Security Awareness – Phishing
Ein kleiner Fisch im Meer
Knowbe4 über Phishing, Spear-Phishing und Spoofing
Von Stu Sjouwerman, CEO bei KnowBe4
Das Spoofing von bekannten Unternehmen ist ein wichtiges „Merkmal“ von Phishing-Kampagnen, die seit den frühen 2000er Jahre im Umlauf sind. Die frühesten Phishing-E-Mails haben in erster Linie die Namen von Banken und anderen Finanzinstituten gefälscht, um unwissende Nutzer dazu zu bringen, ihre Online-Banking-Anmeldeinformationen herauszugeben und damit ihre Konten offen zu legen. Im Laufe der Jahre haben böswillige Akteure ihr Angebot an gefälschten Unternehmensnamen um alle Arten von hochkarätigen Unternehmen erweitert. Besonders beliebt sind die Unternehmen, die Dienstleistungen und Produkte direkt an die Verbraucher liefern.
Cyberkriminelle missbrauchen das Vertrauen der Verbraucher in diese bekannten Unternehmen, um Phishing-Kampagnen erfolgreich durchzuführen. In den letzten Jahren konnte jedoch ein neuer Trend festgestellt werden, nämlich dass die Cyberkriminellen zunehmend auf andere Unternehmen abzielen, die nicht zu den üblichen Verdächtigen passen.
Ein gutes Beispiel ist diese Phishing-E-Mail, die von einem Nutzer über den Phish Alert Button (PAB) gemeldet wurde:
Während GoDaddy sicherlich sowohl IT-Profis als auch Betreibern von Webseiten vertraut sein wird, ist GoDaddy kein Unternehmen, mit dem die meisten Nutzer oder Verbraucher viel direkte Erfahrung haben werden. Sie haben vielleicht von GoDaddy gehört, haben gelegentlich die GoDaddy-Bannerwerbung gesehen und haben vielleicht sogar eine vage Vorstellung davon, was GoDaddy macht. Aber sie haben wahrscheinlich nicht den gleichen Wissensstand oder das gleiche Vertrauen in den Anbieter, wenn das Unternehmen in einem Phishing wie diesem genutzt wird:
Google ist offensichtlich eines der bekanntesten Unternehmen der Welt, und die meisten Nutzer und Verbraucher werden wahrscheinlich eine gewisse Interaktion mit dem Unternehmen gehabt haben. Viele werden die Dienste des Unternehmens täglich nutzen. Google ist also eine naheliegende Wahl für Spoofing. Aber die Cyberkriminellen nutzen auch andere Unternehmensnamen aus.
GoDaddy passt jedoch nicht so recht in das Muster der am häufigsten gefälschten Unternehmen, die wir typischerweise in bösartigen E-Mails sehen. Es mag einen großen Präsenz im Internet haben und seit Mitte der 90er Jahre in der einen oder anderen Form existieren, aber es scheint nicht so reif für Spoofing in Phishing-Kampagnen bei Unternehmen wie Google oder DocuSign.
Dennoch lassen sich heute etwas mehr als ein Dutzend Online-Unternehmen ausmachen, die fast täglich zuverlässig gefälscht werden – Namen, die weniger offensichtlich als Ziele für Massen-Phishing-Kampagnen erscheinen. Nun lässt sich die Frage stellen, warum diese Namen in den Fokus der Bösewichte gerückt sind und was die Bösewichte mit ihnen machen wollen.
Top-Unternehmen bei Phishing-Kampagnen
Die am häufigsten gefälschten Unternehmen sind in der Regel vier große Konzerne oder Branchen:
- Finanzdienstleistungen (Wells Fargo, Chase, Citi, HSBC, Santander, Navy Federal, etc.)
- Online-Dienste & Konsumgüter (Apple, Amazon, Google, Microsoft, Yahoo, Netflix, etc.)
- Paket- oder Paketzustellung (DHL, Fedex, UPS, etc.)
- Geldüberweisung (Paypal, Western Union)
- Dateifreigabe / Lieferung / Unterzeichnung (Docusign, OneDrive, Dropbox, etc.)
Diese „Premium“-Namen, wie sie in Fachkreisen der IT-Security Community bezeichnet werden, haben mehrere gemeinsame Eigenschaften, die sie für den Einsatz von Phishing-Kampagnen auszeichnen:
- Viele Benutzer und Verbraucher haben tägliche Interaktionen mit ihnen und setzen daher ein gewisses Maß an Vertrauen in diese Unternehmen, um Dienstleistungen und Produkte anzubieten sowie ihre eigenen privaten oder vertraulichen Informationen zu erhalten und zu speichern.
- Selbst in Fällen, in denen einzelne Verbraucher die Produkte und Dienstleistungen dieser Unternehmen nicht persönlich nutzen dürfen, werden diese Verbraucher dennoch mit diesen Unternehmen vertraut sein und wissen, was sie durch Freunde, Familie, Werbeeinblendungen und sogar Nachrichtenberichte tun. Diese Unternehmen sind allgegenwärtig.
- Für die Interaktion mit diesen bekannten Unternehmen sind weder Spezialkenntnisse, Erfahrungen noch Schulungen seitens der Anwender und Verbraucher erforderlich. Diejenigen, die einen wesentlichen Teil ihres Lebens online verbringen und ein normales Verbraucherverhalten an den Tag legen, sind mit diesen Unternehmen vertraut und werden wahrscheinlich im Rahmen von gefälschten Phishing-E-Mails darauf reagieren.
Die Phishing-Unternehmen mit dem „Sub-Premium“ Prädikat, die in letzter Zeit aufgefallen sind, sind eine ganz andere Angelegenheit. Zum einen fallen diese Unternehmen in der Regel in ein anderes Branchenspektrum als die oben genannten „Premium“-Namen:
- E-Commerce (Alibaba, eWay.ca, Shopify)
- Digitale Währung (Blockchain, Coinbase)
- Content Management / Hosting (GoDaddy, Rackspace, Squarespace)
- Zahlungsabwicklung
- Geldüberweisung (Xpress Money)
- Stellensuche / Personalbeschaffung (ZipRecruiter)
Obwohl einige oder sogar die meisten dieser Unternehmen vielen Verbrauchern und Nutzern vage bekannt sind, teilen sie nicht die gleichen Eigenschaften, die bei den oben genannten „Premium“-Namen festgestellt wurden.
- Die meisten Nutzer und Verbraucher werden keine direkte, regelmäßige Interaktion mit diesen Unternehmen haben. Sie haben vielleicht von diesen Unternehmen gehört oder sogar Geschäfte mit Unternehmen gemacht, die sich auf diese „Sub-Premium“-Firmen verlassen, um ihre Geschäfte zu unterstützen, aber die Vertrautheit der Verbraucher mit diesen Unternehmen wird indirekter und zufälliger sein.
- Obwohl diese „Sub-Premium“-Firmen in der Werbung eine gewisse Präsenz haben (auch in der Fernsehwerbung, die die Verbraucher vielleicht gesehen haben), wird die Berichterstattung über diese Unternehmen tendenziell in die Wirtschaftsnachrichtenbereiche verlagert. Außerdem ist es weniger wahrscheinlich, dass Freunde und Familie über ihre Interaktion mit diesen Unternehmen sprechen werden, auch wenn ihre Arbeit es erfordert.
- Es ist durchaus möglich, dass einige Benutzer im Rahmen ihrer Arbeit Interaktionen mit diesen Unternehmen haben, aber solche Interaktionen sind eng definiert und erfordern möglicherweise spezielle Schulungen oder Fachkenntnisse. Tatsächlich werden viele dieser „Sub-Premium“-Firmen vor allem denjenigen bekannt sein, die „BackOffice“-Systeme unterhalten (obwohl die schiere Langlebigkeit einiger dieser Unternehmen dazu führen kann, dass sie außerhalb von BackOffice-Positionen Vertrautheit vermitteln).
Kurz gesagt, die Anzahl der Nutzer, die ein geeignetes, verwertbares Publikum für Phishing-E-Mails zu sein scheinen, die solche „Sub-Premium“-Unternehmen fälschen, ist viel kleiner als die verwertbaren für „Premium“-Namen wie Google, Docusign, Apple oder Fedex.
Wie gut haben die Cyberkriminellen ihre Phishing-Kampagnen angepasst, um ihren ROI zu maximieren, indem sie diese „Sub-Premium“-Firmen gefälscht haben? Von dem, was in Phishing-E-Mails gesehen haben, die von den Firmen gemeldet wurden, ist die Antwort (bisher): überhaupt nicht gut.
Sub-Premium-Ziele sind schwer zu finden
Um diese „Sub-Premium“-Phishing-Firmen effektiv in bösartigen E-Mail-Kampagnen zu täuschen, müssten die Cyberkriminellen mit ziemlicher Sicherheit die Kunst beherrschen, die richtigen Zielgruppen für diese Firmen anzusprechen. Das beinhaltet mindestens zwei verschiedene Aufgaben:
-
Identifizierung von Unternehmen, die tatsächlich mit diesen „Sub-Premium“-Firmen Geschäfte machen und sich auf die Dienstleistungen dieser Firmen verlassen. Wenn ein Zielunternehmen nicht ZipRecruiter oder Rackspace verwendet, gibt es wenig Grund zu der Annahme, dass ein Betrug dieser Unternehmen in Phishing-Kampagnen zu Klicks führen würde.
- Identifizierung der geeigneten Benutzeranzahl innerhalb der Zielunternehmen. Selbst wenn ein Unternehmen ZipRecruiter oder Rackspace verwenden würde, würde es erwartet, dass nur eine kleine Teilmenge der Mitarbeiter innerhalb dieses Unternehmens mit den Unternehmen vertraut wäre, so dass sie unbeabsichtigt durch bösartige Links oder Anhänge klicken könnten, die in E-Mails zugestellt wurden, und die vorgeben, von diesen gefälschten Unternehmen zu stammen.
Sogenannte „Spray and pray“-Phishing-Kampagnen, die Google und Apple täuschen, können erfolgreich sein. Ein großer Prozentsatz der Zielnutzer interagiert täglich mit diesen Unternehmen. Nicht so bei Unternehmen wie Blockchain oder Square.
Darüber hinaus gibt es gute Anreize, potenziell gefährdete Unternehmen und Mitarbeiter anzusprechen. Ein Mitarbeiter, der sich beispielsweise täglich mit Stripe beschäftigt, hat mit hoher Wahrscheinlichkeit Zugang zu anderen sensiblen und potenziell lukrativen Finanzkonten innerhalb des Unternehmens.
Ebenso kann davon ausgegangen werden, dass ein Mitarbeiter, der regelmäßig mit Rackspace interagiert, könnte Zugriff auf eine ganze Reihe von Netzwerkkonten und Geräten haben, die für betrügerische Zwecke genutzt werden können.
Überraschenderweise scheinen die Cyberkriminellen jedoch in dieser Überprüfung von Phishing-E-Mails, nicht sehr darin erfahren zu sein, wie sie diese gefälschten E-Mails in die richtigen Posteingänge bekommen.
Die Mehrheit der überprüften E-Mails, die die oben genannten „Sub-Premium“-Unternehmen gefälscht haben, zeigten wenig oder gar keine Hinweise darauf, dass sie überhaupt gezielt waren. Einige E-Mails erreichten die Posteingänge von speziell benannten Personen (im Gegensatz zu allgemeinen Abteilungs- oder Gruppenpostfächern), aber diese Personen waren nicht in Rollen, die sie wahrscheinlich mit den gefälschten Unternehmen interagieren lassen würden.
Viele bösartige E-Mails wurden auch beobachtet, die an E-Mail-Adressen gesendet wurden, die wahrscheinlich von der Website des betreffenden Unternehmens entfernt wurden.
Bösartige E-Mails, die scheinbar in großen Mengen an Listen von bcc’ed-Empfängern verschickt wurden, wurden entdeckt.
Um sicher zu sein, wurde auch ein Phishing beobachtet, dass anscheinend an einen geeigneten und potenziell reaktionsschnellen Posteingang gesendet wurde.
Auch in diesen Fällen wurden die verwendeten E-Mail-Adressen jedoch wahrscheinlich von öffentlich zugänglichen Webseiten für die betroffenen Unternehmen bezogen. Die am erfolgreichsten gezielten Phishing-E-Mails, die beobachtet wurden, betrafen Unternehmen in der Rekrutierungsbranche.
Wie bei den anderen E-Mails, die gerade besprochen wurden, haben die Cyberkriminellen jedoch einfach E-Mail-Adressen von den Websites der Zielunternehmen entfernt. Zusammenfassend lässt sich sagen, dass es einigen der gefälschten E-Mails, die von betroffenen Firmen gemeldet wurden, tatsächlich gelungen ist, ein geeignetes Zielpublikum anzusprechen. Diese E-Mails waren jedoch definitiv in der Minderheit der überprüften E-Mails. Darüber hinaus basierte die Ebene oder Qualität des Targetings auf einfachsten Informationen (verschrottete E-Mail-Adressen).
Es ist durchaus möglich, dass es böswillige Akteure gibt, die ausgeklügelte Speer-Phishing-Kampagnen auf der Grundlage von hochwertiger Intelligenz verfolgen, die es ihnen ermöglichen, bestimmte Personen, von denen bekannt ist, dass sie mit diesen gefälschten „Sub-Premium“-Firmen interagieren, zuverlässig anzusprechen. Diese Informationen könnten das Ergebnis früherer Phishing-Kampagnen sein, die diesen böswilligen Akteuren Zugang zu den E-Mail-Konten anderer Unternehmen innerhalb dieser Zielunternehmen oder der von Ihnen gefälschten Unternehmen verschafft haben. Konten, die eine große Menge von Unternehmensdaten enthalten könnten. Solche Informationen könnten auch einfach in Form von kommerziell verfügbaren Listen und Datenbanken erworben worden sein.
Wie bereits erwähnt, scheinen diese „Sub-Premium“-Phishing-Unternehmen reif für sehr gezielte Phishing-Kampagnen zu sein. Auch wenn die böswilligen Akteure hinter den beobachteten Kampagnen nicht besonders versiert darin waren, qualitativ hochwertige Informationen zu entwickeln, zeigt es doch, dass sie sich darin üben und besser werden.
Fazit
Es gibt keinen Grund zu glauben, dass die Bösewichte aufhören werden, die hier diskutierten „Sub-Premium“-Phishing-Firmen zu nutzen. Wenn überhaupt, müssen wir davon ausgehen, dass Cyberkriminelle nicht nur raffiniertere Phishing-Kampagnen entwickeln, sondern weiter ausbauen werden. Mit anderen Worten, dies könnte ein neuer Wachstumsbereich für böswillige Akteure sein.
Was können betroffene Unternehmen also tun? Zunächst sollten Sie die Anfälligkeit ihres Unternehmens für diese Art von Phishing-Kampagnen überprüfen. Das bedeutet, dass sie zumindest einen Überblick darüber haben, welche E-Mail-Adressen und welche Mitarbeiter im Unternehmen bereits öffentlich bekannt sind.
Ebenso wäre es sinnvoll, die externen Partner-Unternehmen zu überprüfen, auf die sich das Unternehmen bei seinen Geschäftsaktivitäten stützt und auch hier welche dortigen Mitarbeiter für diese Beziehungen verantwortlich sind und welche Informationen über diese Beziehungen für böswillige Akteure öffentlich sichtbar sein könnten. Das Gleiche gilt für die BackOffice-Systeme und -Services, die den täglichen Betrieb des Unternehmens unterstützen.
Schließlich müssen alle Mitarbeiter durch ein New School Security Awareness-Training geführt werden. Viele der Mitarbeiter haben vielleicht bereits eine Ahnung, dass eine gefälschte Google-Sicherheitswarnung tatsächlich ein gefährlicher Phishing-Angriff auf Anmeldeinformationen sein könnte. Aber sie müssen auch erkennen, wann die Bösewichte anfangen, Unternehmen wie Square, Rackspace, Stripe und Zip Recruiter als Trojanisches Pferd zu nutzen – Unternehmen, mit denen einige Ihrer Mitarbeiter täglich zu tun haben und ihnen vertrauen.