Security Awareness
Vier immer häufiger vorkommende Phishing-E-Mails, die Sie kennen sollten
„Oldies-But-Goldies“
Von Stu Sjouwerman, CEO bei KnowBe4
Rund 90 Prozent der Phishing-E-Mails, die von Unternehmen über den Phishing Alert Button (PAB) gemeldet werden, verwenden Social Engineering-Schemata, die es schon seit Jahren gibt. Diejenigen, die täglich mit Phishing-Angriffen zu tun haben, wissen, dass die Urheber der Malware bewährte Social-Engineering-Attacken immer wieder verwenden. Diese „Oldies-But-Goldies“ erzeugen zuverlässig unbedachte Klicks von abgelenkten Benutzern und starke Kopfschmerzen für Helpdesk-Mitarbeiter.
Die Aufhänger der gängigen Social-Engineering-Attacken, die bei Phishing-Angriffen verwendet werden, ist nicht vielfältig und umfangreich:
- Gefälschte Rechnungen, Bestellungen und RFQs
- Gefälschte Paketzustellungen/-Ankündigungen
- Gefälschte Datei-Zustellung/-Sharing sowie Benachrichtigungen
- Gefälschte Online-Kontoüberprüfungen/-aktualisierungen
- E-Mail-Upgrade-/Aktualisierungsbenachrichtigungen
- E-Mail-Passwort Ablaufbenachrichtigungen
- E-Mail-Deaktivierungswarnungen
Die Cyberkriminellen neigen dazu, nicht nur die Payloads von Phishing-E-Mails weiter auszubauen, sondern auch die „Lieferwege“ selbst weiterzuentwickeln. So kämpfen Computerarbeiter ständig gegen eine Flut neuer Ransomware-Varianten und die stetige Erweiterung der Feature-Sets für Backdoor-Trojaner. Darüber hinaus gibt es immer wieder neue Phishing-Programme – und während die meisten schnell aussterben, bleiben einige länger im Einsatz.
In den letzten drei Monaten wurden vier bemerkenswerte Phishing-Programme beobachtet, die nicht vollständig aus dem üblichen Menü stammen. Obwohl sie eindeutig von einigen der gängigsten Social-Engineering-Schemata inspiriert sind, sind sie raffinierter. Anwender und IT-Administratoren sollten sich gut darüber informieren sowie über besondere Gefahren, die sie für potenziell leichtgläubige Mitarbeiter darstellen.
1. Gefälschte Support-Phishing-Nachrichten
Cyberkriminelle manipulieren seit Jahren IT-Helpdesks und hoffen, das implizite Vertrauen der Benutzer in ihr eigenes IT-Support-Personal auszunutzen, um Benutzer zu verantwortungslosen Klicks zu verleiten. Sie haben auch zuverlässig sicherheitsrelevante Nachrichten von vertrauenswürdigen Online-Institutionen wie Banken, Einzelhändlern und anderen Dienstleistern, bei denen Benutzer möglicherweise Konten haben, gefälscht.
Eine neue Runde gefälschter Support-Phishing-E-Mails baut auf solchen Social-Engineering-Schemata auf, indem sie ein paar Tricks von technischen Support-Betrügereien kopiert, die seit langem im Gebrauch von zweifelhaften Call Centern sind. In diesem Schema täuschen die Angreifer vor, große und vertrauenswürdige Dienstleister wie Amazon und Facebook zu sein, indem sie den Anwendern mit Phishing-E-Mails vor unbefugten Anmeldungen oder ähnlichen Aktivitäten auf ihren Online-Konten warnen.
Anstatt die Anwender aufzufordern, auf einen eingebetteten Link zu klicken oder einen bösartigen Anhang zu öffnen, fordern diese E-Mails die Benutzer auf, gebührenfreie 800er-Nummern zu wählen, um mit dem Supportpersonal der „Fake“-Unternehmen zu sprechen.
Obwohl Sicherheitsexperten es noch nicht geschafft haben, sich selbst erfolgreich mit einer dieser Nummern zu verbinden, bleibt die Vermutung, dass diese gebührenfreien Nummern zu Betrügereien mit technischem Support führen, bei denen Benutzer aufgefordert werden, unbekannten Angreifern Fernzugriff auf die Desktops der Benutzer zu gewähren. Die Microsoft-Support Scams lassen grüßen.
Wenn sie gegen Privatkunden eingesetzt werden, werden solche Betrügereien typischerweise verwendet, um Anwender zu erschrecken, Geld für gefälschten technischen Support auszugeben, der notwendig ist, um Probleme auf ihren PCs zu beheben, die es gar nicht gibt. Diese Betrügereien bleiben nicht ohne gravierende Folgen, wenn sie gegen ahnungslose Privatpersonen ohne viel Wissen über den eigenen PC eingesetzt werden. Die Aussicht auf unbekannte Betrüger, die versuchen, sich aus der Ferne mit Unternehmens-Desktops in einer Arbeitsplatzumgebung zu verbinden, sollte für jeden Computer- und Internetnutzer jedoch alarmierend sein.
2. iTunes Geschenkgutschein-Anfragen
Die zweite Phishing-Kampagne, die in den letzten Monaten bekannt wurde, sieht vor, dass Cyberkriminelle Mitarbeitern vorgaukeln, dass sie ihre CEOs oder andere Führungskräfte sind, um sie anzuweisen, iTunes-Geschenkkarten für Freunde, Familie oder Geschäftspartner und Kunden zu kaufen. Da diese E-Mails eindeutig dem gleichen allgemeinen Skript folgen, das für Überweisungsbetrug und W2-Phishing-Schemata verwendet wird, können sie als eine seltsame Variante der üblichen CEO-Betrugs-Phishing-Angriffe angesehen werden.
Die E-Mails versuchen, gezielt Mitarbeiter in einen Austausch einzubinden, der auf Compliance abzielt. Erstens, die scheinbar harmlose Eröffnungssalve….
Wenn Mitarbeiter reagieren….
..werden sie mit einer Anfrage zum Kauf von iTunes-Geschenkkarten konfrontiert – normalerweise in einer Höhe von Hunderten von Dollar:
Leider werden nicht alle Mitarbeiter diesen Antrag als so merkwürdig einstufen wie jemand, der über fundiertes technisches Know-how verfügt:
Wie bei den gefälschten Support-Phishings, die hier gezeigt werden, kann vermutet werden, dass die Cyberkriminellen hinter dieser Phishing-Kampagne einfach einen Trick von einer anderen Gruppe von Betrügern geborgt haben – International Revenue Service(IRS)-Telefonbetrüger, die sich als IRS-Mitarbeiter ausgeben und verängstigte Opfer auffordern, Geschenkgutscheine zu kaufen, damit nicht vorhandene IRS-Schulden und -Strafen bezahlt werden sollten.
Als IT-Sicherheitsexperten zum ersten Mal auf dieses Social-Engineering-Schema trafen, waren sie skeptisch, ob sich diese Art von Betrug als erfolgreich erweisen würde – doch sie wurden eines Besseren belehrt. Einige Monate später fanden viele Mitarbeiter diese gefälschten Anfragen immer noch in ihren Posteingängen, was zeigt, dass die Betrüger damit erfolgreich waren und es noch immer sind.
3. Erpressung durch Pornos
Während die meisten Social-Engineering-Systeme, die bei Phishing-Angriffen eingesetzt werden, das Vertrauen der Benutzer in anerkannte Unternehmen, Institutionen oder Menschen stärken, bleiben Scham und Verlegenheit mächtige Werkzeuge, die Angreifer gegen potenzielle Opfer einsetzen können und wollen. Und trotz der Allgegenwart von Porno-Inhalten im Internet versuchen Cyberkriminelle weiterhin Geld von ihren Opfern zu erpressen.
Im Folgenden ein paar Beispiele, wie diese Phishing-Nachrichten aussehen:
Obwohl nur eine von Dutzenden von Varianten gemeldet wurde, ist diese spezielle E-Mail repräsentativ. Sie verwendet eine aggressive und gleichzeitig herabwürdigende Sprache, um Benutzer zu zwingen, über ein Bitcoin-Konto Geld zu überweisen, so wie es viele Ransomware-Angriffe tun. Und obwohl Erpressung durch Porno im Internet nicht neu ist, haben solche Systeme dazu geführt, dass unachtsame Mitarbeiter über Pop-ups auf zweifelhafte Websites oder Weiterleitungen auf sie stoßen und nicht durch Phishing-Kampagnen.
Während man nur vermuten kann, dass die meisten User, nicht auf die in diesen E-Mails enthaltenen Bedrohungen eingehen, können einige Mitarbeiter anfälliger für dieses Schema sein. Besonders gefährlich wird es dann, wenn sie im Büro solche E-Mails bekommen. Mitarbeiter könnten durchaus versuchen, ihre Interaktionen mit bösartigen Angreifern vor IT-Mitarbeitern aus Angst zu verbergen. Dies ist ein sicheres Rezept für Probleme, sollten sie überfordert sein, während sie mit Betrügern von ihren Firmenarbeitsplätzen aus in Kontakt kommen.
4. Bösartige WeTransfer-Dateien
Wie bereits erwähnt, sind Cyberkriminelle bei der Verfolgung von Phishing-Kampagnen gegen Unternehmensziele stark auf gefälschte File Delivery/Social Engineering-Systeme angewiesen. Die Mitarbeiter, auf die die Angriffe abzielen, sind wahrscheinlich mit dem Prozess vertraut. Sie laden Dateien über gängige Dienste wie Docusign, OneDrive und Dropbox hoch, nutzen diese gemeinsam oder geben diese weiter. Infolgedessen werden viele nicht zweimal überlegen, wenn sie einen Link zu einer Datei präsentieren, die angeblich von einem dieser bekannten Dienste gehostet wird. Solche Phishing-E-Mails werden täglich gemeldet.
Diese gefälschten File Delivery/Sharing-Phishings sind jedoch fast immer darauf angewiesen, vertrauenswürdige Online-Dienste zu manipulieren. Eine bösartige E-Mail kann wie Ihre typische Docusign-E-Mail aussehen, aber die Links verweisen auf gefährdete Websites, die die bösartigen Inhalte hosten, nicht auf Docusign selbst. Hin und wieder lässt sich vielleicht eine bösartige Datei sehen, die bei einem legitimen Datei-Hosting-Dienst gehostet wird, aber sie ist vergleichsweise selten (zumindest in der Welt des Phishings) und überlebt selten mehr als ein paar Stunden vor dem Herunterladen.
Eine der jüngsten Phishing-Kampagnen ist von diesem Muster abgewichen. Die folgende E-Mail stammt tatsächlich von WeTransfer – einem Cloud-basierten Dienst, der kostenlose Konten mit der Möglichkeit zum Senden von Dateien bis zu 2 GB anbietet:
Der Link in dieser E-Mail führt den Benutzer zu einer PDF-Datei, die er unter WeTransfer.com herunterladen kann:
Das PDF wiederum enthält einen bösartigen Link…..
…der auf einen Anmeldeinformations-Phishing-Link zu einer potenziell gefährdeten WordPress-Site hinweist.
Das Besondere an dieser Phishing-Runde ist, dass sie WeTransfer selbst verwendet, um die bösartigen Inhalte zu hosten und die Phishing-E-Mail zu versenden, die den gesamten Angriff auslöst. Auch Benutzer, die geschult sind, nach Phishing File Sharing oder Delivery-E-Mails zu suchen, können sich von dieser täuschen lassen, da die ursprüngliche E-Mail und der Download nicht so gefälscht werden, wie es die meisten ähnlichen bösartigen E-Mails sind.
WeTransfer scheint sich des Problems bewusst zu sein und entfernt bösartige Dateien, die gemeldet werden.
Zwischen dem Zeitpunkt der Entfernung und der Inbetriebnahme der bösartigen Datei sowie dem Zeitpunkt, zu dem sie heruntergeladen wird, sollten Benutzer skeptisch sein, wenn es um Dateien geht, die ihnen über WeTransfer gesendet werden, die sie aber nicht erwartet haben.
Fazit
Aller Erfahrung nach neigen Laien dazu, ihre eigenen Kenntnisse zu überschätzen, wenn das Thema Phishing-Angriffe angesprochen wird. Das allein sollte den IT-Administratoren ein Anliegen sein, denn selbstbewusste Mitarbeiter sind nach wie vor anfällig für die gängigsten Social-Engineering-Attacken, die hochgradig bösartige E-Mails als routinemäßige, unauffällige E-Mail-Kommunikation weitergeben.
Am bemerkenswertesten – und potenziell gefährlichsten – ist, dass etwa drei der vier von Mitarbeitern geöffneten Phishing-Kampagnen, ihre Opfer in Interaktionen mit erfahrenen Cyberkriminellen locken und in Situationen, in denen Mitarbeiter einen entscheidenden Nachteil haben werden. Besonders interessant wird es, wenn die Mitarbeiter von Angst oder Scham getrieben werden. Wenn die Angreifer bösartige Neuerungen im Bereich Social Engineering – dem Träger für bösartige Inhalte bei Phishing-Angriffen – veröffentlichen, ist es unerlässlich, dass Mitarbeiter regelmäßig an einem New School Security Awareness-Training teilnehmen, um sie auf das Neue und Unerwartete vorzubereiten. Genauso wichtig ist es, dass die IT-Profis über die Tools verfügen, um potenziell gefährliche Entscheidungen und Aktionen im Auge zu behalten. Cyberkriminelle suchen sich das schwächste Glied und dies sind untrainierte und dadurch leichtgläubige Mitarbeiter.