Spam-E-Mails – Totgesagte leben länger

Spam-E-Mails – Totgesagte leben länger

Laurence Canter hat sicherlich nicht damit gerechnet, dass er eines Tages als Pionier der Spam-E-Mail in die Geschichtsbücher eingehen wird. Der US-amerikanische Anwalt verschickte im Jahr 1994 als erster Mensch überhaupt Nachrichten, die dem Charakter einer heutigen Spam-E-Mail ähneln. Ein von Canter und seiner Frau engagierter Computer-Spezialist flutete über 6.500 Newsgroups im Internet mit Werbung für die Kanzlei. Doch das sollte erst der Anfang einer mittlerweile seit 25 Jahren andauernden Geschichte sein.

In diesem Blogbeitrag erfahren Sie alles über die Entstehungsgeschichte des E-Mail-Spam, die Schäden und Gefahren, die von diesem ausgehen und dem richtigen Schutz vor den unerwünschten Nachrichten.

Wichtige Kennzahlen zu E-Mail-Spam

%

des weltweiten E-Mail-Aufkommens ist Spam

%

aller gefährlichen Spam-E-Mails landen in deutschen E-Mail-Postfächern

Von Dosenfleisch, Cyberkriminellen und Monty Python

Drei Dinge, die unterschiedlicher nicht sein könnten: Was hat Dosenfleisch mit Cyberkriminellen und der Comedy-Gruppe Monty Python zu tun? Die Antwort lautet: Einiges. Zumindest wenn man einen Blick auf die Entstehungsgeschichte des E-Mail-Spam wirft.

Zum Zeitpunkt als Canter seine Werbe-E-Mails verschicken ließ, war das Internet noch kaum kommerzialisiert. Für die Nutzer war es also absolut ungewohnt, auf so direkte Weise mit Werbung konfrontiert zu werden. Dies spiegelte sich insbesondere in der Reaktion der Empfänger wieder. Denn der Jurist sah sich schon sehr bald mit heftiger Kritik konfrontiert. Ein Nutzer rief sogar dazu auf, “Spam und Kokosnüsse” an Canter und Co. zu schicken. Mit „Spam“ war hier allerdings das vom Lebensmittelkonzern Hormel Foods produzierte Dosenfleisch gemeint, dessen Produktname ein Marketingkunstwort darstellt, welches sich aus „Spiced ham“ zusammensetzt. Die Aufforderung des verärgerten Nutzers kann also als Anspielung auf den Inhalt gedeutet werden, der bei Kokosnüssen und Dosenfleisch gleichermaßen „weich“ ist, wie bei Werbe-E-Mails.

Zur Namensgebung der Spam-E-Mail trug ebenfalls die britische Comedy-Truppe Monty Python bei. Sie führten in den 1970er-Jahren einen Sketch auf, der in einem Wirtshaus spielt. Die Gäste können dort aus einigen Gerichten wählen, doch jedes einzelne von ihnen enthält Spam. Darauf fängt eine Horde Wikinger, die ebenfalls in dem Lokal speisen, an „Spam, Spam, Spam, Spam, Spam, Spaaaam!“ zu singen. Das gehäufte und penetrante Auftreten des Wortes „Spam“ innerhalb des Sketches veranlasste schließlich den Usenet-Forenadministrator Joel Furr im Jahre 1992 dazu, die zunehmenden „Müll-Beiträge“ in seinen Foren als „Spam“ zu deklarieren. Von da an setzte sich der Begriff durch.

Legndärer “Spam-Sketch” der britischen Comedy-Truppe Monty Python

Spam-E-Mails im Wandel der Zeit

Wer glaubt, dass Spam-E-Mails ein Auslaufmodell sind, der irrt. Zwar versuchen Cyberkriminelle uns zunehmend mit anderen lukrativen Betrugsmethoden wie Phishing oder Ransomware das Leben schwer zu machen, doch der Versand von Spam-E-Mails steht bei Ihnen nach wie vor hoch im Kurs. Um es mit Zahlen auszudrücken: Der Anteil von Spam-E-Mails in Unternehmen betrug zwischen Juli 2017 und Juli 2018 weltweit mehr als die Hälfte des gesamt aufkommenden E-Mail-Verkehrs. Allein in Deutschland verbraucht der Spam-Versand so viel Strom, wie eine kleine Großstadt.

Als wäre dies nicht schon unerfreulich genug, legt auch der Anteil gefährlicher Spam-E-Mails am gesamten E-Mail-Verkehr deutlich zu. Das erhöhte Gefahrenpotential moderner Spam-E-Mails liegt vor allem an einem deutlich verbesserten Targeting der Spammer. Durch gezielte Ansprache und länderspezifische Themen wirken die Spam-E-Mails sehr viel authentischer als noch vor einigen Jahren.

Wie gefährlich sind Spam-E-Mails heutzutage?

Während Cyberkriminelle in den 1990er- und 2000er- Jahren hauptsächlich E-Mails mit werblichen Absichten versendeten, ist die Situation heutzutage eine andere. Insbesondere der Versand von Ransomware oder anderer Malware in E-Mail-Anhängen ist bei Kriminellen mittlerweile sehr verbreitet.

Hierbei versuchen Spammer mittels einer gefälschten Identität die Zielperson zu nötigen, auf einen mit Schadcode infizierten E-Mail-Anhang zu klicken. Oft behaupten sie, eine noch nicht beglichene Rechnung befände sich im Anhang. Öffnet die Zielperson allerdings die Datei, wird die dort enthaltene Ransomware aktiviert, wodurch sie sämtliche auf der Festplatte gespeicherten Dateien verschlüsselt.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Eine andere, gern mittels Spam-E-Mails durchgeführte Betrugsmasche ist Phishing. Hierbei geben sich die Cybergangster beispielsweise als bekanntes Kreditinstitut aus. Sie behaupten beispielsweise, dass das Bankkonto des Kunden aus Sicherheitsgründen gesperrt worden sei. Um dieses freizuschalten, müsse das Opfer seine Zugangsdaten erneut bestätigen. Hierzu soll die Zielperson auf eine URL klicken, die der echten URL des Kreditinstituts stark ähnelt.

Lediglich durch bestimmte Zusätze oder eine andere Top Level Domain lässt sie sich vom Original unterscheiden. Laien schöpfen oft keinen Verdacht und gelangen über den Link auf eine dem Design der Bank nachempfundene Webseite. Kommen sie den Aufforderungen nach und geben dort ihre Daten preis, gelangen diese auf direktem Weg in die Hände der Cyberkriminellen. Die Zielseiten sehen teilweise so täuschend echt aus, dass sie nicht von den regulären Webseiten der Bank zu unterscheiden sind.

Wie gelangen die Spammer an meine E-Mail-Adresse?

Um sich optimal gegen die Flut an unerwünschten Nachrichten zu schützen, muss man zunächst verstehen unter welchen Umständen diese überhaupt in unserem digitalen Postfach landen. Fakt ist, wer seine E-Mail-Adresse für sich behält, der sollte im Normalfall auch keine Spam-E-Mails erhalten. Wir gelangen erst dann in das Visier der Spammer, wenn wir unsere E-Mail-Adresse im Internet öffentlich zugänglich machen oder sie dubiosen Dienstleistern anvertrauen. Doch wie sammeln die Spammer unsere E-Mail-Adressen eigentlich?

Spammer durchforsten mit so genannten „Harvestern“, auch „Spambots“ genannt, das Internet gezielt nach E-Mail-Adressen. Wer seine E-Mail-Adresse trotzdem im Internet veröffentlichen möchte, der kann sie mithilfe kostenloser Dienstleister im Internet in Unicode umwandeln lassen. Spam-Bots können diese dann nicht mehr auslesen.

Vorsichtig sollte man außerdem bei unbekannten Internetanbietern sein, die uns mit Versprechungen dazu bewegen wollen, unsere Daten preiszugeben. Ein gutes Beispiel hierfür sind Webseiten, die mit Gewinnspielen und möglichen Geldgewinnen locken. Es ist leider keine Seltenheit, dass der vermeintliche Gewinn gar nicht existiert und nur als Vorwand genutzt wird. Auch hier gelangt man häufig direkt auf die Versandlisten der Spammer.

Perfekt abgesichert gegen E-Mail-Spam – so klappt‘s

Zweifelsohne lag der Anteil von Spam-E-Mails vor gut zehn Jahren mit rund 90% signifikant höher, doch man sollte sich von dieser Entwicklung keineswegs täuschen lassen. Denn hier macht nicht die Dosis das Gift, sondern die Raffinesse der Spammer. Sie sorgen kontinuierlich dafür, dass das Gefahrenpotential von Spam-E-Mails steigt. Ohne einen professionellen Spamfilter, der auch Viren und andere Bedrohungen erkennt, verbringen die Angestellten nicht nur viel Zeit mit dem Ordnen von E-Mails, sondern sie sind auch permanenten Gefahren ausgesetzt. Neben Links, die auf mit Schadsoftware verseuchte Webseiten verweisen, können Spam-E-Mails Malware und Phishing-Links beinhalten.

Nur professionelle Spamfilter für Unternehmen, wie der Spamfilter Service von Hornetsecurity sorgen mit Spam-Erkennungsraten von 99,9 % für absolut „saubere“ Postfächer. In Kombination mit Advanced Threat Protection werden sogar die perfidesten Angriffsmethoden, wie CEO-Fraud, Ransomware und Spearphishing mühelos ausgefiltert. Allein im Juli 2018 wurde rund die Hälfte aller von Advanced Threat Protection“ gescannten E-Mails als schädlich eingestuft. Der Löwenanteil von ihnen, mehr als 90% der schädlichen E-Mails, aufgrund von „Dangerous Threats“, wie aus der Hornetsecurity ATP Analysis von Juli 2018 hervorgeht. Dank dem Eingreifen des Hornetsecurity Spamfilter Service sowie Hornetsecurity ATP konnten sich die Empfänger dieser E-Mails nicht nur voll und ganz auf ihre Aufgaben konzentrieren, sondern sie waren darüber hinaus auch nicht dem Risiko eines „falschen Klicks“ ausgesetzt. So herrscht endlich wieder Ruhe im E-Mail-Postfach.

Vielleicht ebenfalls für Sie von Interesse:

 

Emotet: Comeback im neuen Gewand

Emotet: Comeback im neuen Gewand

Seit der Weihnachtswelle im letzten Jahr wurden keine Großoffensiven des Banking-Trojaners Emotet mehr beobachtet. Nun erscheint er in einer neuen Gestalt und wird durch eine heimtückische Blended Attack verteilt.

Die Malware-Spezialisten aus unserem Security-Lab haben am Donnerstag den 06.09.18 eine neue Variante des Banking-Trojaners Emotet gefunden und den Angriffsweg genauer untersucht.

Frühere Varianten von Emotet wurden vornehmlich direkt in E-Mail-Anhängen oder durch Links im Body von E-Mails verteilt. Diese neue Variante setzt auf einen komplexeren Auslieferungsweg: Sie verbirgt sich hinter einem als Rechnung getarnten PDF-Dokument, das an eine Phishing-Mail angehängt wurde.

Emotet Phishing E-Mail

Phishing-Mail mit angehängtem PDF-Dokument

Emotet PDF-Dokument

PDF-Dokument mit Link zur Office-Datei

Im Inhalt dieses PDF-Dokuments befindet sich ein Link zu dem Download einer Office-Datei.

Emotet Office-Dokument

Office-Dokument

Öffnet das Opfer die Datei, wird ein Makro ausgeführt, das die gefährliche Malware herunterlädt.

Statische Analyse Emotet Code-Fragment

Statische Analyse – Code-Fragment

Diese Verschleierungstaktik nutzt Emotet, um Virenfilter und Sandbox-Analysen zu umgehen. Bisher scheint dies gut zu funktionieren, denn nicht mal ein Drittel, der auf VirusTotal gelisteten Antiviren-Programme, stuft die Datei als gefährlich ein.

Mit Advanced Threat Protection auf der sicheren Seite

Das URL-Scanning-Feature der Advanced Threat Protection von Hornetsecurity findet auch diese noch so gut versteckte Datei und schützt Kunden vor dieser hartnäckigen Blended Attack schon vor dem Eintreffen der Phishing-Mail.

In einem früheren Artikel haben wir einer anderen Variante von Emotet unter die Haube geschaut und ihr Verhalten analysiert.

Aus der Grundlagenforschung in die Praxis: Threat Modeling @ Hornetsecurity

Aus der Grundlagenforschung in die Praxis: Threat Modeling @ Hornetsecurity

Welche Security-Tests können wie vollautomatisiert genutzt werden, um Bedrohungen noch schneller und früher zu finden? Um diese Fragen ging es in der Masterarbeit unseres Mitarbeiters Jan Bartkowski. Wir möchten das Thema in diesem Blogartikel ausführlich vorstellen und erklären, warum Projekte von Studenten Hornetsecurity noch weiter voranbringen.

Threat Modeling: Wie kam es überhaupt zu diesem Projekt?

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Zu dem Zeitpunkt, als Jan auf Hornetsecurity aufmerksam geworden ist, war er Masterstudent der Informatik und hat nach einer Abschlussarbeit im IT-Security-Bereich eines Unternehmens gesucht. Gleichzeitig war Hornetsecurity – und ist weiterhin – offen für spannende Projekte mit Werkstudenten im IT-Security-Bereich.

Aktuelle Statistiken zeigen, dass Bedrohungen gegenüber Internetnutzern zunehmen. Auch der mediale Fokus hat in der jüngeren Vergangenheit zugenommen. Häufig ist die Rede von Cyberangriffen, bei denen eine Vielzahl an sensiblen Daten geklaut wurde und hoher finanzieller Schaden entstanden ist. So berichtet das Bundekriminalamt (BKA) unter Berufung auf die Studie des amerikanischen Sicherheitsunternehmens Norton by Symantec, dass im Jahr 2017 38 Prozent aller deutschen Internetnutzer Opfer von Cyberkriminalität geworden sind. Dadurch ist ein Schaden von 2,2 Milliarden Euro entstanden. Die Schwierigkeit ist, dass die Bedrohungen keineswegs die gleichen bleiben, sondern Kriminelle immer perfidere Methoden entwickeln, um Anwendungen anzugreifen.

Vor diesem Hintergrund entstand die Idee auf beiden Seiten: Der Spamfilter sollte mithilfe eines systematischen Vorgehens und automatischer Tests auf potenzielle Bedrohungen analysiert und damit die Sicherheit gegenüber Angriffen auf ihn selbst verstärkt werden. Besonders wichtig dabei ist die Anwendung strukturierter Methoden wie Threat Modeling, das speziell für die Analyse von Software entwickelt wurde, um Bedrohungen frühzeitig und systematisch zu erkennen.

Doch wie geht man bei einer so komplexen Aufgabenstellung vor?

Um eine Bedrohungsanalyse zu erstellen, war zunächst eine Dokumentation des Informationsflusses im Spamfilter notwendig. Um diesen zu visualisieren, wurden Datenflussdiagramme genutzt. Datenflussdiagramme sind ein in der Softwarearchitektur genutzter Diagrammtyp, der seinen Fokus auf den Fluss von Daten zwischen Prozessen, Datenspeichern und externen Akteuren richtet. Aus sicherheitstechnischer Sicht ist dieser Diagrammtyp daher hervorragend für eine Bedrohungsmodellierung geeignet, da ein Transfer von Daten stets Ziel eines Angriffs sein könnte.

Mit der Modellierung des Spamfilters in Datenflussdiagrammen war der Grundstein für die weitere Analyse geschaffen: Auf Basis dieser Datenflussdiagramme kann nun eine Technik namens “STRIDE per Element” angewandt werden. STRIDE per Element wurde von Microsoft entwickelt und in der wissenschaftlichen Literatur insbesondere von Adam Shostack in Büchern und Papern wie “Threat Modeling, Designing for Security” veröffentlicht. Threat Modeling beschreibt einen strukturierten Prozess und Rahmen für eine geordnete Modellierung und Analyse von Software. Durch die feste Vorgehensweise wird ein möglichst reproduzierbares Vorgehen mit möglichst vollständiger Betrachtung der wichtigsten Bedrohungen erreicht.

Als Teil eines solchen Threat Modelings sieht Microsoft die STRIDE-Bedrohungskategorien. “STRIDE” ist dabei ein Akronym, in dem jeder Buchstabe für eine Kategorie von üblichen Bedrohungen steht:

  • S = Spoofing Identity
  • T = Tampering with data
  • R = Repudiation
  • I = Information Disclosure
  • D = Denial of Service
  • E = Elevation of Privilege

Diese Bedrohungen werden in “STRIDE per Element” nun auf jedes Element in den Datenflussdiagrammen des zu analysierenden Systems angewandt. Dabei soll aber nicht jede Kategorie auch für jeden Typ von Element angewandt werden. So kann beispielsweise ein Datenfluss nicht eine falsche Identität vorgeben, wenn er selbst gar keine Identität hat.

Im Falle von Jans Masterarbeit wurde STRIDE per Element für das Datenflussdiagramm unseres HTML Control Panels angewandt. Dabei ist eine Liste von theoretischen Bedrohungen entstanden, die dann alle einzeln weiter analysiert wurden. Neben dem Sammeln von Wegen, einen praktischen Angriff für eine solche theoretische Bedrohung durchzuführen, wurden alle Bedrohungen auch hinsichtlich ihrer Komplexität und ihres Schutzes gegenüber Angriffen bewertet. Aus den Bewertungen lässt sich ein Risiko der einzelnen Bedrohungen berechnen, dass die ermittelte Gefährlichkeit einer Bedrohung wiederspiegelt.

Nach der Risikoanalyse wurden zu einem Teil der gefundenen potenziellen Bedrohungen automatisierte Sicherheitstests erstellt. Diese Tests sollen die bisher zum Teil noch manuelle Prüfung verschiedener Angriffe gegenüber unserem Control Panel automatisieren und so für schnellere, konstantere und vor allem mehr Sicherheitstests sorgen. Diese Sicherheitstests ergänzen die automatisierten Funktions- und Integrationstests in diesem Bereich optimal.

Daneben war aus wissenschaftlicher Perspektive auch interessant zu betrachten, wie gut sich solche theoretisch ermittelten Bedrohungen testen lassen. Die Tests wurden zu einem Teil aus öffentlich verfügbaren Sicherheitsframeworks zusammengestellt und zu einem anderen Teil selbst entwickelt.

Beide Seiten können durchweg ein positives Fazit aus dem Projekt ziehen. Das beschriebene Vorgehen war sehr sinnvoll, weil potenzielle Bedrohungen explizit sichtbar gemacht werden konnten. Darüber hinaus können die entwickelten Tests in Zukunft weiterverwendet werden und damit frühzeitig – bereits in der Entwicklungs- und Testphase – Fehler entdeckt werden.

Werkstudenten mit Ideen zur Security bei Hornetsecurity gesucht

Hornetsecurity freut sich, Jan nach erfolgreichem Abschluss des Projektes als festen Mitarbeiter in ihren Reihen aufnehmen zu können. Hornetsecurity bietet weiterhin Abschlussarbeiten im Bereich IT-Security an und freut sich über motivierte Studenten.

Wer Interesse hat, seine Ideen und ersten Erfahrungen im Rahmen einer Werkstudententätigkeit oder einer Abschlussarbeit einzubringen und umzusetzen, kann gerne auf uns zukommen und sich hier initiativ bewerben. Wir bieten eine tolle Arbeitsatmosphäre und unterstützen dich bei der Themenfindung und Durchführung deiner Abschlussarbeit.

Erpresser machen Kasse – und das ganz ohne Malware

Erpresser machen Kasse – und das ganz ohne Malware

Ihre Kreativität beweisen Online-Erpresser immer wieder aufs Neue. Mit einer aktuellen Spam-Welle setzen sie sogar noch einen drauf: Kriminelle versenden derzeit E-Mails, die ein echtes Passwort des Empfängers enthalten und bitten zur Kasse.

Erste Meldungen zu dieser Spam-Welle erschienen bereits Ende Juli. Heise Online stellt hier die äußerst erfolgreiche Masche vor:

In den E-Mails gibt der Erpresser an, im Besitz von angeblich existierenden Webcam-Aufnahmen des Empfängers zu sein, während dieser Seiten mit pornographischen Inhalten im Internet besucht hat. Um der Erpressung Nachdruck zu verleihen, gibt der Erpresser zudem an, das Passwort des Empfängers zu kennen.

Diese Masche ist zugegebenermaßen sehr schockierend und wird einige Empfänger zur Zahlung der geforderten Summe bewegt haben. Denn genau hier ist der Knackpunkt: Es handelt sich tatsächlich um ein echtes Passwort. Innerhalb der ersten Woche sollen schon über 50.000 US-Dollar über diese Spam-Welle eingegangen sein. Mittlerweile ist damit zu rechnen, dass die Erpresser weitaus mehr eingenommen haben.

Die E-Mail ist nach folgendem Muster aufgebaut:

„It appears that, (XX), is your password. May very well not know me and you are most likely wondering why you’re getting this e-mail, right?

In fact, I setup a viruses over the adult vids (adult porn) website and guess what, you visited this website to have fun (you really know what What i’m saying is). Whilst you were watching videos, your internet browser started out operating like a RDP (Remote Access) which provided me accessibility of your screen and webcam. after that, my software programs obtained all of your contacts from your Messenger, Outlook, FB, along with emails.

What did I do?

I produced a double-screen video clip. First part shows the video you’re watching (you have a good taste haha . . .), and Second part shows the recording of your webcam.

Exactly what should you do?

Well, I think, $1500 is really a reasonable price for our little secret. You will make the payment by Bitcoin (if you don’t know this, search “how to buy bitcoin” search engines like google). 

Bitcoin Address: 1MUCyUuh3YuqkdNbVPtTXNfJzahajctRou

(It’s case sensitive, so copy and paste it) 

Very important:

You’ve 1 day in order to make the payment. (I’ve a unique pixel in this e mail, and at this moment I am aware that you have read through this email message). If I don’t get the BitCoins, I will certainly send your video recording to all of your contacts including relatives, co-workers, and so forth. Having said that, if I get the payment, I’ll destroy the recording immidiately. If you need evidence, reply with “Yes!” and i’ll undoubtedly send your videos to your 6 contacts. It is a non-negotiable offer, that being said don’t waste my personal time and yours by answering this message.“

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Woher kennen Erpresser mein Passwort?

Die Passwörter stammen aller Wahrscheinlichkeit nach von früheren Phishing-Attacken. Als gehackte Websites gibt heise zum Beispiel Online-Dienste wie Yahoo, LinkedIn, eBay oder YouPorn an. Auch nach unseren Informationen lässt sich vor allem LinkedIn als Passwort-Quelle bestätigen.

In den meisten Fällen handelt es sich jedoch um alte Passwörter, die von dem Empfänger nicht mehr in Gebrauch sind.

Mit hoher Wahrscheinlichkeit stammen die Passwörter aus früheren Raubzügen diverser Webdienste, die vor zwei Jahren öffentlich im Netz zugänglich waren.

Entwarnung gibt es auch zur Webcam-Aufnahme: es existiert kein Video!

Wie schütze ich mich?

Wir raten Ihnen dringend davon ab, die geforderte Zahlung zu tätigen. Ratsam ist es auch, kein Passwort mehrmals zu verwenden. Oft gelangen vertrauliche Nutzerdaten wie E-Mail-Adressen und Passwörter in die Hände Krimineller, aufgrund geringer Schutzmaßnahmen seitens der Webdienste. Verwenden Sie ein Passwort gleich für mehrere Dienste, erhalten die Erpresser damit einen Freifahrtschein für Ihre Accounts. Weiterhin sollten Sie in regelmäßigen Abständen Ihre Passwörter ändern.

Weiterführende Informationen:

Spam-Panne fördert tausende gehackte Accounts zutage

Spam-Panne fördert tausende gehackte Accounts zutage

Cyberkriminelle sind dafür bekannt, besonders sorgfältig und im Verborgenen zu agieren. Oft wird der von ihnen angerichtete Schaden erst eine ganze Zeit später erkannt. Nun lieferten sich Spammer allerdings einen besonders brisanten und gefährlichen Fauxpas.

Bei einer routinemäßigen Kontrolle von Spam-E-Mails machte das Security Lab von Hornetsecurity einen außergewöhnlichen Fund. Sie stießen auf Spam-E-Mails, die ihre Empfänger mittels eines Links in 3 bis 4 Zeilen Fließtext, auf eine bekannte Spamseite lotsen wollten. Anreiz hierfür sollte ein vermeintlicher Geldgewinn sein. Bis zu diesem Punkt alles andere als ungewöhnlich – doch der Schein trügt.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Wirft man einen Blick in den Quellcode der E-Mail, dann fällt einem zu allererst auf, dass bestimmte Header-Zeilen ungewöhnlich lang sind. Insbesondere die Dateigröße ist mit über 900 Kilobyte besonders unverhältnismäßig zur Textlänge von 3 bis 4 Zeilen. Das liegt darin begründet, dass sich in der Spam-E-Mail übermäßig viel Blindtext befindet, der noch vor dem eigentlich sichtbaren Text eingefügt wurde. Durch bekannte Tricks wird der Blindtext vor der Anzeige im E-Mail-Client geschützt. Die Spammer erhoffen sich durch diese Taktik, die Spamfilter umgehen zu können. Denn diese werten in der Regel nur eine bestimmte Anzahl von Zeichen und Zeilen aus.

Den eigentlichen Fauxpas leisteten sie sich allerdings erst später. Bei einer Version der Spam-E-Mail, fügten die Kriminellen nicht den kryptischen Fülltext als Blindtext ein, sondern stattdessen versehentlich eine Liste der Zugangsdaten tausender echter E-Mail-Accounts.

Hierbei handelt es sich um gehackte Accounts, über die die Kriminellen ihre Spam-E-Mails versenden, bis diese gesperrt werden. Hornetsecurity steht bereits in Kontakt mit den betroffenen nationalen und internationalen E-Mail-Providern. Es wurden bereits entsprechende und notwendige Sicherheitsmaßnahmen getroffen und die Besitzer der E-Mail-Accounts kontaktiert. Ihre Accounts werden zunächst gesperrt, um weiteren Missbrauch zu vermeiden.

Vielleicht ebenfalls für Sie von Interesse:

Erfolgsprodukt CEO-Fraud – alte Masche, bleibende Gefahr

Erfolgsprodukt CEO-Fraud – alte Masche, bleibende Gefahr

Mittlerweile ist es ruhiger geworden um ihn, doch ausgestorben ist er noch lange nicht. Die Rede ist vom so genannten CEO-Fraud – vielen auch als Chef-Betrug oder Chef-Masche bekannt. Noch immer sorgt der digitale Trickdiebstahl bei vielen Unternehmen für Unmut und hohe wirtschaftliche Schäden, wie zuletzt bei einer Firma im hessischen Landkreis Groß-Gerau. Unbekannten gelang es, durch die Anwendung von CEO-Fraud eine Summe von 380.000 Euro zu erbeuten. Weltweit fordern Angreifer jährlich mehr als drei Milliarden Euro ein. Das entspricht in etwa dem Gewinn des Automobilherstellers Volkswagen im Jahr 2017.

Wichtige Kennzahlen zu CEO-Fraud in Unternehmen

Millionen Euro im Jahr erbeutete eine Gruppe Cyberkrimineller durch CEO-Fraud in Deutschland zwischen 2014 und 2017

%

beträgt die Erfolgsquote bei CEO-Fraud Attacken laut Info Security Magazine

Wie aber ist es möglich, dass die Erfolgsquote der Cyberkriminellen selbst Jahre nach Bekanntwerden der Angriffsmethode noch immer alarmierend hoch ist? Im Folgenden werfen wir einen Blick auf die Vorgehensweise und die ausgeklügelten Betrugstechniken der Täter, um den Erfolg der Masche besser nachvollziehen zu können.

Perfekte Planung ist die halbe Miete: Die Vorbereitungsphase eines CEO-Frauds

Im Visier eines CEO-Frauds steht in der Regel eine einzige Person. Meist ein Mitarbeiter der Buchhaltung mit direkter Befugnis für Überweisungen. Um den Betrug so authentisch wie möglich durchführen zu können, bedarf es zunächst einer außerordentlich guten Vorbereitung. Das Zauberwort hierbei heißt Social Engineering. Beim Social Engineering versuchen die Kriminellen im Vorfeld so viele Informationen wie möglich über ihr Opfer herauszufinden. In sozialen Netzwerken wie Facebook, Linkedin oder Xing werden sie fündig. Meist ist es ein Leichtes, so an Informationen wie die Berufsbezeichnung, den Arbeitsort oder sogar das komplette Organigramm eines Unternehmens zu gelangen.

Tricksen und Täuschen: Die Angriffsphase eines CEO-Frauds

Haben die Erpresser erst einmal genügend relevante Informationen gesammelt, beginnt die erste Kontaktaufnahme und damit die Angriffsphase des CEO-Fraud. Die Angreifer müssen es nun schaffen, eine gewisse Vertrautheit bei der Zielperson zu suggerieren. Dies leisten sie, indem sie sich in ihrer E-Mail auf aktuelle Themen aus dem Unternehmen beziehen. Dabei kann es sich beispielsweise um eine bevorstehende Übernahme oder neue Umsatzzahlen handeln, die sie im Vorfeld aus Pressemitteilungen entnommen haben.

Um dem Betrug die Krone aufzusetzen, legen einige Kriminelle E-Mail-Adressen an, die der E-Mail-Adresse des Geschäftsführers ähneln. Ein perfider Trick hierbei ist es, bestimmte Buchstaben einfach durch täuschend ähnlich aussehende Buchstaben zu ersetzen. Der Buchstabe „L“ in mueller@beispielunternehmen kann zum Beispiel sehr simpel durch ein großes „I“ ersetzt werden. Für den Laien ist dieser von Experten als Spoofing bezeichnete Schwindel nur bei sehr genauem Hinsehen zu erkennen.

Ein weiterer Trick ist das Vortäuschen einer bereits bestehenden E-Mail-Kommunikation. Weiß der Angreifer, mit welchen Personen der Chef eines Unternehmens üblicherweise kommuniziert und im für ihn besten Fall sogar über welche Themen, kann er eine solche Kommunikation nachahmen. Gefälschte Logos und E-Mail-Signaturen runden das Gesamtbild ab.

In ihren E-Mails greifen die Cyberkriminellen tief in die psychologische Trickkiste, um die von Ihnen gewollten Transaktionen zu initiieren. Das kann zum Beispiel Lob für die Arbeit der Zielperson oder auch der Aufbau von Druck sein. Oft geben die Angreifer zum Beispiel vor, die gewünschte Summe Geld müsse möglichst schnell überwiesen werden, da sonst ein wichtiger, diskreter Deal scheitern könne. Diskret deshalb, damit die im Visier stehende Person keine weiteren Kollegen in die Angelegenheit einweiht und der Betrug auffliegen könnte.

Was macht den Erfolg der Betrugsmasche aus?

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Wie auch bei anderen Cyberattacken, stellen die Mitarbeiter selbst den größten Risikofaktor dar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt schon seit langem vor einem zu sorglosen Umgang mit persönlichen Daten. Doch auch die Unternehmen tragen ihren Beitrag dazu bei. Sie veröffentlichen eine Vielzahl von Informationen in den sozialen Netzwerken, die zu Marketingzwecken dienen sollen. So haben Angreifer leichtes Spiel und können sich ohne große Schwierigkeiten an einer Vielzahl von Inhalten bedienen.

Ein weiterer entscheidender Faktor der Betrugsmasche stellt die psychologische Komponente dar. Die Angreifer nutzen hier gezielt Emotionen, wie etwa Respekt und Vertrauen vor der nächst höheren Hierarchieebene schamlos aus, um ihre Opfer zu manipulieren. Durch die langwierige Vorbereitung und die meist sehr ausgefeilte Umsetzung kann der CEO-Fraud so sehr hohe Erfolgsquoten erzielen.

Wie schütze ich mein Unternehmen gegen CEO-Fraud?

Ein gesundes Misstrauen und die richtige Aufklärung sind das A und O im Kampf gegen die Chef-Masche. Aus Sicht eines Unternehmens macht es zum Beispiel Sinn, der Unwissenheit vieler Mitarbeiter mit regelmäßig stattfindenden Infoveranstaltungen entgegenzuwirken. So kann gezielt auf die Tricks der Betrüger, wie die Buchstabendreher oder falsche Signaturen hingewiesen werden.

Auch der Einsatz eines E-Mail-Verschlüsselungsservice kann hier Abhilfe schaffen, da eine falsche oder fehlende Signatur auf diesem Weg sofort ins Auge fällt. Wer sich trotz allen Vorkehrungen nicht sicher ist, ob eine E-Mail wirklich „echt“ ist, sollte sich bei dem vermeidlichen Absender einer E-Mail zum Beispiel telefonisch rückversichern. Dies kostet nur wenig Zeit und kann einen möglichen Betrug schon im Anfangsstadium unterbinden.

Mittlerweile existieren sogar Mittel und Wege, solche betrügerischen E-Mails erst gar nicht in die Postfächer der Mitarbeiter gelangen zu lassen. Managed Security Services, wie Advanced Threat Protection von Hornetsecurity sind mittels ausgeklügelter Forensiksysteme in der Lage, hochkomplexe Angriffsmuster wie CEO-Fraud zu durchschauen und sie im Vorfeld zu blockieren. Sobald ein Angriff entdeckt wird, schickt ATP eine automatisierte Benachrichtigung an die Sicherheitsverantwortlichen. Auf diese Weise wird dem CEO-Fraud sofort der Wind aus den Segeln genommen und Ihre Mitarbeiter können sich wieder voll und ganz auf ihre eigentlichen Aufgaben konzentrieren.

Vielleicht ebenfalls für Sie von Interesse: