{"id":145652,"date":"2019-10-31T19:48:05","date_gmt":"2019-10-31T19:48:05","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/top-phishing-koeder\/"},"modified":"2024-06-21T14:25:44","modified_gmt":"2024-06-21T14:25:44","slug":"top-phishing-koeder","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/de\/blog\/top-phishing-koeder\/","title":{"rendered":"Top Phishing K\u00f6der und b\u00f6sartige E-Mail-T\u00e4uschungen, auf die Sie achten sollten"},"content":{"rendered":"

Sch\u00fctzen Sie Ihre Kunden vor den bedrohlichsten Betrugsversuchen und gemeinsten Gef\u00e4hrdungen dieses Jahres, indem Sie ihnen beibringen, wie man die h\u00e4ufigsten Malspam- und Phishing-Verschleierungen durchschaut.<\/h4>\n

Um Halloween und den letzten Tag des „Monats der Cybersicherheit“ zu feiern, beleuchten wir drei der beliebtesten Maskierungen, mit denen sich Kriminelle an den Verteidigungen vorbei direkt in die Posteing\u00e4nge schleichen. Teilen Sie diese Ihren Kunden mit, als Erinnerung wachsam zu bleiben und daran, dass Sie Tag f\u00fcr Tag hart arbeiten, um sie vor solchen Angriffen zu sch\u00fctzen.<\/p>\n

Tarnung #1: Office-Dokumente ermutigen Sie, Makros zu aktivieren.<\/strong><\/h2>\n

\"emotet<\/p>\n

Was steckt dahinter?<\/strong><\/h4>\n

Ein Klassiker. Also die Hexe oder der Dracula unter den Kost\u00fcmierungen, nur als Spam-Schadsoftware. Die Angreifer senden dem Opfer eine E-Mail mit einem Office Dateianhang (normalerweise Word, aber manchmal auch Excel oder sogar Publisher-Dateien) oder einen Link, der zu diesen Dateien weiterleitet. Diese Dateien sind h\u00e4ufig als Rechnungen verkleidet, oder als andere gesch\u00e4ftsm\u00e4\u00dfig wirkende Dokumente. So erzeugen Sie ein Gef\u00fchl von Dringlichkeit. Im Inneren haben die Angreifer b\u00f6sartige Makros versteckt, die eine Kettenreaktion von Befehlen starten, die typischerweise dazu f\u00fchren, dass Schadsoftware aus dem Internet heruntergeladen und ausgef\u00fchrt wird.<\/p>\n

Diese Technik gibt es seit Jahren, und sie wird nach wie vor von einigen der heute aktivsten Malware-Operationen, einschlie\u00dflich Emotet, stark genutzt – nach einigen Messungen ist dies momentan die<\/em> am weitesten verbreitete Gef\u00e4hrdung unter den Schadprogrammen<\/a>.<\/p>\n

 <\/p>\n

\n

48% aller b\u00f6sartigen E-Mail Anh\u00e4nge sind Office Dateien<\/strong><\/h3>\n

\u2014 Symantec 2019 ISTR<\/a><\/p><\/blockquote>\n

 <\/p>\n

Warum man diese Art von Angriffen auch nach vielen Jahren noch so h\u00e4ufig antrifft? Ganz einfach: Sie funktionieren.<\/p>\n

Was macht diese Verschleierungsmethode so effektiv?<\/strong><\/h4>\n

Zum einen sind Office-Dokumente ein so vertrauter und allgegenw\u00e4rtiger Bestandteil der t\u00e4glichen Arbeit. In den meisten F\u00e4llen ist es nicht praktikabel, sie zu durchsuchen und die Mitarbeiter denken sich nur selten etwas dabei, sie zu erhalten. Viele Antiviren- und E-Mail-Sicherheitstools k\u00f6nnen auch Schwierigkeiten haben, diese Dateien auf verd\u00e4chtigen Makrocode zu analysieren, insbesondere wenn die Daten in einer Zip-Datei oder passwortgesch\u00fctzt abgelegt sind.<\/p>\n

Dar\u00fcber hinaus geben sich die Angreifer mehr und mehr M\u00fche dabei, den Kontext<\/em> der verschickten Dateien so glaubw\u00fcrdig wie m\u00f6glich zu gestalten. Ein unfassbar b\u00f6ser Trick der Emotet-Banden besteht zum Beispiel darin, ihren Opfern Inhalte aus Mails abzuluchsen und dann an deren Kontakte weiter zu versenden. Das ist nur sehr schwer zu durchschauen.<\/p>\n

Experten von Talos beschreiben die Taktik, anhand der folgenden, echten Beispiel-Mail.<\/p>\n

 <\/p>\n

\"\"<\/p>\n

 <\/p>\n

Die obige E-Mail veranschaulicht das „Social Engineering“ von Emotet. In diesem Beispiel haben wir eine b\u00f6sartige E-Mail von Emotet. Im Inneren befindet sich ein fr\u00fcheres Gespr\u00e4ch zwischen zwei Mitarbeitern des B\u00fcrgermeisters einer US-Stadt.<\/p>\n

    \n
  1. Zuvor schickte Lisa eine E-Mail an Erin \u00fcber das Platzieren von Anzeigen, um eine bevorstehende Zeremonie zu bewerben, an der der B\u00fcrgermeister teilnehmen w\u00fcrde.<\/li>\n
  2. Erin antwortet Lisa und bittet sie nach weiteren Details zu ihrer Anfrage<\/li>\n
  3. Lisa wird mit Emotet infiziert. Emotet stiehlt alle Inhalte ihres Postfachs, darunter auch die Konversation zwischen ihr und Erin.<\/li>\n
  4. Emotet erzeugt eine Angriffs-Botschaft. Dabei tut es so, als w\u00e4re es Lisa, die auf Erins letzte Mail antworten m\u00f6chte. Ein infiziertes Word Dokument ist an die Mail angeh\u00e4ngt<\/li>\n<\/ol>\n

    Es ist leicht zu verstehen, wie jemand, der eine E-Mail als Teil eines laufenden Gespr\u00e4chs erwartet, auf so etwas hereinfallen kann. Das ist ein Grund daf\u00fcr, dass Emotet sich so effektiv per E-Mail verbreitet hat. Durch die \u00dcbernahme bestehender E-Mail-Konversationen und die Einbeziehung von echten Betreffzeilen und Mail-Inhalten sind die Nachrichten viel willk\u00fcrlicher und damit schwieriger f\u00fcr Anti-Spam-Systeme zu filtern.<\/p>\n

    \u2014 Emotet is back after a summer break, Talos blog<\/em><\/a><\/p><\/blockquote>\n

     <\/p>\n

    Wie man die Maskerade durchschaut<\/strong><\/h4>\n

    Da diese Dateien als so ziemlich alles getarnt werden k\u00f6nnen, von Rechnungen bis zu Versandbest\u00e4tigungen – und dazu noch vorgeben aus einer vertrauensw\u00fcrdigen Quelle zu stammen<\/strong> – besteht der beste Schutz darin, seine Mitarbeiter anzuweisen immer extrem skeptisch zu sein, sobald ein Office-Dokument sie bittet ein Makro zu genehmigen<\/strong>.
    \nIn vielen F\u00e4llen ist dies ein Hinweis darauf, dass etwas nicht in Ordnung sein k\u00f6nnte.<\/p>\n

    Emotet macht Druck und benutzt dabei eine Menge verschiedener K\u00f6der, um Opfer davon zu \u00fcberzeugen, dass es ungemein wichtig ist, dem Ausf\u00fchren von Makros zuzustimmen. Von Nachrichten, die einem weismachen, das aktuelle Dokument sei in einer \u00e4lteren Version von Word erstellt worden, bis hin zu Aufforderungen zur Lizensierung von Microsoft, oder der Best\u00e4tigung des Aktivierungs-Assistenten.<\/p>\n

    \"\"<\/p>\n

    Source: Cofense<\/a><\/em><\/p>\n

     <\/p>\n

    \"\"<\/p>\n

    Source: Bleeping Computer<\/a><\/em><\/p>\n

     <\/p>\n

    Wenn das Umfeld Ihrer Klienten nat\u00fcrlich danach verlangt, dass sie h\u00e4ufig Makros verwenden m\u00fcssen, dann ist eine erh\u00f6hte Sensibilisierung nur schwer umzusetzen. Falls dem jedoch nicht so sein sollte, dann k\u00f6nnen Sie auch dar\u00fcber nachdenken, noch einen Schritt weiter zu gehen und das Ausf\u00fchren von Makros in Office-Anwendungen aus dem Internet, komplett zu unterbinden<\/a>.<\/p>\n

     <\/p>\n

    Tarnung #2: Office 365 Warnungen<\/strong><\/h2>\n

    Was steckt dahinter?<\/strong><\/h4>\n

    Angreifer lieben es, auf Office 365-Anmeldeinformationen abzuzielen. Sie \u00f6ffnen die T\u00fcr zu einer Welt voller b\u00f6sartiger M\u00f6glichkeiten, darunter Spear-Phishing und – dank der H\u00e4ufigkeit der Wiederverwendung von Passw\u00f6rtern – dem Zugang zu weiteren Diensten und Accounts.<\/p>\n

    E-Mails werden oft in Form gef\u00e4lschter Mitteilungen von Microsoft versendet, die die Benutzer darauf hinweisen, dass sie noch nicht zugestellte Nachrichten erhalten haben oder dass Ma\u00dfnahmen erforderlich sind, um ihr Konto weiterhin zu nutzen. Wer auf die, in diesen E-Mails angegebenen Links klickt, gelangt in der Regel zu einer realistischen Microsoft-Anmeldeseite, wo der Benutzer aufgefordert wird, seine Anmeldedaten anzugeben.<\/p>\n

    \"\"<\/p>\n

    Source: Bleeping Computer<\/a><\/em><\/p>\n

     <\/p>\n

    Zu den Strategien geh\u00f6rten auch gef\u00e4lschte Voicemails, die eigentlich HTML-Anh\u00e4nge sind. Wenn diese Dateien ge\u00f6ffnet werden, spielen sie eine kurze Audioaufzeichnung ab und leiten den Empf\u00e4nger dann auch auf eine gef\u00e4lschte Microsoft-Landingpage weiter, auf der er aufgefordert wird, sein Passwort einzugeben, um die vollst\u00e4ndige Nachricht zu h\u00f6ren.<\/p>\n

    \"\"<\/p>\n

    Source: McAfee<\/a><\/em><\/p>\n

    <\/h4>\n

    Was macht diese Methode effektiv?<\/strong><\/h4>\n

    Benutzer vertrauen viel eher einer Mail, die aussieht, als k\u00e4me sie direkt von Microsoft, als einem unbekannten Absender. Das ist einer der Gr\u00fcnde daf\u00fcr, dass Microsoft, der am meisten kopierte Absender in Phishing Mails ist.<\/p>\n

     <\/p>\n

    \n

    Microsoft ist die Nr. 1 unter den imitierten Firmennamen im Phishing-Bereich, mit durchschnittlich 222 verschiedenen Microsoft phishing URLs, die jeden Tag neu auftauchen.<\/strong><\/h3>\n

    \u2014 VadeSecure<\/a><\/p><\/blockquote>\n

     <\/p>\n

    Angreifer nutzen die Taktik, ihre falschen Microsoft Anmeldeseiten auf Azure Blob Storage URLs zu betreiben<\/a>, die eine windows.net Domain nutzen und ein g\u00fcltiges Microsoft Zertifikat aufweisen. Das tr\u00e4gt zum Anschein der Seriosit\u00e4t dieser Seiten bei und macht es ihnen leichter, sich an den verschiedenen Sicherheitsfiltern vorbei zu schummeln.<\/p>\n

    \"\"<\/p>\n

    Aus unserem Webinar stammt dieses Video mit CEO Kyle Hanslovan von \u201eHuntress Labs\u201c, das zeigt, wie Angreifer es sogar fertigbringen, die Logos und Namen ihrer Opfer, auf den gef\u00e4lschten Seiten anzeigen zu lassen. Das f\u00fchrt zu noch mehr Glaubw\u00fcrdigkeit.<\/p>\n