Next Level Phishing
Ach die lieben E-Mails. Wie wir sie doch alle irgendwie lieben und doch ab und zu genervt von ihnen sind. Vor allem wenn wieder irgendein schlimmer Finger zum gefühlt 1000ten mal versucht, einem vorzugaukeln, dass man «sein» Passwort für das Paypal-Konto von 2016 ändern muss, weil dieses ja abgelaufen ist etc.….
Diese lieben Mails erreichen jeden von uns fast schon täglich. Egal ob auf dem privaten oder Geschäftskonto. Gut für uns, wir haben in der Zwischenzeit gelernt, solche E-Mails viel schneller zu erkennen und gleich, ohne mit der Wimper zu zucken, zu löschen. Wie wir haben aber die Angreifer auch dazugelernt und sind auf neue Ideen gekommen, uns hinter das Licht zu führen.
Was ist, wenn von einer vertrauten Person oder Gegenstelle eine Mail eintrifft mit einem Anhang, einem Link oder einer Aufforderung?
Die Mail, Absender und Text – alles scheint wie immer. Ohne weiteres Überlegen macht man, was in der Mail verlangt wird. Sei es das Öffnen eines Links in der Mail oder des Anhangs. Genau dieses Vertrauen wird mit dem 3rd Party Phishing ausgenutzt.
Was ist 3rd Party Phishing?
Dies ist eine noch gezieltere Phishing Attacke auf das Unternehmen oder die Person selber. Hierfür investiert ein Angreifer viel Zeit, um zum Beispiel Zugriff auf ein Mailkonto einer Firma zu erhalten, mit welcher man immer wieder zu tun hat.
Doch noch einen Schritt zurück
Wie weiss jetzt der Angreifer, nennen wir ihn mal Bob, mit welcher Firma ich zu tun habe?
Dies ist in einigen Fällen leicht herauszufinden. Sei es via eigene Webseite, Social Media Profil oder einer Google Recherche. Häufig werden solche Informationen öffentlich preisgegeben oder man muss ein wenig selber überlegen und kombinieren. Wenn Bob nun noch ein wenig Glück hat, kann er sich bei einer dieser Firmen einklicken, sei dies, weil er mittels einer gefälschten URL an Login-Daten eines Mitarbeiters / Mitarbeiterin gekommen ist oder auf anderem Weg sich diese Informationen beschaffen konnte.
Vorbereitung ist die halbe Miete
Falls Bob nun Zugriff auf die alten Mails hat, kann er diese leicht studieren und mögliche Muster erkennen. Sei es eine bestimmte Begrüssung, Wortwahl oder Ablauf der Kommunikation.
Nun zum eigentlichen Ziel
Nun versucht Bob mit einer gezielten Mail und dem gelernten Verhalten des zu fälschenden Senders, das wahre Ziel so zu täuschen, damit dieses in die Falle tappt und Bob sich den ergaunerten Informationen, oder was auch immer seine Absichten sind, zu ergötzen.
Wie kann ich mich aber hiervor schützen?
Ungleich zu anderen Phishing-Versuchen kommt diese Mail nun von einem bekannten und offiziellen Absender. Wird die Mail auch über die Mailumgebung des richtigen Senders übertragen, stimmen der Absender, die SPF-, DKIM- und DMARC-Einträge und können somit zur Erkennung nicht beitragen.
Was hier der wichtigste Punkt ist, ist die Aufmerksamkeit und das Bauchgefühl des schlussendlichen Empfängers. Hier ein paar Punkte, welche auffallen könnten:
- Das Mail wurde zu einer komischen Zeit versendet
- Spät in der Nacht, am Wochenende etc.
- Es wird etwas verlangt, was noch nie verlangt wurde.
- Anhang hat einen komischen Namen oder ist anders als bisher
- z.B. neu ein Word Dokument anstatt der guten alten Excel Liste
- Beim Darüberfahren einer URL wird ein anderes Ziel angezeigt
- Hier sitzt der Teufel ab und zu im Detail z.B. microsoft.com / microsotf.com
- Im Mailtext wird Stress aufgebaut, welcher einem dazu zwingt, schnell und unüberlegt zu handeln.
Falls einem eine Mail oder die Aufforderung darin seltsam oder komisch vorkommt, kann man dies auch immer hinterfragen und möglicherweise mit einem Anruf klären. Bei Zweiterem ist es natürlich sehr von Vorteil, wenn man mit der Person schon mal telefoniert hat. 😉
Und was kann eine Firma hier machen?
Für eine Firma ist es wichtig, seine User zu schulen und darauf aufmerksam zu machen. Es gibt jetzt schon sehr gute manipulierte Mails, welche beim ersten Anblick sehr echt aussehen und auf den ersten Blick ist nicht zu erkennen, dass es sich um eine gefälschte Mail handelt. Bei solchen Mails hat man jedoch die Möglichkeit, mit gewissen Checks, sei es SPF/DKIM/DMARC oder Mail-From Header etc., schon erste Massnahmen zu treffen.
Es gibt die Möglichkeit, eigene Phishing-Kampagnen durchzuführen, um die Mitarbeiter und Mitarbeiterinnen auf diese Thematik wieder aufmerksam zu machen.
Zu guter Schluss
Bleibt bei Mails immer aufmerksam und skeptisch. Schaut das Mail lieber zweimal an oder holt eine zweite Meinung ein. Ist immer noch besser, als wenn man all den Kollegen beichten muss, dass das grosse Firmenessen nun im McDonalds nebenan stattfindet, da die Firma plötzlich um ein paar Franken leichter geworden ist… 😉
Bender
Bender ist Security Engineer bei AVANTEC. Er hat grosses Interesse an der Welt der E-Mails und den verschiedenen Produkten wie IronPort, SEPPmail und Symantec.cloud. Weiter ist er ein stolzer Serienjunkie und Gamer.
Oder man versucht dem ganzen den Nährboden zu entziehen und verwendet keine passwords mehr. Das ist vielleicht nicht so leicht, bei all den tuusig webaccounts, aber in Company-Umfeld sollte das eine leistbare Aufgabe sein. Authentisierung passwordless – mit Zertifikaten oder OTP, FID0, …, dann hat es Dein «Bob» oder besser Oscar oder Malory deutlich schwerer, selbst dem unbedarften User etwas zu entwenden.
Was für ein großartiger Blog-Artikel, ich habe ihn von Anfang bis Ende gelesen.