E-Mail-basierte Angriffe mit Namensimitation sind eine stark zunehmende Form der Kompromittierung geschäftlicher E-Mail-Konten (BEC), die dem Empfänger vorgaukelt, die E-Mail stamme von einer vertrauenswürdigen Quelle. Bei Cloudflare entdecken wir täglich E-Mail-basierte Angriffe auf Namensidentitäten in den Posteingängen unserer Kunden und rufen diese zurück. Bei der überwiegenden Mehrheit dieser Angriffe handelt es sich um einfache Betrügereien, bei denen beispielsweise ein Mitarbeitender aufgefordert wird, einen Geschenkgutschein zu kaufen. Die raffinierteren Angriffe nutzen neue Möglichkeiten zur Nutzung von Social Engineering und OSINT, um immer überzeugendere Phishing-E-Mails zu erstellen.
Wahrscheinlich haben Sie schon Phishing-E-Mails wie die folgende gesehen. In diesem Fall gibt sich jemand als Angestellter aus und bittet darum, seine Bankdaten für die Gehaltsabrechnung zu ändern.
Bildquelle: Cloudflare E-Mail-Sicherheit
Bei diesem und ähnlichen Angriffen werden grundlegende Informationen über die Zielpersonen verwendet, wie z. B. ihr Name und ihre Berufsbezeichnung, die von LinkedIn oder anderen sozialen Medienplattformen stammen. Diese werden in der Regel massenhaft an viele verschiedene Organisationen und Nutzer gleichzeitig verschickt – ein „weites Netz“.
Eine komplexere Form des Angriffs auf die Namensidentität ist als „VIP/Vendor Impersonation Combo“ bzw. „Kombination von VIP & Anbieternachahmung“ bekannt. In diesem Beispiel hat der Angreifer eine gefälschte Domain registriert, die sich als seriöser Anbieter ausgibt. Der Angreifer hat auch eine E-Mail-Adresse erstellt, die sich als ein VIP des Zielunternehmens ausgibt. Der Angreifer erstellt einen gefälschten E-Mail-Gesprächsverlauf des vermeintlichen Lieferanten, der die Zahlung einer Rechnung fordert.
Bildquelle: Cloudflare E-Mail-Sicherheit
Diese können besonders gefährlich sein, da der gefälschte Gesprächsverlauf dem Ersuchen Autorität verleiht. Im Allgemeinen sind diese Angriffe zielgerichteter als die massenhaft verschickten E-Mails mit Aufforderung zur Durchführung von Direktzahlungen. Die Angreifer verbringen in der Regel mehr Zeit damit, die Umgebung des ins Ziel genommenen Opfers zu erforschen. Im Falle eines kompromittierten Kontos können die Bedrohungstäter die letzten E-Mails der Zielperson lesen und sind so besser in der Lage, ihre Anfragen zu legitimieren. Schauen wir uns ein noch komplizierteres Beispiel für eine Namensimitation an, bei der solche Taktiken zum Einsatz kommen.
Bildquelle: Cloudflare E-Mail-Sicherheit
In diesem Beispiel gibt sich ein Bedrohungstäter als Angestellter aus und verwendet eine Domain, die mit der legitimen Domain fast ident ist. Außerdem haben sie den bestehenden E-Mail-Gesprächsverlauf zwischen den Unternehmen gekapert, indem sie das E-Mail-Konto des Absenders kompromittiert haben.
Dabei handelt es sich um eine äußerst gefährliche und gezielte Form der Namensimitation – „Vendor Compromise bzw. Kompromititerung eines Anbieters“. Angriffe dieser Art machen sich alle oben genannten Taktiken zunutze, einschließlich VIP-und Anbieterimitation, und nutzen die Informationen, die vom kompromittierten Konto eines Anbieters gesammelt wurden. In diesem Fall bestand ein hohes finanzielles Risiko für die Kunden. Glücklicherweise alarmiert Cloudflare die Kunden, die dann Maßnahmen ergreifen können, bevor Schaden entsteht.
Da sich die Angriffe mit Namensimitation ständig weiterentwickeln, ist es sehr wichtig, die Risiken zu erkennen, die diese Angriffe für Ihr Unternehmen darstellen. Schließlich ist die E-Mail nach wie vor der häufigste Vektor für Datenverstöße in bzw. die Kompromittierung von Unternehmen.
Die fortschrittliche Email Security-Technologie von Cloudflare nutzt fortschrittliches Machine Learning und KI, um neuartige Taktiken zu ermitteln, mit denen böswillige Akteure herkömmliche Schutzmaßnahmen in Echtzeit umgehen. Weitere aktuelle Trends und Empfehlungen zur Verhinderung erfolgreicher Phishing-Angriffe finden Sie im Bericht zu Phishing-Bedrohungen 2023. Um Cloudflare Email Security in Aktion zu sehen, können Sie jetzt eine kostenlose Analyse Ihres Phishing-Risikos anfordern.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträgerinnen und -träger aus der Tech-Branche heute von Bedeutung sind.
Adam Leverette — @adam-leverette
Threat Response Engineer, Cloudflare
Folgende Informationen werden in diesem Artikel vermittelt:
Wie böswillige Akteure durch Nachahmung legitim erscheinen können
3 gängige Arten der Namensimitation
Warum herkömmliche E-Mail-Sicherheitssysteme diese Art von Angriffen nicht erkennen können