Lesezeit: 7 Min.
Nachdem INTERPOL eine „Phishing-as-a-Service“-Operation, die Tausende von Opfern in 43 Ländern betraf, eingestellt hatte, stellte es kürzlich fest, „Cyberangriffe wie Phishing mögen zwar grenzübergreifend und virtuell sein, aber ihre Auswirkungen auf die Opfer sind real und verheerend.“ Die Kompromittierung geschäftlicher E-Mail-Konten (BEC) ist eine Art von Angriff ohne Schadsoftware, bei dem Empfänger beispielsweise zur Überweisung von Geldern verleitet werden. Laut FBI hat diese Betrugsmasche weltweit bereits Schäden von über 50 Milliarden US-Dollar verursacht.
Schätzungen zufolge beginnen 90 % der erfolgreichen Cyberangriffe mit E-Mail-Phishing, das für Angreifer nach wie vor sehr lukrativ ist. Phishing-Versuche lassen sich derzeit nur schwer vollständig unterbinden. Um erfolgreiche Angriffe zu verhindern, ist es jedoch wichtig, die aufkommenden Phishing-Trends zu verstehen (und proaktiv darauf zu reagieren) — einschließlich der Methoden, mit denen Angreifer das Vertrauen der Opfer in „bekannte“ E-Mail-Absender geschickt ausnutzen. Darum hat Cloudflare diese Woche seinen ersten Bericht zu Phishing-Bedrohungen veröffentlicht.
Dieser Bericht untersucht wichtige Phishing-Trends und zugehörige Empfehlungen auf der Grundlage von E-Mail-Sicherheitsdaten aus dem Zeitraum Mai 2022 bis Mai 2023. In dieser Zeit hat Cloudflare etwa 13 Milliarden E-Mails verarbeitet, darunter die Blockierung von etwa 250 Millionen schädlichen Nachrichten, die nicht in die Posteingänge der Kunden gelangten. Der Bericht stützt sich auch auf eine von Cloudflare in Auftrag gegebene Umfrage unter 316 Sicherheitsverantwortlichen in Nordamerika, EMEA und APAC (Sie können diese separate Studie hier herunterladen).
Lesen Sie den vollständigen Bericht, um unsere drei wichtigsten Erkenntnisse nachvollziehen zu können:
Warum Angreifer betrügerische Links als Phishing-Taktik Nr. 1 nutzen — und wie sie immer neue Methoden entwickeln, wie sie Sie zum Klicken bringen und wann sie den Link als Waffe einsetzen;
Identitätstäuschung kann verschiedene Formen annehmen (einschließlich der Übernahme geschäftlicher E-Mail-Konten und Markennachahmung), und die E-Mail-Authentifizierungsstandards leicht umgehen;
Angreifer imitieren Hunderte von verschiedenen Organisationen, zumeist geben sie sich jedoch als jene Einrichtungen aus, denen wir vertrauen (und die wir für unsere Arbeit benötigen).
Beim Lesen des Berichts zu Phishing-Bedrohungen 2023 sollten Sie auch einige andere Dinge im Auge behalten.
Kategorisierung von E-Mail-Bedrohungen
Angreifer kombinieren in der Regel Social Engineering und technische Verschleierungstechniken, um ihre Nachrichten legitim erscheinen zu lassen. Deshalb setzt Cloudflare eine Reihe fortschrittlicher Erkennungstechniken ein, um „unklare“ Signale zu analysieren – also nicht nur Inhalte, die mit bloßem Auge sichtbar sind –, um unerwünschte E-Mails zu identifizieren. Diese Signale umfassen:
Strukturanalyse von Headern, Texten, Bildern, Links, Anhängen, Nutzlasten und weiteren Signalen unter Verwendung von Heuristiken und Machine-Learning-Modellen, die speziell für Phishing-Signale entwickelt wurden;
Sentimentanalyse zur Erkennung von Veränderungen in Mustern und Verhaltensweisen (z. B. Schreibmuster und Ausdrücke);
Vertrauensgraphen, die soziale Graphen von Partnern, den E-Mail-Versandverlauf und potenzielle Fälle der Nachahmung von Partnern auswerten
Unser E-Mail-Sicherheitsservice umfasst auch Bedrohungsdaten aus dem globalen Netzwerk von Cloudflare, das jeden Tag durchschnittlich 140 Milliarden Cyberbedrohungen blockiert.
Diese und viele andere Signale führen dazu, dass E-Mails als schädlich, BEC, Spoof oder Spam eingestuft werden. Unser Dashboard zeigt den Kunden die spezifischen Gründe (d. h. die Kategorien der Bedrohungsindikatoren) für eine bestimmte E-Mail-Einstufung an.
Nachfolgend finden Sie eine Momentaufnahme der wichtigsten E-Mail-Bedrohungsindikatoren, die wir zwischen dem 2. Mai 2022 und dem 2. Mai 2023 festgestellt haben. Wir kategorisieren Bedrohungsindikatoren in mehr als 30 verschiedene Kategorien. Zu den wichtigsten Bedrohungsindikatoren in diesem Zeitraum gehörten betrügerische Links, Domainalter (neu registrierte Domains), Identitätstäuschung, Diebstahl von Anmeldedaten und Markennachahmung.
Nachfolgend finden Sie kurze Beschreibungen der einzelnen Hauptkategorien (ausführlicher im Anhang des Berichts).
Wenn ein betrügerischer Link angeklickt wird, öffnet er den Standard-Webbrowser des Nutzenden und rendert die im Link referenzierten Daten oder öffnet direkt eine Anwendung (z. B. eine PDF). Da der Anzeigetext für einen Link (d. h. Hypertext) in HTML beliebig eingestellt werden kann, können Angreifer eine URL so aussehen lassen, als ob sie auf eine harmlose Website verweist, obwohl sie in Wirklichkeit schädlich ist.
Das Domainalter hängt mit der Domainreputation zusammen, d. h. der Gesamtbewertung bzw. Gesamtpunktzahl einer Domain. So haben beispielsweise Domains, die unmittelbar nach der Registrierung zahlreiche neue E-Mails versenden, tendenziell eine schlechtere Reputation und damit eine niedrigere Punktzahl (also schlechtere Gesamtbewertung).
Identitätstäuschung: Sie geschieht, wenn ein Angreifer oder eine Person mit böswilligen Absichten eine E-Mail sendet, die vorgibt, von einer anderen Person zu stammen. Die Mechanismen und Taktiken hierfür sind sehr unterschiedlich. Einige Taktiken umfassen die Registrierung von Domains, die ähnlich aussehen (auch bekannt als Domainnachahmung), gefälscht sind, oder Tricks im Anzeigenamen verwenden, um den Anschein zu erwecken, dass sie von einer vertrauenswürdigen Domain stammen. Andere Varianten umfassen das Versenden von E-Mails unter Verwendung von Domain-Fronting und hoch angesehenen Web-Service-Plattformen.
Gefälschte Anmeldeseiten („Credential Harvester“) werden von Angreifern eingerichtet, um Nutzende zur Eingabe ihrer Anmeldedaten zu verleiten. Unwissende Nutzende geben möglicherweise ihre Anmeldeinformationen ein, wodurch Angreifer letztendlich Zugriff auf ihre Konten erhalten.
Markennachahmung ist eine Form der Identitätstäuschung, bei der ein Angreifer eine Phishing-Nachricht sendet, die so wirkt, als würde sie von einem bekannten Unternehmen oder einer Marke stammen. Markenimitation wird mit einer Vielzahl von Techniken durchgeführt.
Ein Anhang zu einer E-Mail, der beim Öffnen oder Ausführen im Rahmen eines Angriffs einen Call-to-Action enthält (z. B. lockt die Zielperson dazu, auf einen Link zu klicken) oder führt eine Reihe von Aktionen aus, die von einem Angreifer festgelegt wurden.
Cloudflare stellt regelmäßig mehrere Bedrohungsindikatoren in einer Phishing-E-Mail fest. Zum Beispiel kombinierte eine Phishing-Kampagne der Silicon Valley Bank (ausführlich beschrieben in diesem Blog-Beitrag vom März 2023) eine Markennachahmung mit einem betrügerischen Link und einem schädlichen Anhang.
Die Angreifer nutzten die Marke SVB in einer Vorlage im DocuSign-Design. Die E-Mail enthielt HTML-Code, der einen ersten Link und eine komplexe, vierstufige Weiterleitungskette enthält. Die in den Angriff eingebundene HTML-Datei hätte den Empfänger zu einer WordPress-Instanz geschickt, die eine rekursive Weiterleitung ermöglicht.
(Apropos Links: Betrügerische Links waren die Bedrohungskategorie Nr. 1 und traten in 35,6 % unserer Erkennungen auf. Und die Angreifer nutzen nicht nur Links in E-Mail-Kanälen; der Bericht behandelt auch ausführlich die Zunahme von Phishing-Bedrohungen über mehrere Kanäle („Multi-Channel-Phishing“), die andere Anwendungen wie SMS/Text, Chat und soziale Medien ausnutzen).
Vertrauenswürdige (und am meisten nachgemachte) Marken
Die Silicon Valley Bank war nur eine von etwa 1.000 verschiedenen Marken, die wir zwischen Mai 2022 und Mai 2023 in E-Mails beobachtet haben, die auf Cloudflare-Kunden abzielten. (Cloudflare-Mitarbeitende waren im Juli 2022 das Ziel des Phishing-Angriffs mittels Markennachahmung, den die Cloudflare One-Produktreihe vereitelte.)
Wie im Bericht zu Phishing-Bedrohungen ausführlich beschrieben, haben wir jedoch festgestellt, dass sich E-Mail-Angreifer am häufigsten (in 51,7 % der Fälle) als eine von 20 bekannten globalen Marken ausgaben, wobei Microsoft auf Rang 1 dieser Liste stand.
| Rang |
Nachgeahmte Marke |
| 1 |
Microsoft |
| 2 |
World Health Organization |
| 3 |
Google |
| 4 |
SpaceX |
| 5 |
Salesforce |
| 6 |
Apple |
| 7 |
Amazon |
| 8 |
T-Mobile |
| 9 |
YouTube |
| 10 |
MasterCard |
| 11 |
Notion.so |
| 12 |
Comcast |
| 13 |
Line Pay |
| 14 |
MasterClass |
| 15 |
Box |
| 16 |
Truist Financial Corp |
| 17 |
Facebook |
| 18 |
Instagram |
| 19 |
AT&T |
| 20 |
Louis Vuitton |
Beispiel für einen versuchten Diebstahl von Anmeldedaten, bei dem sich Angreifer als Microsoft ausgaben
Anfang dieses Jahres entdeckte und blockierte Cloudflare eine Phishing-Kampagne, bei der sich die Angreifer als Microsoft ausgaben und versuchten, über eine legitime – aber kompromittierte – Website Zugangsdaten zu stehlen.
In der nachfolgenden E-Mail ist trotz ihres Aussehens kein Text im Textkörper enthalten. Der gesamte Textkörper ist ein mit einem Hyperlink versehenes JPEG-Bild. Wenn der Empfänger also irgendwo im Textteil klickt (auch wenn er nicht die Absicht hat, auf den Link zu klicken), klickt er tatsächlich auf den Link.
Auf den ersten Blick scheint der Hyperlink für dieses Bild eine harmlose Baidu-URL zu sein – hxxp://www.baidu[.]com/link?url=-yee3T9X9U41UHUa3VV6lx1j5eX2EoI6XpZqfDgDcf-2NYQ8RVpOn5OYkDTuk8Wg#<Base64-codierte E-Mail-Adresse des Empfängers>. Wenn jedoch auf diesen Link geklickt wird, wird der Browser der Zielperson auf eine Website umgeleitet, die kompromittiert und als Host für eine gefälschte Anmeldeseite genutzt wurde.
Der Angreifer nutzte das Branding von Microsoft Office 365, versuchte jedoch, jegliche Techniken zur Erkennung der Marke zu umgehen, indem er die Markeninformationen in das Bild einfügte (d. h. es gab keinen Klartext oder HTML-Text, der zur Identifizierung der Marke untersucht werden konnte).
Mithilfe der optischen Zeichenerkennung (OCR) konnte Cloudflare jedoch „Office 365“ und „Microsoft“ in dem Bild identifizieren. Mithilfe von OCR konnten wir auch die Verwendung verdächtiger Kontoköder in Verbindung mit Passwörtern feststellen.
In diesem Beispiel verwendeten die Angreifer unter anderem folgende Techniken:
Ausschließlich ein JPEG-Bild (Erkennung von Wörtern ohne OCR unmöglich)
Einbetten eines Hyperlinks in das Bild (ein Klick auf eine beliebige Stelle des Textes würde zum Anklicken des Links führen)
Hyperlink zu einer Baidu-URL (zur Umgehung reputationsbasierter URL-Erkennungstechniken)
Die Baidu-URL, die den Browser des Empfängers auf eine gefälschte Anmeldeseite umleitet (d. h. sie würde andere E-Mail-Sicherheitsvorkehrungen umgehen, die nicht in der Lage sind, tiefe Links zu untersuchen)
Hosting der gefälschten Anmeldeseite auf einer legitimen Website, die vom Angreifer kompromittiert wurde (selbst mit Deep Link Inspection wird erneut versucht, URL-Erkennungstechniken auf der Grundlage der Reputation zu umgehen)
Dieser Angriffsvektor nutzt die hohe Reputation und Authentizität von Baidu aus, um die Reputation des echten Hosts/IP zu umgehen, auf dem die gefälschte Anmeldeseite gehostet wird.
Obwohl sich diese spezielle Kampagne auf das Sammeln von Microsoft-Anmeldedaten konzentrierte, beobachten wir häufig, dass Angreifer ähnliche Methoden anwenden, um Markenerkennungstechniken zu umgehen und Opfer dazu zu bringen, Malware und andere bösartige Nutzlasten herunterzuladen.
URL-Umleitungstechniken werden häufig in Phishing-Kampagnen eingesetzt. Bedrohungsakteure verfeinern ihre Methode jedoch weiter, indem sie immer mehr legitime Domains wie baidu.com missbrauchen, bing.com, goo.gl, usw. Unsere zahlreichen Erkennungsfunktionen ermöglichen es uns, URLs mit Weiterleitungstechniken aller Art tiefgehend zu untersuchen, einschließlich solcher, die legitime Domains missbrauchen.
Was ist mit SPF, DKIM und DMARC?
E-Mail-Authentifizierung (insbesondere die SPF-, DKIM- und DMARC-Standards) werden häufig als nützlicher Schutz gegen Markennachahmung erwähnt: Diese Standards helfen, die Herkunft von Servern und Mandanten zu überprüfen, die Integrität von Nachrichten zu schützen, die Durchsetzung von Richtlinien zu gewährleisten und vieles mehr.
Dennoch können Angreifer immer noch Wege finden, die Authentifizierung zu umgehen, um E-Mail-Suites auszutricksen. Überraschenderweise stellten wir fest, dass 89 % der unerwünschten Nachrichten die SPF-, DKIM- und/oder DMARC-Prüfungen „bestanden“.
Einige Beschränkungen der E-Mail-Authentifizierung sind:
SPF
(Sender Policy Framework) |
Wichtigste Vorteile:
Überprüfung des Server-Ursprungs (d. h. Überprüfung, woher eine Nachricht stammt).
Es wird festgelegt, welche E-Mail-Server und Dienste im Namen eines Domaininhabers Nachrichten versenden dürfen |
Einschränkungen:
Verhindert nicht das Spoofing
(die Fälschung) mittels ähnlicher E-Mail-, Domain- oder Anzeigenamen. Validiert den „From“-Header nicht; verwendet den Umschlag „From“ zur Bestimmung der versendenden Domain
Validierung unwirksam, wenn E-Mails weitergeleitet werden, oder wenn an eine Mailingliste gesendete Nachrichten an jeden Abonnenten gesendet werden
SPF-Bewertungsprozess kann auf eine bestimmte Anzahl von DNS-Lookups beschränkt sein
Schützt nicht vor Angriffen mit „validierten“ E-Mails mit eingebetteten URLs, schädlichen Nutzlasten oder Anhängen |
DKIM
(Domain Keys Identified Mail) |
Wichtigste Vorteile:
Validierung des Ursprungs des Mandanten (d. h. Überprüfung, ob eine E-Mail vom Inhaber der Domain mittels einer digitalen Signatur gesendet/autorisiert wurde)
Sicherstellung, dass E-Mails während der Übertragung von Server zu Server nicht verändert werden; Schutz der Integrität von Nachrichten |
Einschränkungen:
Verhindert keine Spoofing-Angriffe auf E-Mail-Adressen, Domains oder Anzeigenamen
Schützt nicht vor Replay-Angriffen (DKIM signiert nur bestimmte Teile einer Nachricht. Angreifer können E-Mails, die DKIM bestehen, andere Header-Felder hinzufügen und sie dann weiterleiten.)
Schützt nicht vor Angriffen mit „validierten“ E-Mails mit eingebetteten URLs, schädlichen Nutzlasten oder Anhängen |
| DMARC („Domain-based Message Authentication, Reporting and Conformance“) |
Wichtigste Vorteile:
Durchsetzung von Richtlinien und Berichterstattung für SPF und DKIM.
Festlegung von Richtlinien, die zu befolgen sind, wenn eine E-Mail die SPF- oder DKIM-Authentifizierung nicht besteht (z. B. Verwerfen/Löschen, Quarantäne, keine Richtlinie/Senden).
Die Reporting-Funktion ermöglicht Domaininhabern einzusehen, wer E-Mails in ihrem Namen versendet – und schützt so vor Domain-Spoofing und Markenmissbrauch. |
Einschränkungen:
Verhindert nicht das Spoofing der Domain einer anderen Marke
Verhindert nicht das Spoofing von ähnlich aussehenden E-Mails, Domains oder Anzeigenamen
Domaininhaber legen fest, für welchen Prozentsatz der E-Mails DMARC-Richtlinien gelten; Prozentsätze von weniger als 100 % sind weniger effektiv
Schützt nicht vor Angriffen mit „validierten“ E-Mails mit eingebetteten URLs, schädlichen Nutzlasten oder Anhängen |
Die Angreifer entwickeln ihre Taktiken ständig weiter. Bevor, während und nachdem die E-Mails den Posteingang erreichen, müssen mehrere Schutzstufen aktiviert werden. Cloudflare „vertraut“ niemals automatisch irgendeiner Art von E-Mail-Kommunikation (unabhängig davon, ob sie intern, extern oder von einem „bekannten“ Geschäftspartner zu sein scheint).
Ebenso empfehlen wir allen Unternehmen, das Zero-Trust-Sicherheitsmodell mit der allgemeinen Philosophie „niemals vertrauen, immer überprüfen“ nicht nur auf das Netzwerk und die Anwendungen, sondern auch auf den E-Mail-Posteingang auszuweiten.
Zusätzlich zur Sicherung von E-Mails mit einem Zero-Trust-Ansatz empfehlen wir auch:
Ergänzung von Cloud-E-Mails mit mehreren Anti-Phishing-Kontrollen. Wie in diesem Forrester-Blogbeitrag vom Juni erwähnt, „Die Nutzung von Messaging-, Collaboration-, File-Sharing- und Enterprise-Software-as-a-Service-Anwendungen über mehrere Geräte hinweg trägt zur Produktivität und Erfahrung der Mitarbeitenden bei. Viele dieser Umgebungen gelten als „geschlossen“, aber ein erfolgreicher Phishing-Angriff auf die Anmeldedaten eines Partners in der Lieferkette macht Ihr Unternehmen anfällig für Datenverlust, Diebstahl von Anmeldedaten, Betrug und Ransomware-Angriffe. Die für den E-Mail-Posteingang entwickelten Schutzmaßnahmen müssen sich auch auf diese Umgebungen und auf die täglichen Arbeitsabläufe Ihrer Mitarbeitenden erstrecken.”
Einführung einer Phishing-resistenten Multi-Faktor-Authentifizierung (MFA). Zwar bietet nicht jede MFA das gleiche Maß an Sicherheit, doch gehören Hardware-Sicherheitsschlüssel zu den sichersten Authentifizierungsmethoden, um erfolgreiche Phishing-Angriffe zu verhindern. Sie können Netzwerke selbst dann schützen, wenn Angreifer an Benutzernamen und Kennwörter gelangen.
Damit es für Menschen schwieriger wird, Fehler zu begehen. Holen Sie Mitarbeitende und Teams dort ab, wo sie stehen, indem Sie die Tools, die sie bereits nutzen, sicherer machen und verhindern, dass sie Fehler machen. So kann beispielsweise die Technologie der Remote-Browserisolierung (RBI), wenn sie in die Cloud-E-Mail-Sicherheit integriert wird, verdächtige E-Mail-Links automatisch isolieren, um zu verhindern, dass Nutzende potenziell schädlichen Webinhalten ausgesetzt werden. Tastatureingaben können auch auf nicht vertrauenswürdigen Websites deaktiviert werden, um Nutzende vor versehentlicher Eingabe sensibler Informationen beim Ausfüllen von Formularen oder beim Diebstahl von Anmeldedaten zu schützen. Dies bietet eine Verteidigungsebene gegen Multi-Channel-Phishing-Angriffe, da Benutzer effektiv Links sicher öffnen können, ohne ihren Arbeitsablauf zu unterbrechen.
Wenn Sie an den vollständigen Ergebnissen interessiert sind, können Sie den Bericht zu Phishing-Bedrohungen 2023 hier sowie unsere Empfehlungen zur Verhinderung erfolgreicher Phishing-Angriffe herunterladen. Und wenn Sie die E-Mail-Sicherheit von Cloudflare in Aktion sehen möchten, können Sie hier eine kostenlose Analyse Ihres Phishing-Risikos anfordern.