Executive Summary
- Hornetsecurity registrierte im Februar 2022 einen Anstieg der Bedrohungs-E-Mails.
- URL-basierte E-Mail- und Phishing-Angriffe sind nach wie vor von großer Bedeutung.
- Mit 47,1 % war LinkedIn die am häufigsten imitierte Marke in laufenden Phishing-Kampagnen.
Zusammenfassung
In dieser Ausgabe unseres monatlichen E-Mail-Bedrohungsberichts geben wir einen Überblick über die im Februar 2022 beobachteten E-Mail-basierten Bedrohungen und vergleichen sie mit denen des Vormonats.
Der Bericht bietet Einblicke in:
- Unerwünschte E-Mails nach Kategorie
- Bei Angriffen verwendete Dateitypen
- Branchen Email Threat Index
- Angriffstechniken
- Imitierte Firmenmarken oder Organisationen
Unerwünschte E-Mails nach Kategorie
Die folgende Tabelle zeigt die Verteilung der unerwünschten E-Mails nach Kategorien.
| E-Mail-Kategorie | % |
|---|---|
| Rejected | 79.77 |
| Spam | 14.20 |
| Threat | 5.13 |
| AdvThreat | 0.87 |
| Content | 0.03 |
Das folgende Zeithistogramm zeigt das E-Mail-Volumen pro Kategorie und Stunde.
Der Anstieg der abgelehnten E-Mails ab dem 16.02.2022 lässt sich auf eine groß angelegte, wiederkehrende E-Mail-Betrugskampagne in deutscher Sprache zurückführen, bei der es um Sextortion geht. Diese Kampagne ging dann am 2022-02-24 auf die niederländische Sprache über. Parallel zu diesen Kampagnen registrierten wir auch mehr Bedrohungs-E-Mails.
Methodik
Die aufgelisteten E-Mail-Kategorien entsprechen den E-Mail-Kategorien, die im Email Live Tracking des Hornetsecurity Control Panels aufgelistet sind. Unsere Benutzer sind also bereits mit ihnen vertraut. Für andere sind die Kategorien:
| Kategorie | Beschreibung |
|---|---|
| Spam | Diese E-Mails sind unerwünscht und haben häufig einen werblichen oder betrügerischen Charakter. Die E-Mails werden gleichzeitig an eine große Anzahl von Empfängern verschickt. |
| Content | Diese E-Mails haben einen ungültigen Anhang. Welche Anhänge ungültig sind, legen die Administratoren im Modul Content Control fest. |
| Threat | Diese E-Mails enthalten gefährliche Inhalte wie bösartige Anhänge oder Links oder werden zur Begehung von Straftaten wie Phishing verschickt. |
| AdvThreat | Bei diesen E-Mails hat Advanced Threat Protection eine Bedrohung erkannt. Die E-Mails werden für illegale Zwecke eingesetzt und nutzen ausgeklügelte technische Mittel, die nur mithilfe von fortgeschrittenen dynamischen Verfahren abgewehrt werden können. |
| Abgelehnt | Diese E-Mails werden aufgrund externer Merkmale, die z. B. die Identität des Absenders betreffen können, im Laufe des SMTP-Dialogs direkt von unserem E-Mail-Server abgelehnt und nicht weiter analysiert. |
Bei Angriffen verwendete Dateitypen
Die folgende Tabelle zeigt die Verteilung der in Angriffen verwendeten Dateitypen.
| Dateityp (verwendet in bösartigen E-Mails) | % |
|---|---|
| HTML | 33.6 |
| Archive | 29.0 |
| Excel | 12.4 |
| 9.9 | |
| Disk image files | 4.6 |
| Executable | 3.7 |
| Other | 3.5 |
| Word | 2.9 |
| Script file | 0.3 |
| LNK file | 0.1 |
| 0.0 | |
| Powerpoint | 0.0 |
Das folgende Histogramm zeigt das E-Mail-Volumen pro Dateityp, das bei Angriffen innerhalb von sieben Tagen verwendet wird.
Die Zahl der E-Mail-Angriffe, bei denen HTML-Dokumente zur Übermittlung von Schadinhalten oder zum Phishing von Anmeldeinformationen verwendet werden, ist im Vergleich zu früheren Zeiten zurückgegangen. Stattdessen nahmen Angriffe zu, bei denen Archivdateien, z. B. ZIP-Dokumente, verwendet wurden, um bösartige Skriptdateien und andere ausführbare Dateien zu kapseln. Der Anstieg der bösartigen Excel-Dokumente von 10 % auf 12,4 % kann auf die Emotet-Aktivitäten zurückgeführt werden, die derzeit bösartige Excel-Dokumente als Infektionsvektor nutzen.
Branchen Email Threat Index
Die folgende Tabelle zeigt die Top 10 unseres Branchen-E-Mail-Bedrohungsindex, der anhand der Anzahl der bedrohlichen E-Mails im Vergleich zu den empfangenen sauberen E-Mails (im Median) für jede Branche berechnet wurde.
| Branchen | Anteil der Threat Emails an Threat und Gültigen Emails |
|---|---|
| Research industry | 10.5 |
| Entertainment industry | 7.3 |
| Healthcare industry | 7.3 |
| Education industry | 7.0 |
| Hospitality industry | 6.9 |
| Manufacturing industry | 6.7 |
| Media industry | 6.6 |
| Automotive industry | 6.6 |
| Retail industry | 6.1 |
| Utilities | 5.6 |
Das folgende Balkendiagramm visualisiert die E-Mail-basierte Bedrohung für jede Branche.
Insgesamt ist unser E-Mail-Bedrohungsindex über alle Branchen hinweg gestiegen. Die Positionen der vier führenden Branchen bleiben unverändert. Allerdings stieg der Bedrohungsindex der Forschungsindustrie von allen beobachteten Branchen am stärksten an. Während der Bedrohungsindex der Forschungsindustrie von 6,8 % auf 10,5 % anstieg, stieg der Bedrohungsindex der Unterhaltungsindustrie nur von 6,4 % auf 7,3 %. Der Bedrohungsindex der Gesundheitsbranche stieg von 5,3 % auf 7,3 %.
Methodik
Unterschiedlich große Organisationen erhalten eine unterschiedliche absolute Anzahl von E-Mails. Um Organisationen zu vergleichen, haben wir daher den prozentualen Anteil der Threat E-Mails an den Threat und Gültigen E-Mails jeder Organisation berechnet. Anschließend berechnen wir den Median dieser Prozentwerte über alle Organisationen innerhalb derselben Branche, um den endgültigen Threat Index für die Branche zu ermitteln.
Angriffstechniken
Die folgende Tabelle zeigt die bei Angriffen verwendete Angriffstechnik.
| Angriffstechnik | % |
|---|---|
| Phishing | 48.4 |
| Other | 32.0 |
| URL | 10.6 |
| Extortion | 2.3 |
| Advance-fee scam | 2.2 |
| Executable in archive/disk-image | 1.9 |
| Impersonation | 1.8 |
| Maldoc | 0.8 |
| LNK | 0.0 |
Das folgende Zeithistogramm zeigt das E-Mail-Volumen pro eingesetzter Angriffstechnik pro Stunde.
Imitierte Firmenmarken oder Organisationen
Die folgende Tabelle zeigt, welche Firmenmarken unsere Systeme am häufigsten bei Impersonationsangriffen entdeckt haben.
| Imitierte Firmenmarke oder Organisation | % |
|---|---|
| 47.1 | |
| Volks- und Raiffeisenbank | 24.4 |
| Sparkasse | 9.2 |
| Amazon | 5.2 |
| Fedex | 4.1 |
| Deutsche Post / DHL | 2.2 |
| Postbank | 0.6 |
| UPS | 0.4 |
| Microsoft | 0.4 |
| Other | 6.4 |
Das folgende Zeithistogramm zeigt das E-Mail-Volumen für Firmenmarken, die bei Impersonationsangriffen entdeckt wurden, pro Stunde.
LinkedIn wurde in diesem Monat in mehreren Phishing-Kampagnen missbraucht.
Außerdem haben wir festgestellt, dass die Phishing-Kampagnen gegen deutsche Banken, namentlich Volks- und Raiffeisenbanken, Sparkassen und Postbanken, fortgesetzt werden.
