Nachdem INTERPOL einer „Phishing-as-a-Service“-Operation, die Tausende von Opfern in 43 Ländern betraf, ein Ende gesetzt hatte, stellte es kürzlich fest, „Cyberangriffe wie Phishing mögen zwar grenzübergreifend und virtuell sein, aber ihre Auswirkungen auf die Opfer sind real und verheerend.“ Die Übernahme geschäftlicher E-Mail-Konten (BEC), eine Angriffsart ohne Malware, bei denen die Empfänger dazu gebracht werden, Geldbeträge zu überweisen, hat die Opfer nach Angaben des FBI weltweit mehr als 50 Milliarden USD gekostet.
Schätzungen zufolge beginnen 90 % der erfolgreichen Cyberangriffe mit E-Mail-Phishing, das für Angreifer nach wie vor sehr lukrativ ist. Man kann heute nicht viel tun, um Phishing-Versuche zu unterbinden. Um erfolgreiche Angriffe zu verhindern, ist es jedoch wichtig, die aufkommenden Phishing-Trends zu verstehen (und proaktiv darauf zu reagieren) — einschließlich der Methoden, mit denen Angreifer das Vertrauen der Opfer in „bekannte“ E-Mail-Absender geschickt ausnutzen. Darum hat Cloudflare diese Woche seinen ersten https://www.cloudflare.com/lp/2023-phishing-report/Bericht zu Phishing-Bedrohungen veröffentlicht.
Dieser Bericht untersucht die wichtigsten Phishing-Trends und die damit verbundenen Empfehlungen, basierend auf E-Mail-Sicherheitsdaten aus dem Zeitraum von Mai 2022 bis Mai 2023. In diesem Zeitraum verarbeitete Cloudflare etwa 13 Milliarden E-Mails und blockierte etwa 250 Millionen schädliche Nachrichten, die nicht in die Posteingänge der Kunden gelangen konnten. Der Bericht stützt sich auch auf eine von Cloudflare in Auftrag gegebene Umfrage unter 316 Sicherheitsverantwortlichen in Nordamerika, EMEA und APAC (Sie können diese separate Studie hier herunterladen).
Lesen Sie den vollständigen Bericht, um unsere drei wichtigsten Erkenntnisse nachvollziehen zu können:
- Angreifer nutzen betrügerische Links als Phishing-Taktik Nr. 1 — und wie sie immer neue Methoden entwickeln, wie sie Sie zum Klicken bringen und wann sie den Link als Waffe einsetzen;
- Identitätstäuschung kann verschiedene Formen annehmen (einschließlich der Übernahme geschäftlicher E-Mail-Konten und Markennachahmung) und die E-Mail-Authentifizierungsstandards leicht umgehen;
- Angreifer geben sich als Hunderte von verschiedenen Organisationen aus, zumeist geben sie sich jedoch als jene Einrichtungen aus, denen wir vertrauen (und die wir für unsere Arbeit benötigen).
Beim Lesen des Berichts zu Phishing-Bedrohungen 2023 sollten Sie auch einige andere Dinge im Auge behalten.
Kategorisierung von E-Mail-Bedrohungen
Angreifer kombinieren in der Regel Social Engineering und technische Verschleierungstechniken, um ihre Nachrichten legitim erscheinen zu lassen. Daher verwendet Cloudflare eine Reihe fortschrittlicher Erkennungstechniken, um „unklare“ Signale zu analysieren (nicht nur die für jedermann ersichtlichen Inhalte). So werden unerwünschte E-Mails identifiziert werden. Zu diesen Signalen zählen:
- Strukturanalyse von Headern, Texten, Bildern, Links, Anhängen, Nutzlasten und weiteren Signalen unter Verwendung von Heuristiken und Machine-Learning-Modellen, die speziell für diese Signale entwickelt wurden;
- Sentimentanalyse zur Erkennung von Veränderungen in Mustern und Verhaltensweisen (z. B. Schreibmuster und Ausdrücke);
- Vertrauensgraphen, die soziale Graphen von Partnern, den E-Mail-Versandverlauf und potenzielle Fälle der Nachahmung von Partnern auswerten
Unser E-Mail-Sicherheitsservice umfasst auch Bedrohungsdaten aus dem globalen Netzwerk von Cloudflare, das jeden Tag durchschnittlich 140 Milliarden Cyberbedrohungen blockiert.
Diese und viele andere Signale führen dazu, dass E-Mails als schädlich, BEC, Spoof oder Spam eingestuft werden. Unser Dashboard zeigt den Kunden die spezifischen Gründe (d. h. die Kategorien der Bedrohungsindikatoren) für eine bestimmte E-Mail-Einstufung an.
Unten sehen Sie eine Momentaufnahme der wichtigsten E-Mail-Bedrohungsindikatoren, die wir zwischen dem 2. Mai 2022 und dem 2. Mai 2023 festgestellt haben. Wir kategorisieren Bedrohungsindikatoren in mehr als 30 verschiedene Kategorien. Zu den wichtigsten Bedrohungsindikatoren in diesem Zeitraum gehörten betrügerische Links, Domainalter (neu registrierte Domains), Identitätstäuschung, Diebstahl von Anmeldedaten und Markennachahmung.
Nachfolgend finden Sie kurze Beschreibungen der einzelnen Hauptkategorien (ausführlicher im Anhang des Berichts).
Wenn ein betrügerischer Link angeklickt wird, öffnet er den Standard-Webbrowser des Nutzers und rendert die Daten, auf die im Link verwiesen wird, oder er öffnet direkt eine Anwendung (z. B. ein PDF). Da der Anzeigetext für einen Link (d. h. Hypertext) in HTML beliebig eingestellt werden kann, können Angreifer eine URL so aussehen lassen, als ob sie auf eine harmlose Website verweist, obwohl sie in Wirklichkeit schädlich ist.
Das Domainalter hängt mit der Domainreputation zusammen, d. h. der Gesamtbewertung bzw Gesamtpunktzahl einer Domain. So haben beispielsweise Domains, die unmittelbar nach der Registrierung zahlreiche neue E-Mails versenden, tendenziell eine schlechtere Reputation und damit eine niedrigere Punktzahl (also schlechtere Gesamtbewertung).
Identitätstäuschung: Sie geschieht, wenn ein Angreifer oder eine Person mit böswilligen Absichten eine E-Mail sendet, die vorgibt, von einer anderen Person zu stammen. Die Mechanismen und Taktiken hierfür sind sehr unterschiedlich. Einige Taktiken umfassen die Registrierung von Domains, die ähnlich aussehen (auch bekannt als Domainnachahmung), gefälscht sind, oder Tricks im Anzeigenamen verwenden, um den Anschein zu erwecken, dass sie von einer vertrauenswürdigen Domain stammen. Andere Varianten umfassen das Versenden von E-Mails unter Verwendung von Domain-Fronting und hoch angesehenen Web-Service-Plattformen.
Gefälschte Anmeldeseiten („Credential Harvester“) werden von Angreifern eingerichtet, um Nutzer zur Eingabe ihrer Anmeldedaten zu verleiten. Unwissende Nutzer können ihre Anmeldedaten eingeben und Angreifern so Zugang zu ihren Konten verschaffen.
Markennachahmung (d. h. sich als eine bestimmte Marke ausgeben) ist eine Form der Identitätstäuschung, bei der ein Angreifer eine Phishing-Nachricht sendet, die so wirkt, als würde sie von einem bekannten Unternehmen oder einer Marke stammen. Markennachahmung wird mit einer breiten Palette von Techniken durchgeführt.
Ein Anhang zu einer E-Mail, der beim Öffnen oder Ausführen im Rahmen eines Angriffs einen Handlungsaufruf enthält (z. B. die Zielperson dazu verleitet, auf einen Link zu klicken) oder eine Reihe von Aktionen ausführt, die von einem Angreifer festgelegt wurden.
Cloudflare stellt regelmäßig mehrere Bedrohungsindikatoren in einer Phishing-E-Mail fest. Zum Beispiel kombinierte eine Phishing-Kampagne der Silicon Valley Bank (ausführlich beschrieben in diesem Blog-Beitrag vom März 2023) eine Markennachahmung mit einem betrügerischen Link und einem schädlichen Anhang.
Die Angreifer nutzten die Marke SVB in einer Vorlage im DocuSign-Design.Die E-Mail enthielt HTML-Code, der einen ersten Link und eine komplexe, vierstufige Weiterleitungskette enthält.Die in den Angriff eingebundene HTML-Datei hätte den Empfänger zu einer WordPress-Instanz geschickt, die eine rekursive Weiterleitung ermöglicht.
(Apropos Links: Betrügerische Links waren die Bedrohungskategorie Nr. 1, die in 35,6 % unserer Erkennungen auftrat. Und die Angreifer nutzen nicht nur Links in E-Mail-Kanälen; der Bericht behandelt auch ausführlich die Zunahme von Phishing-Bedrohungen über mehrere Kanäle („Multi-Channel-Phishing“), die andere Anwendungen wie SMS/Text, Chat und soziale Medien ausnutzen.
Vertrauenswürdige (und am meisten nachgemachte) Marken
Die Silicon Valley Bank war nur eine von ca. 1.000 verschiedenen Marken, als die sich Angreifer in E-Mails an Cloudflare-Kunden zwischen Mai 2022 und Mai 2023 ausgaben. (Cloudflare-Mitarbeitende wurden im Rahmen des „Oktapus“-Phishing-Angriffs, der im Juli 2022 durch die Cloudflare One-Produktreihe vereitelt wurde, direkt mittels Markennachahmung ins Visier genommen).
Wie im Bericht zu Phishing-Bedrohungen ausführlich beschrieben, haben wir jedoch festgestellt, dass sich E-Mail-Angreifer am häufigsten (in 51,7 % der Fälle) als eine von 20 bekannten globalen Marken ausgaben, wobei Microsoft auf Rang 1 dieser Liste stand.
| Rang | Nachgeahmte Marke |
|---|---|
| 1 | Microsoft |
| 2 | World Health Organization |
| 3 | |
| 4 | SpaceX |
| 5 | Salesforce |
| 6 | Apple |
| 7 | Amazon |
| 8 | T-Mobile |
| 9 | YouTube |
| 10 | MasterCard |
| 11 | Notion.so |
| 12 | Comcast |
| 13 | Line Pay |
| 14 | MasterClass |
| 15 | Box |
| 16 | Truist Financial Corp |
| 17 | |
| 18 | |
| 19 | AT&T |
| 20 | Louis Vuitton |
Beispiel für einen versuchten Diebstahl von Anmeldedaten, bei dem sich Angreifer als Microsoft ausgaben
Anfang dieses Jahres entdeckte und blockierte Cloudflare eine Phishing-Kampagne, bei der sich die Angreifer als Microsoft ausgaben und versuchten, über eine legitime – aber kompromittierte – Website Zugangsdaten zu stehlen.
In der nachfolgenden E-Mail ist trotz ihres Aussehens kein Text im Textkörper enthalten.Der gesamte Textkörper ist ein mit einem Hyperlink versehenes JPEG-Bild.Wenn der Empfänger also irgendwo im Textteil klickt (auch wenn er nicht die Absicht hat, auf den Link zu klicken), klickt er tatsächlich auf den Link.
Auf den ersten Blick scheint der Hyperlink für dieses Bild eine harmlose Baidu-URL zu sein – hxxp://www.baidu[.]com/link?url=-yee3T9X9U41UHUa3VV6lx1j5eX2EoI6XpZqfDgDcf-2NYQ8RVpOn5OYkDTuk8Wg#<Empfänger-E-Mail-Adresse verschlüsselt>. Wird dieser Link jedoch angeklickt, wird der Browser der Zielperson auf eine Website umgeleitet, die kompromittiert wurde und als Host für eine gefälschte Anmeldeeseite dient.
Der Angreifer nutzte das Branding von Microsoft Office 365, versuchte jedoch, jegliche Techniken zur Erkennung der Marke zu umgehen, indem er die Markeninformationen in das Bild einfügte (d. h. es gab keinen Klartext oder HTML-Text, der zur Identifizierung der Marke untersucht werden konnte).
Mithilfe der optischen Zeichenerkennung (OCR) konnte Cloudflare jedoch „Office 365“ und „Microsoft“ in dem Bild identifizieren.Mithilfe von OCR konnten wir auch die Verwendung verdächtiger Kontoköder in Verbindung mit Passwörtern feststellen.
In diesem Beispiel verwendeten die Angreifer unter anderem folgende Techniken:
- Ausschließlich ein JPEG-Bild (Erkennung von Wörtern ohne OCR unmöglich)
- Einbetten eines Hyperlinks in das Bild (ein Klick auf eine beliebige Stelle des Textes würde zum Anklicken des Links führen)
- Hyperlink zu einer Baidu-URL (zur Umgehung reputationsbasierter URL-Erkennungstechniken)
- Die Baidu-URL, die den Browser des Empfängers auf eine gefälschte Anmeldeseite umleitet (d. h. sie würde andere E-Mail-Sicherheitsvorkehrungen umgehen, die nicht in der Lage sind, tiefe Links zu untersuchen)
- Hosting der gefälschten Anmeldeseite auf einer legitimen Website, die vom Angreifer kompromittiert wurde (selbst mit Deep Link Inspection wird erneut versucht, URL-Erkennungstechniken auf der Grundlage der Reputation zu umgehen)
Dieser Angriffsvektor nutzt die hohe Reputation und Authentizität von Baidu aus, um die Reputation des echten Hosts/IP zu umgehen, auf dem die gefälschte Anmeldeseite gehostet wird.
Obwohl sich diese spezielle Kampagne auf das Sammeln von Microsoft-Anmeldedaten konzentrierte, beobachten wir häufig, dass Angreifer ähnliche Methoden anwenden, um die Erkennungstechniken der Marke zu umgehen und die Opfer zum Herunterladen von Malware und anderen schädlichen Nutzlasten zu verleiten.
URL-Weiterleitungstechniken werden häufig in Phishing-Kampagnen eingesetzt. Die Bedrohungsakteure verfeinern ihren Ansatz jedoch immer weiter, indem sie zunehmend legitime Domains wie baidu.com, bing.com, goo.gl, usw. missbräuchlich verwenden. Dank unserer zahlreichen Erkennungsfunktionen können wir URLs, die Weiterleitungstechniken aller Art verwenden, einer eingehenden Linkprüfung unterziehen, auch solche, die legitime Domains missbräuchlich nutzen.
What about SPF, DKIM, and DMARC?
E-Mail-Authentifizierung (insbesondere die SPF-, DKIM- und DMARC-Standards) werden häufig als nützlicher Schutz gegen Markennachahmung erwähnt: Diese Standards helfen, die Herkunft von Servern und Mandanten zu überprüfen, die Integrität von Nachrichten zu schützen, die Durchsetzung von Richtlinien zu gewährleisten und vieles mehr.
Dennoch können Angreifer immer noch Wege finden, die Authentifizierung zu umgehen, um E-Mail-Suiten auszutricksen. Schockiert stellten wir fest: 89 % der unerwünschten Nachrichten bestanden SPF-, DKIM- und/oder DMARC-Prüfungen.
Einige Beschränkungen der E-Mail-Authentifizierung sind:
| SPF (Sender Policy Framework) |
Wichtigste Vorteile: Überprüfung des Server-Ursprungs (d. h. Überprüfung, woher eine Nachricht stammt) Festlegen, welche E-Mail-Server und -Dienste im Namen eines Domaininhabers Nachrichten versenden dürfen |
|---|---|
| Einschränkungen: Verhindert nicht das Spoofing (die Fälschung) mittels ähnlicher E-Mail-, Domain- oder Anzeigenamen Validiert den „From“-Header nicht; verwendet den Umschlag „From“ zur Bestimmung der versendenden Domain Validierung unwirksam, wenn E-Mails weitergeleitet werden, oder wenn an eine Mailingliste gesendete Nachrichten an jeden Abonnenten gesendet werden SPF-Bewertungsprozess kann auf eine bestimmte Anzahl von DNS-Lookups beschränkt sein Schützt nicht vor Angriffen mit „validierten“ E-Mails mit eingebetteten URLs, schädlichen Nutzlasten, oder Anhängen |
|
| DKIM (Domain Keys Identified Mail) |
Wichtigste Vorteile: Validierung des Ursprungs des Mandanten (d. h. Überprüfung, ob eine E-Mail vom Inhaber der Domain mittels einer digitalen Signatur gesendet/autorisiert wurde) Sicherstellen, dass E-Mails während der Übertragung von Server zu Server nicht verändert werden; Schutz der Integrität von Nachrichten |
| Einschränkungen: Verhindert nicht das Spoofing (Fälschung) von ähnlichen E-Mail-, Domain- oder Anzeigenamen Schützt nicht vor Replay-Angriffen (DKIM signiert nur bestimmte Teile einer Nachricht. Angreifer können E-Mails, die DKIM bestehen, andere Header-Felder hinzufügen und sie dann weiterleiten.) Schützt nicht vor Angriffen mit „validierten“ E-Mails mit eingebetteten URLs, schädlichen Nutzlasten, oder Anhängen |
|
| DMARC („Domain-based Message Authentication, Reporting and Conformance“) | Wichtigste Vorteile: Durchsetzung von Richtlinien und Berichterstattung für SPF und DKIM Festlegung von Richtlinien, die zu befolgen sind, wenn eine E-Mail die SPF- oder DKIM-Authentifizierung nicht besteht (z. B.Verwerfen/Löschen, Quarantäne, keine Richtlinie/Senden) Mit der Berichtsfunktion können Domaininhaber sehen, wer E-Mails in ihrem Namen versendet (d. h. Schutz vor Spoofing der eigenen Domain und Markenmissbrauch) |
| Einschränkungen: Verhindert nicht das Spoofing der Domain einer anderen Marke Verhindert nicht das Spoofing (Fälschung) von ähnlichen E-Mail-, Domain- oder Anzeigenamen Domaininhaber legen fest, für welchen Prozentsatz der E-Mails DMARC-Richtlinien gelten sollen; Prozentsätze von weniger als 100 % sind nur beschränkt effektiv Schützt nicht vor Angriffen mit „validierten“ E-Mails mit eingebetteten URLs, schädlichen Nutzlasten, oder Anhängen |
Fazit
Die Angreifer entwickeln ihre Taktiken ständig weiter.Bevor, während und nachdem die E-Mails den Posteingang erreichen, müssen mehrere Schutzstufen aktiviert werden.Cloudflare „vertraut“ niemals automatisch irgendeiner Art von E-Mail-Kommunikation (unabhängig davon, ob sie intern, extern oder von einem „bekannten“ Geschäftspartner zu sein scheint).
Ebenso empfehlen wir allen Unternehmen, das Zero-Trust-Sicherheitsmodell mit der allgemeinen Philosophie „niemals vertrauen, immer überprüfen“ nicht nur auf das Netzwerk und die Anwendungen, sondern auch auf den E-Mail-Posteingang auszuweiten.
Zusätzlich zur Sicherung von E-Mails mit einem Zero-Trust-Ansatz empfehlen wir auch:
- Ergänzen Sie Cloud-E-Mail mit mehreren Anti-Phishing-Kontrollen. In diesem Forrester-Blogbeitrag vom Juni heißt es: „Die Nutzung von Messaging-, Collaboration-, File-Sharing- und Enterprise-Software-as-a-Service-Anwendungen über mehrere Geräte hinweg trägt zur Produktivität und Erfahrung der Mitarbeitenden bei. Viele dieser Umgebungen gelten als „geschlossen“, aber ein erfolgreicher Phishing-Angriff auf die Anmeldedaten eines Partners in der Lieferkette macht Ihr Unternehmen anfällig für Datenverlust, Diebstahl von Anmeldedaten, Betrug und Ransomware-Angriffe. Die für den E-Mail-Posteingang entwickelten Schutzmaßnahmen müssen sich auch auf diese Umgebungen und auf die täglichen Arbeitsabläufe Ihrer Mitarbeitenden erstrecken.”
- Führen Sie Phishing-resistente Multi-Faktor-Authentifizierung (MFA) ein. Zwar bieten nicht alle MFA das gleiche Maß an Sicherheit, doch gehören Hardware-Sicherheitsschlüssel zu den sichersten Authentifizierungsmethoden, um erfolgreiche Phishing-Angriffe zu verhindern. Sie können Netzwerke selbst dann schützen, wenn Angreifer Zugang zu Benutzernamen und Passwörtern erhalten.
- Erschweren Sie es Mitarbeitenden, Fehler zu machen. Holen Sie Mitarbeitende und Teams dort ab, wo sie sich befinden, indem Sie die Tools, die sie bereits nutzen, sicherer machen und verhindern, dass sie Fehler begehen. So kann beispielsweise die Technologie der Remote-Browserisolierung (RBI), wenn sie in die Cloud-E-Mail-Sicherheit integriert wird, verdächtige E-Mail-Links automatisch isolieren, um zu verhindern, dass Nutzer potenziell schädlichen Webinhalten ausgesetzt werden. Tastatureingaben können auf nicht vertrauenswürdigen Websites ebenfalls deaktiviert werden, um Nutzer vor der versehentlichen Eingabe sensibler Informationen in ein Formular oder vor dem Sammeln von Zugangsdaten zu schützen. Dies bietet eine zusätzliche Schutzebene gegen Phishing-Angriffe über mehrere Kanäle, da Nutzer Links sicher öffnen können, ohne ihren Arbeitsablauf zu unterbrechen.
Sie möchten alle Ergebnisse einsehen? Dann können Sie den Bericht zu Phishing-Bedrohungen 2023 hier herunterladen. Darin erhalten Sie auch unsere Empfehlungen zur Vermeidung erfolgreicher Phishing-Angriffe. Und wenn Sie die E-Mail-Sicherheit von Cloudflare in Aktion sehen möchten, können Sie hier eine kostenlose Analyse Ihres Phishing-Risikos anfordern.