Cybersicherheitsexperten haben sich einem "bahnbrechenden" Phishing-Schema gestellt
Ein kürzlich durchgeführter Cyberangriff wurde als "bahnbrechend" bezeichnet - eine Formulierung, die Sie offensichtlich nicht jeden Tag sehen. Was macht diesen speziellen Phishing-Angriff so beeindruckend?
Der Angriff wurde vom Sicherheitsforscher Craig Hays in einem Medium-Artikel detailliert und analysiert. Alles begann mit den üblichen Phishing-Angriffswarnungen, die Sicherheitsunternehmen von Kunden erhalten. Als jedoch die ersten Ermittlungen im Gange waren, blinkten wenige Minuten nach dem ersten Bericht mehr rote Lampen, als eine zunehmende Anzahl von E-Mail-Konten derselben Organisation als kompromittiert eingestuft wurde.
Die gehackten E-Mail-Konten sendeten ungewöhnlich große Mengen ausgehender E-Mails, wodurch die Warnmechanismen ausgelöst wurden. Sie wurden von ungewöhnlichen Orten auf der ganzen Welt aus aufgerufen und pumpten viel mehr E-Mails als gewöhnlich aus. Das Problem, auf das das Sicherheitsteam stieß, war jedoch, dass es keinen eindeutigen Hinweis auf den anfänglichen Angriffsvektor gab - es gab keine der üblichen Warnzeichen, die einen erfolgreichen Phishing-Versuch signalisierten - keine eingehenden E-Mails von unbekannten Adressen, nichts.
Die Gefahr der Vertrautheit
Es stellte sich heraus, dass die Phishing-E-Mails tatsächlich nicht von verdächtigen oder unbekannten Adressen stammten. Sie wurden als Antwortnachrichten an echte, legitime E-Mails gesendet. Die einfache Tatsache, dass sich die böswilligen Phishing-Links in E-Mails versteckten, die aus bekannten Quellen stammen.
Der Mechanismus hinter dem Angriff beinhaltete einen ausgeklügelten Bot. Sobald die Anmeldeinformationen einer E-Mail im angegriffenen Netzwerk gestohlen wurden, erhielt der Bot die Anmeldeinformationen, loggte sich in das gefährdete Konto ein und durchsuchte eingehende E-Mails, die in den letzten Tagen eingegangen waren. Jede auf diese Weise entdeckte eindeutige E-Mail-Kette erhielt vom Bot eine Antwort mit einer Nachricht, die die Links zu dem von den Kriminellen eingerichteten Phishing-Portal enthielt. Insbesondere hatten die Gauner eine ausreichend allgemeine Formulierung gefunden, dass das Klicken auf das beigefügte gefälschte Dokument nie zu seltsam oder fehl am Platz schien.
Dies bedeutet, dass die vom Bot gesendete Phishing-Nachricht die Adresse, die ursprüngliche Betreffzeile der Konversationskette sowie die gesamte vergangene Kommunikation beibehält, was sie an der Oberfläche unglaublich glaubwürdig und zuverlässig macht, weitaus mehr als jeder Phishing-Versuch, der von einer unbekannten Adresse gesendet wird das löst auch für unerfahrene Benutzer sofort Warnleuchten aus.
Eine wurmartige Phishing-Malware
Die Tatsache, dass sich der Bot wie ein Wurm verhielt und sich über Unternehmens-E-Mail-Netzwerke verbreitete, indem er Posteingänge scannte und seinen glaubwürdigen Phishing-Köder sendete, ist von Bedeutung. Diese Art der Ausbreitung machte es besonders schwierig, mit der Bedrohung umzugehen. Schließlich wurde ein Muster in den schädlichen URLs entdeckt, das einem automatischen Filter hinzugefügt wurde, um die Ausbreitung des wurmartigen Phishing-Bots wirklich einzudämmen und zu stoppen.
Eine weitere wichtige Tatsache, die der Bericht hervorhebt, ist, dass der Bot etwas zu eifrig für sein eigenes Wohl war. Wenn es nicht so ungewöhnlich große Mengen ausgehender Post gegeben hätte, um die Alarme auszulösen, wäre der Bot möglicherweise viel länger unbemerkt geblieben und hätte viel mehr Schaden verursacht.
Die letzte wichtige Erkenntnis aus diesem Vorfall war, dass die Multi-Faktor-Authentifizierung verwendet werden sollte, wann immer sie verfügbar ist, und auch so schnell wie möglich verfügbar gemacht werden sollte, wo immer dies nicht bereits möglich ist.