Thought Leadership
Neben den gängigen und bekannten Arten von Phishing-Angriffen, wie etwa Business Email Compromise (BEC), Spear-Phishing und SMiShing, um nur einige zu nennen, gibt es noch weitere Bedrohungen. Trotzdem bleiben einige der gefährlichsten Techniken weitgehend unbemerkt, wie beispielsweise Zombie-Phishing.
Damit befasst sich dieser kurze Beitrag von John Trest, Chief Learning Officer, VIPRE.
Phishing-Angriffe begleiten uns schon lange und sind so weit verbreitet wie effektiv. Laut dem Email Threat Trend Report von VIPRE betrug der Anteil von Phishing-E-Mails im dritten Quartal 2024 20 % am gesamten Spam-Volumen. Zurückliegende Analysen von AAT aus dem Jahr 2021 hatten ergeben, dass die durchschnittliche Klickrate bei einer Phishing-Kampagne inzwischen bei 17,8 % liegt.
Phishing ist ganz offensichtlich eine Erfolgsgeschichte und die Methoden vielfältig. Die meisten Anwender sind heute mit den gängigsten Arten von Phishing-Angriffen vertraut, wie etwa Business Email Compromise (BEC), Spear-Phishing und SMiShing, um nur einige zu nennen. Trotzdem bleiben einige der gefährlichsten Techniken weitgehend unbemerkt, wie beispielsweise Zombie-Phishing.
Was ist Zombie-Phishing?
Als Zombie-Phishing, bezeichnet man die Art von Angriff, bei dem ein Hacker die Kontrolle über ein bestehendes E-Mail-Konto übernimmt und von dort aus bösartige Nachrichten an die Kontakte des jeweiligen Benutzers sendet. In dieser Hinsicht ähnelt die Methode einem regulären BEC-Angriff.
Was Zombie-Phishing jedoch einzigartig macht, ist, dass Angreifer manipulierte E-Mails unbemerkt in bestehende E-Mail-Threads einschleusen. Dies erweckt den Anschein, als sei die Phishing-E-Mail lediglich die Fortsetzung einer laufenden Konversation.
Wie bei jedem anderen Betrugsversuch enthalten diese E-Mails schädliche Inhalte, z. B. einen Anhang oder Link, der beim Anklicken Malware auf dem Computer des Opfers installiert, Anmelde-informationen abfängt oder Daten stiehlt. In einigen Fällen bringen die Angreifer ihre Opfer mittels Social Engineering dazu, vertrauliche Informationen zu übermitteln oder sogar eine Banküberweisung auf ein externes Konto zu tätigen.
Der Angriff auf Levitas Capital ist vermutlich das bemerkenswerteste Beispiel für eine erfolgreiche Zombie-Phishing-Kampagne. Dabei benutzten die Hacker einen gefälschten Zoom-Link, um die E-Mail-Konten eines der Mitbegründer des australischen Hedgefonds zu übernehmen und gefälschte Rechnungen im Wert von 8,7 Millionen Dollar zu erstellen. Anschließend wurden die zugehörigen Genehmigungsanfragen in bestehende E-Mail Threads an den Treuhänder und die Verwalter des Unternehmens eingebettet. Die Rechnungen wurden tatsächlich freigegeben, Levitas Capital ging infolge der Attacke bankrott.
Warum ist Zombie-Phishing so effektiv?
Die Erfahrung lehrt, dass Zombie-Phishing erschreckend effektiv ist. Die Betroffenen zweifeln die Echtheit einer E-Mail ganz offensichtlich weit weniger an, wenn sie Teil einer bestehenden E-Mail-Kette ist. Angreifer nutzen dazu auch Informationen aus früheren E-Mails. Das hilft ihnen, überzeugendere Nachrichten zu verfassen, beispielsweise indem sie Sprach- und Formatierungsfehler nachahmen oder unternehmens- und/oder abteilungsspezifische Informationen einfügen.
Darüber hinaus erkennen bei weitem nicht alle E-Mail-Sicherheitslösungen Zombie-Phishing-Angriffe. Anti-Phishing-Lösungen und Spamfilter sind darauf ausgelegt, E-Mails von externen E-Mail-Konten abzufangen. Daher haben sie meistens Schwierigkeiten, wenn sie E-Mails von legitimen Konten als betrügerisch entlarven sollen.
So erkennen Sie Zombie-Phishing
Grundsätzlich sind Zombie-Phishing-E-Mails schwerer zu erkennen als herkömmliche Phishing-Versuche. Aber auch hier gibt es einige verräterische Anzeichen, auf die Benutzer achten sollten. Einige gelten für alle potenziellen Phishing-Angriffe, andere sind spezifisch für Zombie-Phishing.
- Unerwartete Anhänge oder Links: Benutzer sollten bei Anhängen oder Links in fortlaufenden E-Mail Threads grundsätzlich Vorsicht walten lassen, insbesondere wenn ihnen die Nachrichten als fehl am Platz erscheinen oder unerwartet auftauchen.
- Abfragen von vertraulichen Informationen: Es ist unwahrscheinlich, dass ein Manager oder auch ein anderer Mitarbeiter vertrauliche Informationen per E-Mail anfordert. Gerade in einem eher sicherheitsbewussten Unternehmen kommt das kaum vor. Benutzer sollten den Absender immer direkt und über einen anderen Kanal kontaktieren, um die Anfrage zu verifizieren, bevor sie Informationen preisgeben.
- Änderungen bei der Grammatik oder im Tonfall: Während einige Angreifer den Tonfall oder Stil eines Absenders gekonnt nachahmen, gelingt vielen anderen nur eine nicht ganz so perfekte Fälschung. Wenn Unstimmigkeiten zwischen dem Verlauf der E-Mail-Kette und dem Inhalt der endgültigen E-Mail auftreten, sollten Benutzer die jeweilige IT-Abteilung kontaktieren und die Nachricht melden.
- Dringlichkeit oder Druck erzeugen: Wie bei jeder Phishing-E-Mail ist eine besondere Dringlichkeit oftmals ein sicheres Zeichen für die betrügerische Absicht. Wenn Benutzer sich durch den Inhalt einer E-Mail unter Druck gesetzt fühlen zu handeln, sollten sie misstrauisch werden.
Kurz gesagt: Benutzer sollten hinsichtlich der besser bekannten Formen von Phishing und anderer betrügerischen Taktiken ähnlich wachsam sein wie für die spezifischen Anzeichen für Zombie-Phishing. Die meisten Phishing-E-Mails – zugegeben, nicht alle – sind immer noch relativ zuverlässig zu erkennen, wenn man weiß, wonach man suchen sollte.
