Phishing: Die neuen Köder

Die Wahrscheinlichkeit ist hoch, dass Unternehmen noch vor Ende des Jahres auf eine solche bösartige E-Mail stoßen. Doch es gibt Abwehrmöglichkeiten, um diese neuen Köder zu erkennen und zu umgehen.

Phishing-E-Mails sind längst zu einem mächtigen Bedrohungsvektor für Unternehmen geworden. Allein im letzten Quartal 2022 hat die Anti-Phishing Working Group (APWG) weltweit fast 1,3 Millionen Phishing-Angriffe beobachtet. Cyberkriminelle entwickeln ihre Angriffe mittels manipulierter E-Mails jedoch ständig weiter.

So haben Experten des Sicherheitsanbieters Barracuda Networks im Januar 2023 Daten von Phishing-E-Mails analysiert, die von den Systemen des Unternehmens erkannt und blockiert wurden, und dabei drei neue Taktiken ausfindig gemacht. Das Gesamtvolumen der entdeckten Angriffe über Google-Translate-Link, Bildanhang oder Sonderzeichen ist derzeit mit weniger als ein Prozent der erkannten Phishing-Versuche noch gering, allerdings sind bereits 11 bis 15 Prozent der Unternehmen davon betroffen – und das oft mit mehreren Angriffen. Es lohnt sich also, einen genaueren Blick auf die Phishing-Taktiken zu werfen:

Suchmaschinenübersetzung

Cyberkriminelle nutzen für ihre E-Mail-Attacken vermehrt Übersetzungstools, um bösartige URLs zu verbergen. Diese Angriffe werden allgemein als Google-Translate-Phishing, übersetzungsbasiertes Phishing oder Translation-Deception-Attacke bezeichnet. Nur 0,7 Prozent der erkannten Phishing-Versuche nutzten Translate-Links, allerdings erhielten 13 Prozent der Firmen diese Art von Phishing-E-Mails.

Im Durchschnitt erhält ein Unternehmen etwa acht dieser E-Mails pro Monat. Google Translate ist dabei zwar der am häufigsten missbrauchte Dienst, die Sicherheitsanalysten haben aber auch ähnliche Angriffe beobachtet, die sich hinter anderen beliebten Suchmaschinen verbergen. Diese Attacken sind schwer zu erkennen, da sie URLs enthalten, die
auf eine legitime Website verweisen. Deshalb werden sie von vielen E-Mail-Filtern nicht blockiert und landen in den Postfächern der Nutzer.

Der konkrete Ablauf solcher Angriffe verläuft ebenso einfach wie effektiv: Die Betrüger nutzen Übersetzungsdienste, um eine harmlose URL zu übersetzen, die sie dann per E-Mail an ihre Opfer senden. Nach der Zustellung ändern die Angreifer die Nutzlast in bösartige Inhalte, sodass Gateway-basierte Abwehrmaßnahmen kaum oder gar nicht greifen. Manche Attacken verwenden auch schlecht gestaltete HTML-Seiten oder eine nicht unterstützte Sprache, um die Übersetzung zu umgehen. In diesem Fall liefert Google einfach einen Link zurück zur ursprünglichen URL, der besagt, dass es nicht in der Lage ist, die zugrunde liegende Website zu übersetzen. Nutzer, die auf die Seite klicken, werden auf eine Website weitergeleitet, die vom Angreifer kontrolliert wird.

Image-Phishing

Die zweite neue und immer beliebtere Phishing-Taktik der Spammer sind Angriffe über Bildanhänge. Inzwischen verwenden sie jedoch zunehmend Bilder ohne Text. Diese enthalten oft einen Link oder eine Telefonnummer für Rückrufe, die zu Phishing-Angriffen führen. Zwar ist auch hier das Gesamtvolumen mit nur 0,2 Prozent noch gering, jedoch bekamen 11 Prozent der Organisationen solche Phishing-E-Mails. Im Durchschnitt erhält ein Unternehmen etwa zwei dieser E-Mails pro Monat. Da diese Angriffe keinen Text enthalten, werden sie von vielen E-Mail-Gateways nicht erkannt. Bei den meisten Angriffen mit Bildanhängen, die die Sicherheitsforscher bisher entdeckt haben, handelte es sich um gefälschte Rechnungen.

In letzter Zeit ist diese Betrugstaktik unter den Begriffen Image-Phishing oder Phishing-by-Image bekannt geworden. Sie erfreut sich bei Kriminellen zunehmender Beliebtheit, da Benutzer oft eher bereit sind, einem Bild zu vertrauen, das aus einer legitimen Quelle zu stammen scheint. Bildbasierte Phishing-Angriffe haben sich als effektive Technik etabliert, um die immer besseren bisher bekannten Sicherheitsmaßnahmen zu umgehen. Die Verwendung von Image-Phishing hat in den letzten zehn Jahren erheblich zugenommen und wird wahrscheinlich weiterhin eine beliebte Taktik von Cyberkriminellen bleiben.

Homographen-Angriffe

Darüber hinaus nutzen Betrüger häufig auch Sonderzeichen, um einer Erkennung zu entgehen:

Unicode-Codepunkte mit Null-Breite, Satzzeichen, nicht-lateinische Schrift oder Leerzeichen und Ähnliches. Auch hier stellten die Sicherheitsexperten fest, dass zwar nur 0,4
Prozent der erkannten Phishing-Angriffe diese Taktik verwendet haben, aber 15 Prozent der Unternehmen Phishing-E-Mails, die Sonderzeichen auf diese Weise missbrauchten, erhielten. Im Durchschnitt bekommt ein Unternehmen etwa vier dieser bösartigen E-Mails pro Monat. Solche Angriffe zu erkennen, ist sehr schwierig, denn es gibt natürlich legitime Zwecke für die Verwendung von Sonderzeichen, zum Beispiel in E-Mail-Signaturen. Besonders gefährlich sind Attacken, die mehrere Zeichen mit Null-Breite verwenden.
Sie sind für den Empfänger nicht sichtbar und nur im HTML-Code erkennbar. Diese Attacken werden gemeinhin als „Homographen-Angriffe“ oder einfach als „Angriffe mit Leerzeichen ohne Breite“ bezeichnet.

Zudem gibt es weitere Angriffsarten mit verwandten Techniken:

• Wie bei Sonder- oder Null-Breiten-Zeichen verwenden auch sogenannte Punycode-Angriffe Nicht-ASCII-Zeichen in Domänennamen, um gefälschte URLs zu erstellen, die denen legitimer Websites gleichen und Benutzer zur Eingabe ihres Benutzernamens und Passworts oder ihrer Kreditkartennummer verleiten sollen.
• Bei URL-Spoofing-Angriffen werden ähnliche Domänen verwendet, die nicht unbedingt mit den tatsächlichen legitimen Websites oder Unternehmen identisch sind. Auch hier erstellen die Betrüger Anmeldeformulare, in die Benutzer irrtümlich ihre Anmeldedaten eingeben oder zum Herunterladen vermeintlich sicherer Dateien gebracht werden.
• Bei Watering-Hole-Angriffen nehmen Cyberkriminelle eine Gruppe von Benutzern über eine kompromittierte Website ins Visier, von der bekannt ist, dass sie von ihrer Zielgruppe besucht wird. Die Angreifer schleusen einen bösartigen Code in die Webseite ein und nutzen diesen, um Anmeldedaten oder andere sensible Informationen zu stehlen und ebenfalls Malware oder Ransomware zu installieren.
• Häufig werden auch Typo-Squatting-Angriffe versucht. Dabei registriert sich ein Angreifer beispielsweise eine Domäne wie yahooo.com, um die echte Yahoo!-Website zu imitieren und setzt sie innerhalb des E-Mail-Textes ein, um dem Empfänger vorzugaukeln, dass er E-Mails von einer legitimen Quelle erhält.

Immerhin bei Typo-Squatting können Gateway-Lösungen einen angemessenen Schutz bieten. Doch auch den anderen neuen Phishing-Taktiken sind Unternehmen nicht schutzlos ausgeliefert.

Abwehrmöglichkeiten

Es ist zunächst einmal wichtig, dass Benutzer darin geschult werden, potenzielle Angriffe zu erkennen und zu melden. Phishing-Angriffe entwickeln sich ständig weiter, deshalb müssen die Mitarbeiter über neue Varianten auf dem Laufenden gehalten werden. Sicherheitsteams sollten Beispiele für diese Angriffe in die Phishing-Simulationskampagnen des Unternehmens integrieren und Benutzer dazu anhalten, immer zweimal hinzusehen, bevor sie auf einen Link klicken oder ihre Anmeldedaten weitergeben.

Darüber hinaus sollten Unternehmen sicherstellen, dass ihr E-Mail-Schutz bösartige Links und Anhänge scannt und blockiert. Das ist oft schwierig und bei der Erkennung kommt es häufig zu einer großen Anzahl falsch-positiver Ergebnisse.

Gute Lösungen beinhalten deswegen eine Analyse mit maschinellem Lernen, die den Bildkontext und den Betreff der E-Mails untersucht und mit den Absenderdaten kombiniert. So lässt sich feststellen, ob es sich wirklich um einen echten Angriff handelt oder nicht. Ein solcher E-Mail-Schutz kann den Kontext, den Betreff, den Absender und vieles mehr untersuchen, um zu prüfen, ob eine harmlos aussehende E-Mail in Wirklichkeit ein gut getarnter Angriff ist.

Für den Fall, dass eine bösartige E-Mail doch in die Posteingänge eines Benutzers vordringt, sollten Sicherheitsteams ihre Remediation-Tools bereithalten, um alle Instanzen einer bösartigen E-Mail schnell zu identifizieren, aus den Posteingängen zu entfernen und so alle Spuren des Angriffs zu beseitigen. Eine automatisierte Reaktion auf Vorfälle kann dabei helfen, schnell zu reagieren, bevor sich Angriffe im Unternehmen ausbreiten. Ein Schutz gegen Account-Übernahme kann darüber hinaus verdächtige Kontoaktivitäten überwachen und Verantwortliche alarmieren, wenn Anmeldeinformationen kompromittiert wurden.