Home » News » Cybersecurity » Geschickt kombinierte Angriffsmethoden: Wenn der Betrug per Anruf kommt

Geschickt kombinierte Angriffsmethoden: Wenn der Betrug per Anruf kommt

In einer perfiden Verschränkung von Telefonaten und E-Mails offenbart sich eine neuartige Taktik, die von Cyberkriminellen benutzt wird, um ihre Schadsoftware zu verbreiten. Sicherheitsforscher haben ausgeklügelte Methoden der Kompromittierung und des Social Engineering entdeckt, die in dieser komplexen Angriffsstrategie zum Einsatz kommen.

3 Min. Lesezeit
Foto: ©AdobeStock/IDOL'foto

Im Rahmen ihrer Analyse eines infizierten Computers hat die X-Ops, die Abteilung für Sicherheitsforschung von Sophos, eine durchdachte und verschlagene Kombination von Angriffstaktiken aufgedeckt. Der Auftakt erfolgte dabei mit einem unverfänglich erscheinenden Anruf.

Die erlangten Erkenntnisse enthüllen eine innovative Angriffsstrategie, bei der überzeugende Telefonate und E-Mail-Kommunikation miteinander verwoben werden, um die Kontrolle über Unternehmensnetzwerke zu erlangen und Daten zu extrahieren. Dabei wurde die Schadsoftware auf höchst ungewöhnliche Weise eingeschleust: Ein Anrufer überredete das potenzielle Opfer dazu, eine E-Mail ohne Textinhalt zu öffnen, die als Bild gestaltet war und einer Outlook-Nachricht ähnelte. Dies löste den Download einer bösartigen Electron-App über den beigefügten Link aus.

„Ich möchte Ihnen ein Päckchen liefern.“

Der Anrufer gab sich als Lieferfahrer aus, der ein dringendes Paket für einen Unternehmensstandort hatte. Allerdings sei niemand vor Ort, um die Lieferung anzunehmen. Er bat darum, eine neue Zustelladresse am Standort des Angerufenen zu bekommen. Um die erneute Zustellung zu ermöglichen, benötige er einen per E-Mail zugesandten Code von der Versandfirma. Während der Anrufer noch mit dem Mitarbeiter am Telefon sprach, erreichte diesen die angekündigte E-Mail. Die Nachricht enthielt den Hinweis, dass der benötigte Code als Anhang einer PDF-Datei beigefügt sei.

Diese E-Mail, verfasst in tadellosem Französisch, war der Auslöser für die folgende Angriffskaskade. Allerdings entpuppte sich die gesamte Nachricht als Täuschung – sie sah aus wie eine E-Mail mit einem PDF-Anhang, doch sowohl der „Anhang“ als auch der Nachrichtentext waren lediglich statische Bilder, die in den Text eingebettet waren. Unter Anleitung des Betrügers klickte der Mitarbeiter auf das Bild, was den Download der Schadsoftware auslöste.

Sprachliche Finesse und gezieltes Vorgehen

Obwohl die E-Mail in Französisch verfasst war, legen technische Hinweise nahe, dass die Angreifer bereits wussten, dass das Ziel aus der Schweiz wahrscheinlich Deutsch sprechen würde. Die Analysten von Sophos konnten ebenfalls erkennen, dass die Angreifer höchstwahrscheinlich gezielt die Anrufempfänger ins Visier genommen hatten und eine elaborierte Kette des Social Engineering entwickelten. Dies führte dazu, dass die Kriminellen kurzzeitig die Kontrolle über den Computer des Mitarbeiters übernahmen, bis dieser schließlich den Netzwerkstecker zog. Der aufmerksame Mitarbeiter spürte, dass etwas nicht stimmte, und reagierte rasch. Leider geschah dies nicht schnell genug, um die schädliche Nutzlast zu verhindern.

„Dieser Angriff war äußerst präzise. An diesem Freitag befand sich nur eine Person im Büro, und die Angreifer kannten vermutlich die Identität dieser Person. Die Verwendung eines getarnten Bildes in einer E-Mail ist eine Neuerung, die wir bisher noch nicht gesehen haben. Dennoch ist sie raffiniert. Der Versand eines echten PDFs löst oft Alarme aus, da sie häufig für die Verbreitung von Malware genutzt werden, und E-Mails mit PDF-Anhängen landen oft im Spam-Filter“, erklärte Andrew Brandt, leitender Forscher bei Sophos.

Nach dem Eindringen ins Netzwerk nutzten die Kriminellen die Schadsoftware, um nach einer Bandbreite von Informationen zu suchen: Buchhaltungssoftware-Daten, Cookies, Browserverläufe, Passwörter und Kryptowährungs-Wallets. Um ihre Datenausschleusung zu verschleiern, nutzten die Angreifer das Tor-Netzwerk (Dark Web). Letztendlich konnte der aufmerksame Mitarbeiter, der den Angriff bemerkte und den Stecker zog, schlimmere Konsequenzen für sein Unternehmen verhindern.

Meisterhaft getäuscht – und die Bedrohung setzt sich fort

„Diese Art von hochentwickeltem Angriff zeigt, wie weit Cyberkriminelle gehen, um Abwehrmechanismen zu umgehen und das Vertrauen von Personen zu gewinnen. Phishing-Angriffe erweisen sich als äußerst wirkungsvoll, und wir beobachten, wie Angreifer ihre Social Engineering-Methoden mit neuen Technologien weiterentwickeln. Trotz der aktuellen Fokussierung auf E-Mails bedeuten diese Vorfälle nicht, dass telefonische Angriffe veraltet sind. Wir schulen Mitarbeiter intensiv im Bereich E-Mail-Sicherheit, doch ungewöhnliche Telefonate werden dabei oft übersehen. In diesem Fall hat der Mitarbeiter zügig und besonnen reagiert“, betonte Brandt.

Nach dem Angriff auf das schweizerische Unternehmen stieß Sophos X-Ops auf eine weitere Attacke mit derselben Vorgehensweise gegen ein australisches Unternehmen. Wer auch immer hinter diesen Angriffen steckt – es ist wahrscheinlich, dass die Täter weiterhin aktiv sind.

 

Die gesamte, auch technisch detailliertere Beschreibung des Angriffs (in Englisch) gibt es hier.

Andere interessante News

Cyberattacken

Viele Cyberangriffe bleiben lange unentdeckt

Mehr als ein Fünftel (22 Prozent) der Cyberangriffe auf Unternehmen und Organisationen im vergangenen Jahr dauerten mehr als einen Monat an – dies bedeutet einen Anstieg von rund sechs Prozentpunkten gegenüber dem Vorjahr 2022. Eine aktuelle Studie belegt außerdem: Vertrauensvolle Beziehungen werden als Angriffsvektor ausgenutzt.

AI Act

EU-Mitgliedsstaaten beschließen KI-Regulierung für Europa

Die EU-Mitgliedsstaaten haben den AI Act im Ministerrat beschlossen. Nach der Veröffentlichung könnte der AI Act bereits Ende Juni oder Anfang Juli in Kraft treten. Unternehmen müssen dann bereits sechs Monate später erste Regeln befolgen.

DaaS - Desktop as a Service

Wie Device as a Service die IT-Security stärkt

Die Sicherheit am digitalen Arbeitsplatz bleibt ein zentrales Thema für IT-Entscheider. Besonders attraktiv ist dabei Device as a Service (DaaS), also die Auslagerung der Beschaffung, Bereitstellung, Verwaltung und des Austauschs von Geräten. Diese „as a Service“-Modelle tragen mit hohen Sicherheitsstandards zur aktiven und präventiven Sicherheit bei.