicht über die Tools verfügen, die Unternehmen normalerweise zum Schutz vor Angriffen wie Phishing verwenden. Angreifer und Hacker befürchten außerdem, dass die Bandbreite von Heimarbeitern möglicherweise nicht ausreicht, um die Sicherheitssoftware laufen zu lassen oder zu aktualisieren, und schalten daher möglicherweise Updates ihrer Sicherheitssoftware aus oder verpassen diese. Oft haben sie sogar recht.

Phishing und Verschlüsselung

Mit der rasanten Zunahme von Phishing-Angriffen hat auch die Zahl der Phishing-Sites, die Verschlüsselung verwenden, Schritt gehalten. Laut dem aktuellen Phishing- und Betrugsbericht 2020 von F5 Labs leiten fast 72 % der Phishing-Links die Opfer auf HTTPS-verschlüsselte Websites weiter. Dies bedeutet, dass es sich bei der überwiegenden Mehrheit der bösartigen Phishing-Sites mittlerweile um gültige und glaubwürdige Websites handelt, mit denen selbst der versierteste Mitarbeiter problemlos getäuscht werden kann. Diese Daten werden auch durch die Untersuchung anderer Berichte bestätigt, darunter ein Bericht von Venafi , der verdächtige, dem Einzelhandel nachempfundene Domänen aufdeckte, die gültige Zertifikate verwenden, um Phishing-Websites echt erscheinen zu lassen, was zum Diebstahl vertraulicher Konto- und Zahlungsdaten führt.

Und es sind nicht nur bösartige Websites, die die TLS-Verschlüsselung nutzen, um überzeugend und legitim zu erscheinen. Es handelt sich außerdem um Ziele, an die durch Phishing-Angriffe übertragene Malware Daten sendet, die sie von Opfern und deren Organisationen stiehlt; diese Ziele werden als Drop Zones bezeichnet. Laut dem Phishing- und Betrugsbericht 2020 von F5 Labs wurde bei allen – 100 % – der im Jahr 2020 vom F5 Security Operations Center (SOC) untersuchten Vorfälle mit Drop-Zones TLS-Verschlüsselung eingesetzt.

Es ist nicht einfach, Bedrohungen im verschlüsselten Datenverkehr zu finden

Heutzutage stehen zahlreiche Lösungen zur Verfügung, um Phishing aus unterschiedlichen Blickwinkeln anzugehen. Es gibt Lösungen, um Mitarbeiter im Erkennen und Umgang mit Phishing-Angriffen zu schulen und so die Angriffsintensität und -wirksamkeit zu verringern. Diese Lösungen befassen sich mit E-Mail-Sicherheit, Schutz vor Spam, Malware und schädlichen Anhängen, BEC-Angriffen und mehr. Es gibt Dienste zum Verwalten der E-Mails einer Organisation. Es gibt sogar Angebote, die den Web-Datenverkehr eines Unternehmens als Proxy weiterleiten, ihn replizieren oder nachahmen und Code zur Darstellung an lokale Geräte übermitteln oder die Webseite nachahmen, jedoch ohne den zugrunde liegenden verdächtigen und möglicherweise bösartigen Code.

Das sind zwar alles großartige Lösungen, allerdings besteht immer noch das Problem, mit verschlüsseltem Datenverkehr umzugehen. Wenn der Datenverkehr verschlüsselt ist, muss er entschlüsselt werden, bevor er auf Malware und anderen gefährlichen Code überprüft werden kann. Dies gilt in gleichem Maße für verschlüsselten Datenverkehr, der in das Unternehmen gelangt, wenn Benutzer auf schädliche, Malware-anfällige Links in Phishing-E-Mails klicken, mit Schadcode beladene Anhänge herunterladen und auf bösartige Websites zugreifen, die echt und harmlos erscheinen, weil sie über das „richtige“ Verschlüsselungszertifikat verfügen, sowie für verschlüsselten Datenverkehr, der das Unternehmen mit gestohlenen Daten verlässt und in eine verschlüsselte Dropzone gelangt oder einen Command-and-Control-Server (C2) kontaktiert, um weitere Anweisungen oder Auslöser für noch mehr Angriffe zu erhalten.

Dabei werden noch nicht einmal die staatlichen Datenschutzbestimmungen berücksichtigt, wie etwa die Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union (EU), der California Consumer Privacy Act (CCPA) oder viele andere Bestimmungen, die in Ländern auf der ganzen Welt diskutiert werden. Diese enthalten in der Regel Formulierungen, die die Entschlüsselung persönlicher Benutzerinformationen, wie etwa Finanz- oder Gesundheitsdaten, ausschließen. Bei jeder Entschlüsselung des verschlüsselten Datenverkehrs müssen diese Datenschutzbestimmungen beachtet werden. Andernfalls kann es zu Rechtsstreitigkeiten und empfindlichen Geldstrafen für Organisationen kommen, die gegen diese Vorschriften verstoßen.

Aber warten Sie, es gibt noch mehr …

Allerdings gibt es bei den heutigen Phishing-Angriffen, bei denen Verschlüsselung zum Einsatz kommt, noch mehr, worüber sich Unternehmen im Klaren sein müssen. Der Phishing- und Betrugsbericht 2020 von F5 Labs ergab außerdem, dass über 55 % der Drop-Zones einen nicht standardmäßigen SSL-/TLS-Port verwenden, während über 98 % der Phishing-Websites Standardports verwendeten, beispielsweise Port 80 für HTTP-Klartextverkehr und Port 443 für verschlüsselten Datenverkehr. Dies bedeutet, dass es insbesondere bei ausgehendem verschlüsseltem Datenverkehr nicht ausreicht, sich auf das Scannen von Standardports zu verlassen. Implementierte Lösungen müssen ausgehenden Datenverkehr auf nicht standardmäßigen Ports scannen und entschlüsseln. Dies ist zwingend erforderlich, um die Verschleierung und Exfiltration kritischer Daten zu stoppen.

Um verschlüsselte Bedrohungen durch Phishing-Angriffe zu stoppen, müssen Unternehmen heute den gesamten eingehenden SSL-/TLS-Datenverkehr überprüfen, um sicherzustellen, dass jeglicher bösartiger oder möglicherweise durch Phishing initiierter Webdatenverkehr gestoppt und eliminiert wird. Diese Überprüfung muss jedoch die Möglichkeit umfassen, die Entschlüsselung von verschlüsseltem Datenverkehr, der vertrauliche Benutzerinformationen, wie etwa Finanz- oder Gesundheitsinformationen, enthält, intelligent zu umgehen. Darüber hinaus müssen Organisationen heute nicht standardmäßige ausgehende Web-Ports entweder vollständig blockieren oder zumindest überwachen, um die verschlüsselte Kommunikation von Schadsoftware mit C2- und Dropzone-Servern zu stoppen und so die Exfiltration von Daten oder Angriffsauslöser zu unterbinden. Darüber hinaus müssen auch andere wichtige Aspekte berücksichtigt werden, beispielsweise die Art der Verschlüsselung, die von den Geräten im Sicherheitsstapel unterstützt wird. Wenn ein Angreifer beispielsweise weiß, dass ein bestimmtes Sicherheitsgerät kein Forward Secrecy (auch Perfect Forward Secrecy oder PFS genannt) unterstützt, kann er dies ausnutzen, sodass der verschlüsselte Datenverkehr einfach vom Sicherheitsgerät durchgelassen wird. Diese Maßnahme ist besonders kostspielig und gefährlich in Umgebungen, in denen die Sicherheitsgeräte im Stapel in Reihe geschaltet sind. Wenn das eine Gerät, das PFS nicht unterstützt, den Datenverkehr umgeht, wird es vom Rest der Kette umgangen.

Ohne diese Schutzmaßnahmen sowie Schulungen zur Sensibilisierung für die Sicherheit und die Implementierung von E-Mail-Sicherheits- oder Anti-Phishing-Lösungen setzen sich Unternehmen Angriffen und Sicherheitsverletzungen sowie dem Diebstahl wichtiger Unternehmens- und Benutzerdaten aus.

Klicken Sie hier, um zu erfahren, wie F5 SSL Orchestrator den Sicherheitswahnsinn beseitigen kann, der durch verschlüsselten Datenverkehr entsteht, und wie er die Verschleierung kritischer Daten durchbrechen kann, die exfiltriert und gestohlen werden.