Komplexe E-Mail-Angriffe umgehen immer häufiger traditionelle Sicherheitsmaßnahmen und befördern die betreffende Nachricht direkt in den Posteingang. Besonders gefährlich sind dabei „No Click“-Attacken, bei denen Nutzer keine verdächtigen Links anklicken müssen, um Opfer eines Betrugs zu werden.
Tatsächlich sind aktuelle Attacken so ausgeklügelt, dass 89 % der Angreifer es geschafft haben, verschiedene Methoden bei der E-Mail-Authentifizierung zu umgehen.
Dazu zählen SPF (Sender Policy Frameworks), DKIM (Domain Keys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting, and Conformance). Grundsätzlich sollen alle drei den Sicherheitslevel insgesamt erhöhen, Phishing verhindern und den potenziellen Missbrauch von Identitäten zumindest erschweren. Trotzdem haben Zahl und Raffinesse der Phishing-Angriffe beispielsweise auf Gmail-Konten ein neues Hoch erreicht.
FBI-Warnung: Nicht klicken!
Neben diversen Cybersicherheitsexperten warnt auch das FBI davor, auf Links in E-Mails oder Textnachrichten zu klicken. Diese stammen aus scheinbar legitimen Quellen und fordern den Benutzer auf, persönliche Informationen zu aktualisieren oder zu verifizieren. Google rät ebenfalls, keine Dateien herunterzuladen oder persönliche Informationen in E-Mails oder auf Webseiten einzugeben, die aus unbekannten oder unsicheren Quellen stammen.
KI als Gamechanger für Cyberkriminelle
Nicht zuletzt die Integration künstlicher Intelligenz sorgt allerdings dafür, dass bestehende Sicherheitsmaßnahmen oft überfordert sind. Mit einem der Gründe, warum das so ist, beschäftigt sich ein jüngst in Forbes erschienener Beitrag.
Gmail-Konten geraten häufig ins Visier von Cyberkriminellen, weil diese Konten durch die vielfältige Integration eine wahre Fundgrube an Informationen sind. Allerdings sind jetzt auch weitere Dienste gefährdet. Verantwortlich ist ein neu aufgetauchtes Open Graph Spoofing Toolkit. Es wurde erstmals im Oktober 2024 in einem russischen Untergrundforum für 2.500 US-Dollar zum Verkauf angeboten. Mithilfe des Kits ist es möglich, Metadaten zu manipulieren und irreführende Links zu erstellen, um sie in Phishing-Kampagnen einzusetzen. Der betreffende Threat Actor soll das Toolkit zunächst für eigene Angriffe entwickelt haben. Allerdings wurde es mit fortschrittlichen Methoden weiterentwickelt und anschließend „exklusiv für drei Interessenten zum Verkauf freigegeben“. Nach Angaben eines Reports der Cyble Labs wurde das Toolkit gezielt für Phishing-Kampagnen entwickelt, um Benutzer irrezuführen und die Klickraten durch das Ausnutzen von Schwachstellen im Open-Graph-Protokoll in die Höhe zu treiben.
Scammer können dank des Tool Kits bösartige Links erstellen, die wie echte wirken. Dazu werden die Vorschaubilder von Webseiten manipuliert, die in den sozialen Medien angezeigt werden. Parallel dazu werden sogar die eindeutig definierten Metadaten der betreffenden URLs geändert. Damit entfällt ein weiteres verräterisches Zeichen, an dem ein Nutzer bislang eine Fälschung erkennen konnte: die verschlungenen „Phishing“-Links.
Bei dieser Art von Links wie auch bei KI-generierten Websites, die vertrauenswürdigen Seiten zum Verwechseln ähnlich sehen, haben Benutzer kaum eine Chance.
Beispiel: Der Angriff auf Zach Latta
Ein Beispiel ist der jüngste Phishing-Angriff, der sich gegen Zach Latta richtete, dem Gründer von Hack Club. Der Angreifer, anscheinend im Besitz einer Google Caller ID, hatte Kontakt zu Latta aufgenommen, angeblich sei sein Konto angegriffen worden. Genauer soll es sich um einen ungewöhnlichen Anmeldeversuch von Frankfurt aus gehandelt haben. Anschließend erhielt Latta einen legitim wirkenden Phishing-Link von einer echten Google-Domain, und wurde aufgefordert, sein Passwort zurückzusetzen. Als Google Latta einen (ebenfalls echten) Code zum Zurücksetzen des Passworts schickte, verleitete der Angreifer Latta dazu, diesen über den betrügerischen Google-Link einzugeben. Der Angreifer konnte den Reset-Vorgang abfangen und das Konto kapern. Glücklicherweise hatte Latta gerade noch rechtzeitig seinen sechsten Sinn eingeschaltet und konnte den Austausch stoppen, bevor er tatsächlich Informationen eingeben konnte.
KI-gestützte Phishing-Angriffe immer raffinierter
Klar ist aber dennoch: Dank aktueller KI-basierter Phishing-Taktiken werden bei E-Mail-Angriffen Links versendet, die wie legitime URLs aussehen, sich so verhalten und die herkömmliche E-Mail-Scans umgehen, weil sie von scheinbar „legitimen“ Domains kommen. Eine äußerst raffinierte Form eines Phishing-Angriffs, dem offensichtlich auch erfahrene Profis wie Zach Latta zum Opfer fallen (können).
Betrügerische Support-Anrufe sind weit verbreitet und betreffen nicht nur Google-Nutzer, sondern auch Kunden von Banken und Finanzdienstleistern sowie Technologiefirmen. Das FBI spricht seit Jahren deutliche Warnungen aus. Zudem wurden Google und Unternehmen generell aufgefordert, klare Warnungen auf allen Plattformen zu kommunizieren, um zu verhindern, dass Benutzer dieser Taktik zum Opfer fallen. Aber was kann man sonst noch tun?
Fortschrittliche E-Mail-Sicherheit gegen komplexe Angriffe
Mittels raffinierter Phishing-Methoden gelingt es immer häufiger, die initialen E-Mail-Scanner zu unterlaufen und direkt in den Posteingang des jeweiligen Benutzers zu gelangen. Moderne E-Mail-Sicherheitslösungen verfügen mittlerweile über einige Funktionsfähigkeiten, die genau auf diese Art von Herausforderung zugeschnitten sind. Zu diesen Sicherheitsfunktionen zählen:
- Advanced Threat Detection | Remediation erlaubt es einem Administrator, die Uhr quasi zurückzudrehen und bösartig manipulierte E-Mails (die erste Erkennungsmaßnahmen unterlaufen haben) aus dem Posteingang der Benutzer zu entfernen.
- URL Defense | „Sandboxed“ Ihre Links. Gelingt es einem bösartigen Link durch die Maschen zu schlüpfen, wird er an einem sicheren Ort geöffnet und auf seine Integrität hin überprüft, bevor der Benutzer ihn nutzen darf. Zum Zeitpunkt des Klicks wird der Link erneut gescannt und sichergestellt, dass ein zuvor sicherer Link nicht etwa im Backend manipuliert wurde.
- Attachment Sandboxing | Verwenden Sie maschinelles Lernen, um den Inhalt von E-Mail-Anhängen auf Anzeichen eines bösartigen Verhaltens hin zu analysieren. Überprüfen Sie die Attachments in einer geschützten Umgebung. So finden Sie heraus, was der jeweilige Anhang tut, wenn er ausgeführt wird. Selbst wenn es einer manipulierten Nachricht also gelingt, die erste Reihe der E-Mail-Sicherheitsmaßnahmen zu umgehen, wird sie die zweite Runde nicht überstehen.
Mithilfe der beschriebenen Funktionen kann man Phishing-E-Mails, bösartige Links und manipulierte Anhänge abwehren bevor sie im Posteingang des Benutzers landen. Maschinelles Lernen spielt dabei eine zentrale Rolle. Eingehende E-Mails werden anhand einer proprietären Datenbank mit zuvor identifizierten Phishing- und BEC-Scams analysiert. Dazu werden beispielsweise Schlüsselwörter verglichen, aber auch die Intention, der Tonfall und die Metadaten der E-Mail (z. B. die Zeit, zu der sie gesendet wurde, der Ort, von dem aus sie gesendet wurde, und sogar der Wortlaut der Nachricht selbst). Anschließend wird untersucht inwieweit diese Faktoren von einer definierten Baseline abweichen oder mit den bösartigen Mustern in der Datenbank übereinstimmen. Diese Kombination gestattet es, auch subtile, fortschrittliche E-Mail-Angriffe zu erkennen, die sonst übersehen werden.
Autor: Michael Senn, VIPRE Security Group