Eines vorab: Das ist eine wahre Geschichte, die mir wirklich passiert ist. Sie ist beispielhaft für viele, aktuelle Cyberattacken, wie mir scheint. Nach einem Hardware-Fehler kam ich in Kontakt mit einem Phishing-Angreifer, bis er sich durch eine verdächtige Anfrage selbst verriet.
Aber wie kam es überhaupt dazu? Fangen wir am besten ganz vorne an…
Einige Kollegen, meine Ehefrau und ich nahmen an einem Geschäftstermin in einem anderen Land teil. Die Veranstaltung, „Presidents Club“ genannt, richtet sich an die wichtigsten Vertriebsverantwortlichen und -mitarbeiter im Unternehmen. Vergleichbare Events gibt es auch in vielen Firmen, um Leute aus der ganzen Welt zusammenzubringen.
Eines Tages schloss ich mich mit mehreren Teilnehmern einem Nachmittagsausflug vor Ort an. Nach einigen Stunden in den örtlichen Shoppingzentren bemerkte ich, dass mein Smartphone nicht mehr funktionierte. Betroffen waren die Gesichtserkennung und der Touchscreen, welcher überhaupt nicht mehr reagierte. Das Mobilgerät ließ sich weder entriegeln, noch herunterfahren. Mir blieb nichts weiter übrig, als einen manuellen Reset durchzuführen.
Das Smartphone rebootete, aber blieb erneut beim Startvorgang hängen — ich konnte nur die Benachrichtigungen auf dem Sperrbildschirm lesen. Eine Interaktion war nicht möglich, auch das Aufrufen der Nachrichten klappte nicht. Ein fehlerhaftes Smartphone, das nur den Absendernamen und die ersten beiden Zeilen einer E-Mail anzeigt. Und damit ging der Spaß erst richtig los...
Machen wir einen Zeitsprung von einigen Tagen. Während des Sonntagsfrühstücks in einem Hotel vibrierte mein Mobiltelefon. Eigentlich war es natürlich wenig sinnvoll, das fehlerhafte Gerät mitzuführen, aber aus Gewohnheit hatte ich das Smartphone mitgenommen.
Mit einem flüchtigen Blick auf den Bildschirm bemerkte ich eine vermeintliche Nachricht meines CEOs, der wegen eines Termins für ein Kurztelefonat anfragte. Mehr konnte ich auf dem Bildschirm nicht sehen — weder die genaue E-Mail-Adresse noch die Signatur des Absenders.
Zurück im Hotelzimmer startete ich meinen Laptop, öffnete die E-Mail und beantwortete schnell die Nachricht. Auf meine Rückfrage nach weiteren Informationen begann meine Kommunikation mit dem Angreifer.
Zur Bestätigung der E-Mail schickte ich auch eine SMS an meinen CEO, ob er tatsächlich die Anfrage geschickt hatte. Denn die E-Mail trug zwar seinen Namen als Absender, stammte aber von einer mir unbekannten Privatadresse. Seine private Mailadresse kannte ich überhaupt nicht, aber die Nachricht hätte durchaus echt sein können, weil Name, Titel und die zugeordnete Domain des örtlichen Internetdienstleisters passten. Wie auch immer: Vorsicht geht vor Nachsicht — also fragte ich lieber noch einmal direkt nach.
30 Minuten später traf eine Antwort ein und ich wusste sofort, dass es sich nur um einen Spear-Phishing-Angriff handeln konnte.
Die Auswahl von Geschenkkarten als vermeintlicher Anlass für die Anfrage musste einfach eine Social-Engineering-Taktik sein.
Kurz danach erhielt ich auch die Antwort des echten CEOs: Er habe keine E-Mail geschickt und die genannte E-Mail-Adresse wäre auch nicht seine. Der Angreifer hatte also einen fiktiven Account auf den Namen des CEOs angelegt. Offenbar kannte er auch dessen Wohnort, um mit seinem Namen und seiner Funktion einen Spear-Phishing-Angriff zu starten. Diese Informationen sind natürlich öffentlich verfügbar, aber es zeigt sich auch, wie detailliert der Angreifer seine Phishing-Attacke vorbereitet hatte. Nachdem ich die Social-Engineering-Taktik durchschaut hatte und jede weitere Kommunikation beendete, erhielt ich übrigens noch mehrere Anfragen, um mich doch noch zu einer Unachtsamkeit zu verleiten. Die Folgenachrichten reichten von „Ist meine letzte E-Mail angekommen?“ bis zu „Ich brauche dringend eine Bestätigung!“ Jedesmal wurde ich persönlich angesprochen und eine Direktantwort eingefordert.
Letztendlich ist dieser simple Phishing-Versuch ins Leere gelaufen. Durch den Hardwarefehler hatte sich aber eine verwirrende Gesamtsituation ergeben, die ein direktes Erkennen des Ausspähversuches erschwerte.
Diese persönliche Anekdote zur Cybersicherheit ist ein warnendes Beispiel. Alle können zum Ziel einer Phishing-Attacke werden. Je nach Situationslage muss ein Angriff nicht zwangsläufig sofort erkennbar sein — zum Beispiel, wenn eine Phishing-Mail und ein einfacher Hardwarefehler gleichzeitig auftreten.
Beim leisesten Verdacht, dass eine eintreffende Nachricht nicht echt sein könnte, sollten deshalb sofort die Quelle und verräterische Inhalte ermittelt werden. Es kommt immer mehr auf unsere Wachsamkeit bei der IT-Kommunikation (wie E-Mails und Textnachrichten) an, um gewiefte Phishing-Scams abzuwehren. Dabei können KI-basierte Technologien zur Analyse relevanter Kontextinformationen hilfreich sein, um vermeintlich authentische Gespräche aufzudecken.
Mein Erlebnis ist eher trivial im Vergleich zu anderen Fällen, aber meine Lehre daraus ist folgende: Bei der kritischen Prüfung niemals auf Teilinformationen vertrauen, wie zum Beispiel Benachrichtigungen auf dem Bildschirm des Mobiltelefons. Zur gewissenhaften Prüfung einer verdächtigen E-Mail-Nachricht gehört, dass die gesamte Phishing-Mail vom Header bis zur Signatur genauestens untersucht wird. Und immer mit der Ruhe! Keine E-Mail muss sofort beantwortet werden, insbesondere nicht am Wochenende. Bei wirklich dringenden Fällen, greift man am besten zum Telefon — ganz so wie früher.
Morey J. Haber, Chief Technology Officer, BeyondTrust
With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.
