E-Mail-Phishing ist immer noch eine der beliebtesten Strategien von Hackern, um Malware in Unternehmen einzuschleusen. Gleichzeitig ist Business E-Mail Compromise (BEC) die Hauptursache für finanzielle Schäden. Bei konventionellen Phishing- und Spearphishing-Attacken geht es darum, den Adressaten mit einer gefälschten E-Mail-Adresse zu täuschen. Eine perfidere Variante ist der Angriff über Antwortketten. Hier wird eine legitime E-Mail-Korrespondenzkette gekapert, um Schadsoftware in eine bereits existierende E-Mail-Konversation einzuschleusen.
Die Übernahme eines E-Mail-Kontos steht am Anfang des Einschleusens von Malware in E-Mail-Antwortketten. Die Cyberkriminellen nutzen zunächst eine konventionelle Methode wie Phishing, Brute Force oder Social Engineering, um Zugriff auf ein oder mehrere E-Mail-Konten zu bekommen. Dann fangen sie damit an, die Unterhaltungen zu beobachten und die richtige Gelegenheit abzupassen, um Schadsoftware oder gefälschte Links an die Teilnehmer der Korrespondenzkette zu senden. Dieses Vorgehen ist besonders effizient, da zwischen den Empfängern bereits Vertrauen herrscht. Der Hacker fügt sich weder selbst als neuer Teilnehmer ein noch macht er Anstalten, die E-Mail-Adresse einer anderen Person zu fälschen. Er schickt seine mit Malware bestückte Nachricht von dem echten Konto eines der Korrespondenz-Teilnehmer aus. Weil der Cyberkriminelle Zugriff auf alle Inhalte des Threads besitzt, kann er seine Schad-E-Mail präzise auf Aussagen einer laufenden Konversation abstimmen. In Kombination mit der Tatsache, dass die Personen sich vertrauen, erhöht diese Taktik maßgeblich die Chance, dass ein bösartiger Anhang geöffnet oder ein gefährlicher Link geklickt wird.
Massen-Spoofing-E-Mails enthalten meist Betreffzeilen oder Textnachrichten, die für einen Großteil der Empfänger einen wenig aussagekräftigen Kontext besitzen. Deshalb erregen sie schnell Verdacht. Bei Angriffen auf E-Mail-Antwortketten greifen die üblichen Warnindikatoren nicht. Sie sind sehr sorgfältig ausgearbeitet und weisen auch beispielsweise keine Sprach- oder Rechtschreibfehler auf. Aus diesem Grund können selbst vorsichtige und gut ausgebildeten Mitarbeiter Gefahr laufen, Opfer dieser Vorgehensweise zu werden. Doch wie können Sie sich dagegen schützen?
Weil Antwortketten-Angriffe auf Konto-Kompromittierungen beruhen, müssen Sie sicherstellen, dass alle Mitarbeiter die etablierten Sicherheitsverfahren kennen und befolgen. Dazu gehören beispielsweise Zwei- oder Mehrfaktor-Authentifizierung, eindeutige Passwörter für jedes einzelne Konto und Passwörter, die mindestens 16 Zeichen lang sind.
Sie sollten zudem die Verwendung von Office-Makros beschränken oder ganz ausschließen. Sie sind zwar nicht die einzigen Einfallstore, über die böswillige Anhänge Geräte kompromittieren können, jedoch gehören sie weiterhin zu den üblichen Angriffsvektoren.
Security Awareness Trainings helfen dabei, Mitarbeiter hinsichtlich der Gefahren durch Phishing zu sensibilisieren. Dabei muss das Bewusstsein dafür geschärft werden, wie Phishing-Angriffe funktionieren und wie Cyberkriminelle ihre Techniken fortentwickeln. Die Mitarbeiter müssen erkennen, dass alle Anfragen zum Öffnen von Anhängen oder zum Anklicken von Links mit einer gewissen Vorsicht zu behandeln sind. Und das grundsätzlich unabhängig vom Absender.
Gerne stehen wir Ihnen im Hinblick auf die Entwicklung Ihrer individuellen IT-Sicherheitsstrategie beratend zur Seite.