KnowBe4 Threat Lab – Reale Geschäftsdomäne für Phishing-Angriff missbraucht

Vor wenigen Tagen hat das Threat Lab von KnowBe4 in einem Blogbeitrag die Ergebnisse seiner Analyse einer eher ungewöhnlichen Phishing-Kampagne vorgestellt. Deren Besonderheit: sie erfolgte über eine reale – aber kompromittierte – Geschäftsdomäne.

Den Angreifern war es gelungen, in die DNS-Verwaltungskonsole einer legitimen Domäne einzudringen. Hier hatten sie dann eine Subdomäne und einen TXT-Eintrag erstellt, was es ihnen ermöglichte, den legitimen Mailgun-E-Mail-Dienst in ihren Angriff einzuspannen. Ausgestattet mit gültigen SPF-, DKIM- und DMARC-Authentifizierungsprotokollen des E-Mail-Dienstes konnten sie die Sicherheitsrichtlinien der E-Mail-Dienste ihrer Opfer problemlos überwinden.

Über die kompromittierte Domain versandten sie E-Mails an Mitarbeiter verschiedener Unternehmen, vornehmlich aber der US-amerikanischen Gesundheits- und Finanzbranche. Ihre Opfer erhielten dabei Links zugespielt, die sie auf eine als Fake-Microsoft-Anmeldeseite getarnte Phishing-Landingpage führten.

Um ihre Erfolgsquote zu erhöhen, nutzen die Angreifer die Schwachstelle CWE-601 (URL Redirection to Untrusted Site) in Verbindung mit

• einer URL im E-Mail-Text,
• einem HTML-Anhang,
• einem PDF-Anhang mit QR-Code,
• einem E-Mail-Text mit verstecktem JavaScript-Code oder auch
• einer Fake-Microsoft-Benachrichtigung samt Link,

die ihre Opfer allesamt zur erwähnten Phishing-Landingpage führten. Unternehmen müssen damit rechnen, dass Cyberkriminelle diese Taktik in Zukunft häufiger zur Anwendung bringen werden. Das KnowBe4 Threat Lab-Team rät deshalb:

• Endpoint Detection and Response (EDR) zu verwenden, um ungewöhnliches Verhalten und bösartige Software rechtzeitig zu erkennen,
• eigene DNS-Einträge zu überwachen, um unerwartete Änderungen frühzeitig feststellen zu können,
• den ausgehenden E-Mail-Verkehr auf Anomalien zu überwachen,
• das Sicherheitsbewusstsein von Mitarbeitern durch effektive Trainings, Schulungen und Tests zu erhöhen und
• eine Sicherheitskultur zu etablieren, die ein proaktives Sicherheitsverhalten aller Mitarbeiter unterstützt und fördert.

Angreifer entwickeln ständig neue Taktiken, Techniken und Verfahren, um die E-Mail-Sicherheitslösungen ihrer Opfer zu umgehen und erfolgreich in deren Posteingänge vorzustoßen. Unternehmen und Institutionen müssen hier stärker gegensteuern – mit Investitionen in ihr Human Risk Management (HRM). Trainings, Schulungen und Tests allein genügen nicht mehr. Dem wachsenden Risiko erfolgreicher Phishing-Angriffe muss in zunehmendem Maße auch technologisch begegnet werden. Mit modernen Anti-Phishing-Lösungen, die Technologien wie Crowdsourcing und KI nutzen, um selbst neueste Zero Day-Bedrohungen frühzeitig aufzuspüren. Dass Phishing auch in den kommenden Jahren das Sicherheitsrisiko Nr. 1 bleiben wird, davon ist auszugehen. Entsprechend wichtig wird es für Unternehmen sein, sich hier noch besser aufzustellen, schneller als bisher zu reagieren. Das wird jedoch nur möglich sein, wenn es ihnen gelingt, ihr HRM besser in den Griff zu bekommen. Anders werden sich Angreifer, die legitime Domains für ihre Phishing-Attacken nutzen, kaum rechtzeitig aufspüren und abwehren lassen.

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Bild/Quelle: https://depositphotos.com/de/home.html