Phishing
Angriff per Antwort: Avanan warnt vor neuer Phishing-Technik
E-Mails sind nicht immer das, was sie zu seinen scheinen. Für Phishing-Angriffe geben Cyber-Kriminelle zuletzt beispielsweise vor, Zahlungsaufforderungen im Namen bekannter Marken wie DHL, Microsoft, oder Amazon zu schicken, um ihre Opfer zu bestehlen. Mittlerweile greifen Hacker jedoch noch tiefer in die Trickkiste und versuchen, auch in wirtschaftlichen Nischen, wie dem Industriebedarf, illegal an Geld zu gelangen.
Das zeigt ein aktueller Fall , den die Sicherheitsforscher von Avanan , einem Unternehmen von Check Point Software Technologies, beobachteten. Dabei imitierten Kriminelle das französische Energieunternehmen Total Energies (in Deutschland durch Tankstellen bekannt) und baten Zulieferer um Kostenvoranschläge für eine Zentrifuge. Für den Betrugsversuch machten sich die Täter eine einfache, aber von vielen Nutzern oft übersehene Funktion zu Nutze, mit der sie den Absender der E-Mail fälschen können.
Das Absender-Feld in einer E-Mail ist, wie bei einem Brief, nur eine Adresszeile, die der Absender eintippt. So wie jeder zu einem Postamt gehen und eine Karte verschicken kann, die vermeintlich von jeder erdenklichen Adresse stammt, kann man dies auch mit E-Mails tun. Hacker nutzen diese Möglichkeit, um Nachrichten so aussehen zu lassen, als kämen sie von einer bestimmten Adresse, obwohl sie in Wirklichkeit von einer anderen stammen. Die Antworten gehen aber an die wahre Adresse und fallen den Hackern in die Hände. Diese Technik wird in diversen Branchen eingesetzt und so auch in dem bereits beschriebenen Beispiel der vermeintlichen Beschaffung einer Zentrifuge. Sie hört auf den Namen: Replier-Attack, also Antwort-Attacke.
Bei dieser Form des Phishings sollen Empfänger über die technische Funktionsweise des „Antworten“-Feldes ausgetrickst werden. Die Absenderadresse imitiert die echte Adresse von Total Energies. Die Antwort-Domäne „@totalenergiesupply“ hingegen ist nicht mit Total Energies verbunden, sondern wurde erst wenige Tage vor Verschicken der Phishing-Mail angemeldet. Die Hacker dahinter sitzen außerdem nicht in Frankreich, wie eine Analyse der Domäne ergeben hat, sondern wahrscheinlich auf Taiwan.
In dem Angriff bitten die Hacker um einen Kostenvoranschlag für den Kauf einer Zentrifuge. Im Anhang befindet sich ein Dokument mit allen geforderten Informationen und eine Erklärung, wie der vermeintliche Käufer den Prozess der Interaktion mit dem Endbenutzer einleiten will – um jedoch am Ende dessen Geld zu stehlen. Die Angreifer hoffen, dass ein Empfänger die Nachricht für legitim hält. Diese spezielle E-Mail wurde an eine Vielzahl von Unternehmen aus verschiedenen Branchen in Europa verschickt. Es handelt sich daher um eine sogenannte Spray-and-Pray-Nachricht, bei der die Drahtzieher hunderte E-Mails an verschiedene Empfänger schicken und hoffen, dass vereinzelt Personen hereinfallen werden.
Der Angriff ist besonders raffiniert, da die meisten Benutzer, sollten sie antworten, nicht merken, dass ihre Nachricht an ein anderes Postfach geht. Die meisten E-Mail-Programme zeigen das spezielle „Antwort an“-Feld nicht, das sich von der Absenderadresse unterscheiden kann. Daher denken die meisten Benutzer, dass sie dem Absender antworten, wenn sie auf die Schaltfläche „Antworten“ klicken. Die Hacker hoffen somit, dass ihre Zielpersonen keine fortgeschrittenen Kenntnisse darüber haben, wie E-Mails technisch funktionieren.
