Neue Research-Ergebnisse von 32Guards
Ich kombiniere, also bin ich.
Von Stefan Cink, Director Business and Professional Services, NoSpamProxy
In der aktuellen Research Note 2-24 aus unserem 32Guards Research Lab berichten wir, wie gezielte Cyber-Angriffe durch die Kombination von Indikatoren schneller und effektiver erkannt und abgewehrt werden können.
Moderne Attacken nutzen häufig generative KI und Automatisierung, um täuschend echte Spam- oder Phishing-E-Mails zu erzeugen. Oft reicht ein einzelner Indikator dabei nicht aus, um verdächtige Nachrichten zuverlässig zu identifizieren. Erst durch das Zusammenführen verschiedener Muster lässt sich eine höhere Erkennungsrate erreichen.
Anhand zweier Beispiele beschreiben wir hier, wie das funktioniert und warum es gut ist:
Alte Bekannte bevorzugen
Im Geschäftsleben bringt man bekannten Partnern in der Regel mehr Vertrauen entgegen als neuen. Auch in der E-Mail-Kommunikation ist es möglich, Kommunikationspartner unterschiedlich zu behandeln – je nachdem, ob es sich um eine etablierte oder neue Beziehung handelt. Moderne Mail Security Gateways bieten hierfür entsprechende Mechanismen. Unser Produkt NoSpamProxy nutzt beispielsweise den sogenannten Level of Trust als Indikator. Natürlich sind auch andere Methoden denkbar, um gewünschte Kommunikation zu erkennen – wie die Anbindung von CRM-Systemen oder Directories.
Nicht alle, aber ein Großteil der Angriffe stammt von bislang unbekannten Sendern. Daher ist es ratsam, diese unbekannten Systeme strenger zu behandeln als bekannte Systeme und ggf. weitere Indikatoren hinzuzunehmen, um Schad-E-Mails sicher zu identifizieren. Ein konkretes Beispiel: In letzter Zeit konnten wir zahlreiche Spam-E-Mails beobachten, deren Message-ID eine .su-Domäne verwendete. Solche Top-Level-Domänen aus längst vergangenen Zeiten, wie .su für Sowjetunion oder .dd für DDR, sind nicht mehr gebräuchlich und daher per se verdächtig.
Theoretisch kann es aus der Vergangenheit eine etablierte, gepflegte Beziehung geben, zu der man E-Mails nicht ablehnen will. Ist der Kommunikationspartner jedoch unbekannt, kann man eine E-Mail von einer .su-Domaine bedenkenlos abweisen. Da der Absender über die Ablehnung informiert wird, kann dieser im äußerst unwahrscheinlichen Fall eines False Positives aktiv werden und beispielsweise telefonisch reagieren. Die Bekanntheit eines Kommunikationspartners ist also ein universelles Indiz, das gut mit anderen Indizien kombiniert werden kann. Differenzieren Sie immer zwischen bekannten und unbekannten Kommunikationspartnern. Bevorzugen Sie dabei automatisierte, sich selbst aktualisierende Verfahren, die eine Konfliktlösung ohne das dedizierte Mitwirken von Administratoren ermöglichen.
Muster in URLs erkennen
In Angriffen genutzte E-Mails werden technisch gesehen immer besser. Oft ist es schwierig, die E-Mail aufgrund ihrer Herkunft und anderer technischer Merkmale eindeutig zu bewerten. Außerdem sind beispielsweise Phishing-Links stark personalisiert. So unterscheidet sich nicht nur der Pfad der verwendeten Links von Opfer zu Opfer, sondern häufig die gesamte Domäne. Vergleicht man die Angriffs-URLs allerdings auf einer höheren Ebene, ergeben sich in vielen Fällen dennoch Muster. Hier zwei Beispiele aus einer sehr prominenten Angriffswelle:
Dabei sind die für das Pattern Matching relevanten Teile gelb eingefärbt. In der Subdomain zeigt sich immer ein String, der eine gewisse Ähnlichkeit zum Wort „track“ aufweist, außerdem ist im Pfad immer ein Keyword aus einer kleinen Gruppe in diesem Fall verdächtiger Keywords wie „open“ oder „unsubcribe“. Auch dieser Fall zeigt, dass nur die Kombination verschiedener Indikatoren hilft, um problematische E-Mails zu identifizieren. Links mit den Keywords „tracking“ oder „unsubscribe“ sind als Tracking- oder Unsubscribe-Links für sich genommen nicht besonders verdächtig. Die Kombination dagegen ist auffällig.
Unsere Daten zeigen jeweils sehr viele gewollte E-Mails mit einem der beiden Merkmale. Im Beobachtungszeitraum dieser Analyse finden wir rund 2,2 Millionen Links mit einer Subdomain mit dem Wort „track“ oder einer Ableitung davon und rund 150 Millionen Links mit dem Keyword „unsubscribe“ im Pfad. Die Mengen für die Einzelmerkmale sind so groß, dass sie nicht ausreichen, um trennscharf Spam zu erkennen. Die Schnittmenge ist im Verhältnis sehr klein und viele der betroffenen Links stehen im Kontext einer Angriffskategorie, die wir FakeAV nennen und die zum Kauf gefälschter Antivirenprodukte auffordert. Tatsächlich sehen wir in den Daten sehr verdächtige Spikes im Auftreten. In der Kombination ist das eine sichere Indizienkette für die Ablehnung derartiger E-Mails.
Die Zukunft der E-Mail-Sicherheit ist intelligent, vernetzt und datengetrieben
Die Beispiele verdeutlichen, wie wichtig neben den hier gezeigten konkreten Mustern auch das große Bild ist. Mit Blick auf ein einzelnes Postfach oder einen einzelnen E-Mail-Server sind Angriffe oft schwierig bis unmöglich zu erkennen. Hier helfen übergreifende, intelligente Services wie 32Guards mit der spezialisierten Analyse enormer Mengen an E-Mail-Metadaten, die auch schwächere Muster erkennen. Die Zukunft der E-Mail-Sicherheit ist daher intelligent, vernetzt und datengetrieben.
Wir werden weitere Kombinationen von Indizien entwickeln und die Ergebnisse in unseren Research Notes zur Verfügung stellen. Wenn Sie schon jetzt tiefer einsteigen oder weitere Erkenntnisse aus den Analysen lesen wollen, können Sie die vollständige 32Guards Research Note #2-2024 zum Thema kostenfrei herunterladen.