Arten von Phishing-Nachrichten, die Ihre E-Mail täuschen können

Es gibt kaum eine Form der Cyberkriminalität, die in Bezug auf Verbreitung und globale Auswirkungen mit Phishing mithalten kann. Es steht im Mittelpunkt bösartiger Kampagnen, die darauf abzielen, die Authentifizierungsdaten von Benutzern zu erhalten, Organisationen um Geld zu bitten oder Computerviren durch heimtückische E-Mails zu verbreiten.

Die jüngsten Ergebnisse von Sicherheitsanalysten zeigen das Gesamtbild. Mehr als 165.772 neue Phishing-Sites wurden im ersten Quartal 2020 entdeckt. Das FBI sagt, dass Business Email Compromise (BEC) eine eskalierende Art von Phishing ist, die sich auf Unternehmen konzentriert. Dies führt dazu, dass Unternehmen jährlich etwa 5 Milliarden US-Dollar durch betrügerische Überweisungen verlieren.

Cyberkriminelle erweitern ihr Genre

Diese verblüffenden Statistiken demonstrieren die Breite und Tiefe der Geißel. Es überrascht nicht, dass zahlreiche Sicherheitsfirmen und E-Mail-Anbieter Lösungen anbieten, die verhindern, dass betrügerische Nachrichten in den Posteingängen der Benutzer landen. Die immer effektiveren Abwehrmechanismen ermutigen die Betreiber von Phishing-Kampagnen, sich neue Methoden auszudenken, um die traditionellen Filter zu umgehen.

Das Umgehen von E-Mail-Filtern ist für Gauner inzwischen genauso wichtig wie das Anpassen von betrügerischen Nachrichten, deren Narrative im Gewissen der Empfänger die richtigen Fäden ziehen. Die folgenden Techniken haben kürzlich das Repertoire von Phishing-Betreibern erweitert, sodass ihre E-Mails keine Alarmsignale auslösen und trotz etablierter Gegenmaßnahmen ihr Ziel erreichen.

Empfohlen für Sie: Welche Rolle spielt künstliche Intelligenz (KI) in der Cybersicherheit?

Office 365-Anmeldeinformationen, die über Google Cloud Services gesammelt wurden

Cyber-Gauner hosten zunehmend Köderdateien und Phishing-Seiten auf beliebten Cloud-Diensten. Diese Taktik verleiht einem Betrug eine zusätzliche Ebene der Vertrauenswürdigkeit und Verschleierung, was es für sicherheitsbewusste Benutzer und Schutzsysteme zu einer großen Herausforderung macht, ihn zu erkennen.

Eine kürzlich von Forschern des Cybersicherheitsunternehmens Check Point aufgedeckte Kampagne zeigt, wie ausweichend diese Art von Betrug werden kann. Sein Köderelement ist ein PDF-Dokument, das auf Google Drive hochgeladen wird. Diese freigegebene Datei soll angeblich wichtige Geschäftsinformationen enthalten. Um es anzuzeigen, muss das Opfer jedoch auf die Schaltfläche „Auf Dokument zugreifen“ klicken, was zu einer Anmeldeseite führt, auf der nach Office 365-Authentifizierungsdetails oder einer Organisations-ID gefragt wird. Unabhängig davon, welche Option ausgewählt ist, wird ein Popup-Fenster angezeigt, in dem Sie nach den Outlook-Anmeldeinformationen des Benutzers gefragt werden.

Sobald E-Mail-Adresse und Passwort eingegeben sind, kann das Opfer endlich die PDF-Datei einsehen. Es handelt sich um einen legitimen Marketingbericht, der 2020 von einem bekannten Beratungsunternehmen herausgegeben wurde. Darüber hinaus werden die Seiten, die in verschiedenen Phasen dieses Angriffs erscheinen, auf Google Cloud Storage gehostet, sodass es kaum Hinweise darauf gibt, dass etwas eindeutig Böses vor sich geht .

Eine ernsthafte Falle, die durch die scheinbare Legitimität dieser Strategie überschattet wird, besteht darin, dass die Gauner die gültigen Office 365-Anmeldeinformationen des Opfers auf dem Weg erhalten. In den falschen Händen können diese Informationen zu einem Ausgangspunkt für effektive BEC-Betrügereien, Industriespionage und Malware-Verbreitung werden.

Irreführende E-Mails, die vorgeben, von vertrauenswürdigen Banken zu stammen

In jüngster Zeit haben Betrüger gefälschte Nachrichten hervorgebracht, die sich als beliebte Finanzinstitute wie Citigroup oder die Bank of America ausgeben. Die E-Mail weist den Benutzer an, seine E-Mail-Adressdaten zu aktualisieren, indem er auf einen Hyperlink klickt, der zu einer Nachbildung der Website der Bank führt. Um den Schwindel lebensecht aussehen zu lassen, verwenden die Verbrecher eine zusätzliche Seite, auf der die Sicherheitsabfrage des Empfängers abgefragt wird.

Eine der nachteiligen Inkonsistenzen besteht darin, dass die E-Mail unter dem Radar der meisten Filter rutscht, obwohl sie von einer @yahoo.com-Adresse gesendet wird. Denn die Übeltäter haben es nur auf wenige Mitarbeiter eines Unternehmens abgesehen. Da gängige Anti-Phishing-Lösungen auf eine große Anzahl ähnlicher oder identischer Nachrichten abgestimmt sind, können sie mehrere verdächtige E-Mails übersehen.

Ein weiteres Problem ist, dass die Nachricht von einem privaten E-Mail-Konto stammt. Dieser Umstand erschwert die Erkennung, da die herkömmlichen Verifizierungstools wie Domain-based Message Authentication, Reporting & Conformance (DMARC) sowie das Sender Policy Framework (SPF) nur E-Mails identifizieren, die die Quelldomäne vortäuschen.

Um das Ganze abzurunden, besteht die Credential-Phishing-Seite, die die offizielle Website der Bank nachahmt, alle Prüfungen mit Bravour. Das liegt daran, dass es kürzlich registriert wurde und daher noch nicht auf der schwarzen Liste steht. Es verwendet auch ein gültiges SSL-Zertifikat. Der Phishing-Link leitet Benutzer über einen legitimen Yahoo-Suchdienst um. All diese Macken, kombiniert mit ziemlich viel Druck im Text, kurbeln die Erfolgsquote dieser Kampagne an.

Entpacken Sie einen Anhang und lassen Sie sich infizieren

Einige Bedrohungsakteure verschleiern einen schädlichen Anhang in einem Rogue-Archiv, um die Erkennung zu vereiteln. Normalerweise enthält eine ZIP-Datei einen „End of Central Directory“ (EOCD)-Parameter. Es zeigt auf das letzte Element der Archivstruktur. Cyber-Gauner verwenden ein ZIP-Objekt mit einem zusätzlichen EOCD-Wert darin. Dies bedeutet, dass die Datei einen verschleierten Archivbaum enthält.

Bei der Verarbeitung durch Dekomprimierungstools, die sichere E-Mail-Gateways (SEGs) darstellen, erscheint der ZIP-Anhang harmlos, da seine „Ablenkungsmanöver“-Komponente normalerweise die einzige ist, die untersucht wird. Nach diesem Trick führt die extrahierte Datei heimlich einen Banking-Trojaner auf dem Rechner des Empfängers aus.

Verloren in der Übersetzung

Eine weitere gängige Strategie besteht darin, E-Mail-Filter durch Einbetten von Text in einer Fremdsprache zu täuschen. Einige Abwehrmechanismen sind so konfiguriert, dass eingehende Nachrichten nur auf Englisch oder die Muttersprache des Benutzers auf zweifelhafte Materialien gescannt werden.

In Anbetracht dessen können Gauner Phishing-E-Mails auf Russisch erstellen und einen Tipp mit der Aufschrift „Verwenden Sie den Google-Übersetzer“ hinzufügen. Infolgedessen gelangt die Nachricht in den Posteingang und das Opfer kann nach dem Lesen des übersetzten Textes auflegen.

Das könnte Ihnen gefallen: 17 coole Tipps zum Schreiben einer Cybersicherheitsrichtlinie, die nicht scheiße ist.

Ändern des HTML-Codes einer E-Mail

Eine weitere Möglichkeit für eine Phishing-Nachricht, an Schutzsystemen vorbeizuschlüpfen, besteht darin, die Textzeichenfolgen in ihrem HTML-Code umzukehren und die Informationen dann so weiterzuleiten, dass sie für den Empfänger völlig normal aussehen. Da sich der Inhalt des falsch dargestellten Quellcodes nicht mit bekannten Phishing-Vorlagen überschneidet, werden SEGs die Nachricht höchstwahrscheinlich ignorieren.

Eine äußerst heimtückische Kopie dieser Technik dreht sich um Cascading Style Sheets (CSS), ein Instrument, das verwendet wird, um Webdokumente mit Stilkomponenten wie Schriftgröße und -farbe, Hintergrundfarbe und Abstand zu ergänzen. Das faule Spiel läuft darauf hinaus, CSS falsch zu handhaben, um lateinische und arabische Skripte im rohen HTML-Code zusammenzuführen. Diese Skripte fließen in entgegengesetzte Richtungen, was es Gaunern erleichtert, den oben erwähnten Effekt der Textumkehrung zu erzielen. Infolgedessen täuscht die Nachricht die Verteidigung, während sie für Menschen lesbar bleibt.

Missbrauch gehackter SharePoint-Konten

Einige Phishing-Banden nutzen kompromittierte SharePoint-Konten, um ihre Betrügereien in Gang zu setzen. Die böse Logik beruht auf der Tatsache, dass SEGs Domänen vertrauen, die mit der seriösen kollaborativen Plattform von Microsoft verbunden sind. Der Link im E-Mail-Text führt zu einer SharePoint-Website. Daher behandeln Sicherheitssysteme es als harmlos und ignorieren die Nachricht.

Der Haken an der Sache ist, dass Kriminelle die Zielseite umfunktionieren, um ein zwielichtiges OneNote-Dokument anzuzeigen. Dies wiederum leitet zu einer Phishing-Seite mit Anmeldeinformationen weiter, die als OneDrive for Business-Anmeldeformular getarnt ist. Die Authentifizierungsdetails, die der ahnungslose Benutzer darin eingibt, werden sofort an den Server der Gauner gesendet.

Geben Sie Ihrem Phishing-Bewusstsein einen Schub, um sicher zu bleiben

E-Mail-Filter sind zweifellos ihr Geld wert. Sie spülen den Großteil der skizzenhaften Nachrichten aus, die in Ihren Posteingang geworfen werden. Die Lektion, die Sie aus den oben beschriebenen realen Angriffen lernen sollten, ist jedoch, dass es riskant ist, sich bedingungslos auf diese Systeme zu verlassen.

„Sie sollten Ihre Hausaufgaben machen und einige zusätzliche Tipps befolgen, um Ihre persönliche Anti-Phishing-Hygiene zu verbessern.“ – in einem kürzlich von Andrew Gitt, Senior Tech Specialist, Mitbegründer und Forschungsleiter bei VPNBrains, erwähnten Interview.

Andrew gibt in seinem Interview auch die folgenden Empfehlungen:

• Unterlassen Sie es, auf Links zu klicken, die in E-Mails eintreffen.
• Öffnen Sie keine Anhänge, die Sie von Fremden erhalten haben.
• Bevor Sie Ihren Benutzernamen und Ihr Passwort auf einer Anmeldeseite eingeben, vergewissern Sie sich, dass es sich um HTTPS oder HTTP handelt.
• Wenn eine E-Mail echt aussieht und Sie das Risiko eingehen möchten, auf einen eingebetteten Link zu klicken, überprüfen Sie zuerst die URL auf Tippfehler und andere Werbegeschenke.
• Lesen Sie eingehende E-Mails sorgfältig durch und überprüfen Sie den Text auf Rechtschreib-, Grammatik- und Zeichensetzungsfehler. Wenn Sie solche Fehler bemerken, handelt es sich höchstwahrscheinlich um einen Betrug.
• Ignorieren und löschen Sie E-Mails, die Sie dazu drängen, etwas zu tun. Beispielsweise legen Phisher oft eine Art Frist fest, damit die Leute einen Fehler machen. Fallen Sie nicht auf solche Tricks rein.
• Hüten Sie sich vor E-Mails, deren Inhalte im Hinblick auf Ihre täglichen Arbeitsaufgaben von der Norm abweichen.
• Wenn Sie eine Nachricht von einem leitenden Manager erhalten, in der Sie um eine Überweisung gebeten werden, überprüfen Sie diese, indem Sie die Person telefonisch oder persönlich kontaktieren. Die Chancen stehen gut, dass Sie es mit einem Betrüger zu tun haben, der das E-Mail-Konto des Kollegen übernommen hat.
• Achten Sie darauf, welche Informationen Sie in sozialen Netzwerken teilen. Böswillige Akteure sind geschickt darin, Open-Source-Intelligenz (OSINT) durchzuführen, sodass sie Ihre öffentlich zugänglichen personenbezogenen Daten gegen Sie wenden können.
• Wenn Sie eine Führungskraft sind, stellen Sie sicher, dass Sie ein Phishing-Schulungsprogramm für Ihre Mitarbeiter einrichten.
• Aktivieren Sie eine Firewall und installieren Sie effektive Online-Sicherheitssoftware mit integrierter Anti-Phishing-Funktion.

Das könnte Ihnen auch gefallen: Wie schützen Sie Ihren PC vor Cyber-Angriffen, Tracking und Malware?

Letzte Worte

Wann immer White Hats einen neuen Präventionsmechanismus entwickeln, tun Cyberkriminelle ihr Bestes, um sie zu überlisten. Ein aufkommender und sehr vielversprechender Sicherheitstrend in dieser Hinsicht ist der Einsatz von künstlicher Intelligenz und maschinellem Lernen, um Phishing-Versuche zu identifizieren. Hoffentlich wird dieser Ansatz dafür sorgen, dass die Verteidigung den Angriffsvektoren einen Schritt voraus ist, egal wie ausgefeilt sie sind.

Im Moment ist das Beste, was Sie tun können, wachsam zu bleiben und das Beste aus traditionellen Anti-Phishing-Tools zu machen, die in den meisten Fällen Wunder wirken.