Sicherheitsforscher von Barracuda haben drei neue Phishing-Taktiken identifiziert, die von Cyberkriminellen eingesetzt werden: Angriffe, die Google-Translate-Links missbrauchen, Attacken mit Bildanhängen sowie Angriffe mithilfe von Sonderzeichen.
Auch wenn das Volumen dieser Angriffe sehr gering ist – jeder Angriffstyp macht weniger als ein Prozent der Phishing-Angriffe aus – sind sie weit verbreitet und betreffen jeweils 11 bis 15 Prozent der Unternehmen. Die Wahrscheinlichkeit ist daher hoch, dass viele Unternehmen noch vor Ende des Jahres auf eine dieser bösartigen Nachrichten stoßen.
Gateway-basierte Systeme bieten nur wenig bis gar keinen Schutz gegen diese Art von Angriffen und es würde eine Menge an Tuning und kontrollbasierten Regeln erfordern, um Unternehmen dagegen zu wappnen. Diese Angriffe sind eher dynamischer Natur. Nachfolgend findet sich ein genauerer Blick auf die drei neuen Cybertaktiken und Best Practices, mit denen sich Unternehmen dagegen schützen können.
Angriffe, die Google-Translate-Links missbrauchen
Laut Barracuda nutzen eine steigende Anzahl von E-Mail-Attacken Google-Translate-Dienste, um bösartige URLs zu verbergen. Diese Angriffe werden gemeinhin als Google-Translate-Phishing, übersetzungsbasiertes Phishing oder Translation Deception Attack bezeichnet. Etwa 13 Prozent der Unternehmen erhalten diese Art von Phishing-E-Mails. Im Durchschnitt erhält ein Unternehmen etwa acht dieser E-Mails pro Monat.
Google Translate ist der am häufigsten missbrauchte Dienst, aber die Sicherheitsanalysten haben auch ähnliche Angriffe beobachtet, die hinter anderen beliebten Suchmaschinen versteckt sind. Die Angriffe sind schwer zu erkennen, da sie URLs enthalten, die auf eine legitime Website verweisen. Daher werden sie von vielen E-Mail-Filtertechnologien nicht erkannt und gelangen in die Postfächer von Nutzern.
Nach der E-Mail-Zustellung ändern die Angreifer die Nutzlast in bösartige Inhalte, sodass Gateway-basierte Abwehrmaßnahmen nur wenig Sicherheit bieten. Angriffe verwenden auch schlecht gestaltete HTML-Seiten oder eine nicht unterstützte Sprache, um die Übersetzung zu umgehen. In diesem Fall liefert Google einfach einen Link zurück zur ursprünglichen URL, der besagt, dass es nicht in der Lage ist, die zugrunde liegende Website zu übersetzen. Nutzer, die fälschlicherweise auf die Seite klicken, werden auf eine Website weitergeleitet, die vom Angreifer kontrolliert wird.
Angriffe mit Bildanhängen
Auf Bildern basierende Angriffe werden häufig von Spammern eingesetzt. Inzwischen beginnen Angreifer jedoch auch, Bilder ohne Text in ihren Phishing-Angriffen zu verwenden. Diese Bilder enthalten oft einen Link oder eine Telefonnummer für Rückrufe, die zu Phishing-Angriffen führen.
Laut Barracuda erhielten etwa 11 Prozent der Unternehmen diese Art von Phishing-E-Mails. Im Durchschnitt erhält ein Unternehmen etwa zwei dieser E-Mails pro Monat. Da diese Angriffe keinen Text enthalten, werden sie von herkömmlichen E-Mail-Gateways nicht erkannt. Bei vielen Angriffen mit Bildanhängen handelt es sich um gefälschte Rechnungen.
In letzter Zeit sind diese Arten von Angriffen unter dem Begriff Image-Phishing oder Phishing- by-Image bekannt geworden. Sie erfreuen sich bei Kriminellen zunehmender Beliebtheit, da die Benutzer oft eher bereit sind, einem Bild zu vertrauen, das aus einer legitimen Quelle zu stammen scheint.
Verwendung von Sonderzeichen bei Angriffen
Sonderzeichen wie Unicode-Codepunkte mit Null-Breite, Satzzeichen, nicht-lateinische Schrift oder Leerzeichen werden gerne von Cyberkriminellen eingesetzt, um einer Erkennung zu entgehen. Etwa 15 Prozent der Unternehmen erhielten Phishing-E-Mails, die Sonderzeichen auf diese Weise missbrauchten. Im Durchschnitt erhält ein Unternehmen etwa vier dieser bösartigen E-Mails pro Monat. Zeichen mit Null-Breite sind für einen Benutzer, der eine Nachricht empfängt, nicht sichtbar, jedoch sind sie im HTML-Code erkennbar.
Diese Attacken werden gemeinhin als „Homographen-Angriffe“ oder einfach als „Angriffe mit Leerzeichen ohne Breite“ bezeichnet. Es gibt verschiedene weitere Angriffe, die diesen Techniken ähneln:
Punycode-Angriffe: Wie Sonder- oder Null-Breiten-Zeichen verwenden Punycode-Angriffe Nicht-ASCII-Zeichen in Domänennamen, um gefälschte URLs zu erstellen, die denen legitimer Websites gleichen und Benutzer zur Eingabe ihres Benutzernamens und Passworts oder ihrer Kreditkartennummer verleiten sollen.
URL-Spoofing-Angriffe: Bei diesen Angriffen werden ähnliche Domänen verwendet, die nicht unbedingt mit den tatsächlichen legitimen Websites oder Unternehmen identisch sind. Wie bei Punycode-Angriffen erstellen die Angreifer Anmeldeformulare, in die die Benutzer irrtümlich ihre Anmeldedaten eingeben oder zum Herunterladen vermeintlich sicherer Dateien aufgefordert werden, welche Ransomware oder Malware auf dem lokalen Computer installieren.
Typo-Squatting-Angriffe: In diesem Fall registriert ein Angreifer beispielsweise eine Domäne wie yahooo.com, um die echte Yahoo!-Website zu imitieren.
Watering-Hole-Angriffe: Bei dieser Art von Angriffen zielen Cyberkriminelle absichtlich auf eine Gruppe von Benutzern mittels einer kompromittierten Website ab, von der bekannt ist, dass sie von ihrer Zielgruppe besucht wird. Die Angreifer schleusen bösartigen Code in die Webseite ein und nutzen diesen, um Anmeldedaten oder andere sensible Informationen zu stehlen und sogar Malware oder Ransomware zu installieren.
Schutzmaßnahmen
E-Mail-Schutz: Es sollte sichergestellt werden, dass der E-Mail-Schutz bösartige Links und Anhänge scannt und blockiert. Diese sind oft schwer zu erkennen, und bei der Erkennung kommt es häufig zu einer großen Anzahl falsch positiver Ergebnisse. Die besten Lösungen beinhalten eine Analyse mit maschinellem Lernen, die den Bildkontext und den Betreff der E-Mails untersucht und mit den Absenderdaten kombiniert, um festzustellen, ob es sich um einen Angriff handelt oder nicht.
Mitarbeiterschulungen: Benutzer sollten darin geschult werden, potenzielle Angriffe zu erkennen und zu melden. Phishing-Angriffe entwickeln sich ständig weiter, daher ist es wichtig, Benutzer über neue Angriffsarten zu informieren. Sicherheitsteams sollten Beispiele für diese Angriffe in die Phishing-Simulationskampagnen des Unternehmens integrieren und Benutzer dazu anhalten, immer zweimal hinzusehen, bevor sie auf einen Link klicken oder ihre Anmeldedaten weitergeben.
Für den Fall, dass eine bösartige E-Mail doch in die Posteingänge eines Benutzers gelangt, sollten Sicherheitsteams ihre Remediation-Tools bereithalten, um alle Instanzen einer bösartigen E-Mail schnell zu identifizieren und aus den Posteingängen zu entfernen.