Um solch einen Angriff starten zu können, nehmen die Angreifer zunächst Kontakt mit einem der Dienste auf und fordern online ein Dokument an – etwa ein Rechnungsformular oder ein Dokument zur Beilegung eines Streitfalls. Viele Dienste bieten ihren Kunden hier mittlerweile die Möglichkeit, im Dokument an spezifischen Stellen Daten in Kommentarfeldern einzugeben. Die Angreifer erhalten so die Möglichkeit, im Dokument selbst etwas einzutragen – beispielsweise den Hinweis, dass man sich bei Fragen an folgende Telefonnummer oder Website wenden solle. Anschließend lassen sie den Dienst das fertige Dokument an ihre E-Mail-Adresse senden. Kommt die E-Mail nun in ihrem Posteingang an, leiten sie sie einfach weiter – an eine zuvor von ihnen zusammengestellte Liste ihrer Opfer.
Unsichtbar für E-Mail-Sicherheitslösungen
Da der Header und der Inhalt der E-Mail unverändert bleiben, diese kryptografisch signiert sind, durchlaufen die E-Mails problemlos die DKIM- und DMARC-Prüfungen (DomainKeys Identified Mail und Domain-based Message Authentication, Reporting & Conformance) der E-Mail-Sicherheitslösungen ihrer Opfer. Für die Lösungen kommen die Emails direkt vom Anbieter des Dienstes – nicht vom Angreifer. Wie das funktioniert? Ganz einfach. DKIM fügt eine kryptografische Signatur an die Header und den Textkörper einer E-Mail an. Der empfangende Mailserver verwendet dann den öffentlichen Schlüssel der sendenden Domain, um zu bestätigen, dass der signierte Inhalt während der Übertragung nicht verändert worden ist. DMARC überprüft dann, ob die authentifizierte Domain und die sichtbare Von:-Adresse übereinstimmen. Ein Sicherheitsmechanismus, der sich mit DKIM-Replay-Angriffen leicht überwinden lässt.
Trifft die weitergeleitete E-Mail nun im Postfach des Opfers ein, wird diesem suggeriert, dass die Nachricht tatsächlich vom offiziellen Absender, also dem entsprechenden großen Dienst, stammt. Im ‚offiziellen‘ Dokument findet es dann eine Telefonnummer, die es anrufen oder einen Link zu einer Website, den es anklicken soll. Ziel der Angreifer ist in aller Regel das Abgreifen persönlicher oder finanzieller Informationen oder die Installation von Malware oder einer Fernzugriffssoftware auf dem Rechner des Opfers.
Gefahr auch für Unternehmen
Dass solch ein Angriff allein Privatanwender ins Visier nimmt, ist wenig wahrscheinlich. Leicht können auch Mitarbeiter von Unternehmen in den Fokus geraten. Unternehmen kann deshalb nur geraten werden, ihre Mitarbeiter über solche und ähnliche Angriffe – die sie zu Hause wie am Arbeitsplatz jederzeit ereilen können – auf dem Laufenden zu halten. Sämtliche Mitarbeiter können und müssen zur ersten Verteidigungslinie ausgebaut werden, wenn es darum geht, Unternehmen vor den immer komplexer werdenden Social Engineering-Angriffen der cyberkriminellen Szene abzusichern.
Am effektivsten – da umfassendsten – hilft hier der Einsatz eines modernen Human-Risk-Management-Systems. Seine Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen, um Mitarbeiter zu stärken. Anti-Phishing-E-Mail-Technologien von KnowBe4 kombinieren KI mit Crowdsourcing, um neueste Zero-Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, ihre Risiken signifikant zurückzufahren und Mitarbeiter zur besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen.
