Im Kampf gegen Delayed Phishing

Phishing-Links, die sich in E-Mails an Unternehmensmitarbeiter befinden, werden häufig erst nach dem Scannen aktiviert. So schützen Sie sich.

Phishing gilt seit langem als wichtiger Angriffsvektor in Unternehmensnetzwerken. Es ist daher kein Wunder, dass E-Mail-Anbieter, Mail-Gateways, Browser & Co. Antiphishing-Filter und Mail-Scanner einsetzen, um die Sicherheit ihrer Kunden zu garantieren. Aus diesem Grund lassen sich Cyberkriminelle ständig neue Methoden zur Umgehung dieser Filter einfallen, oder arbeiten am Feinschliff der bereits bestehenden Methoden. Dazu gehört beispielsweise auch das sogenannte „Delayed Phishing“ (verzögertes Phishing).

Delayed Phishing – was ist das?

Als Delayed Phishing bezeichnet man den Versuch, ein Opfer mithilfe einer als Post Delivery Weaponized URL bezeichneten Technik auf eine mit Schadcode versehene Fake-Website zu locken. Wie der Name bereits verrät, werden bei dieser Technik Online-Inhalte durch eine schädliche Version ersetzt, nachdem eine darauf verlinkende E-Mail bereits zugestellt wurde. Mit anderen Worten, das potenzielle Opfer erhält eine E-Mail, die einen Link enthält, der auf eine legitime Ressource verweist, die möglicherweise bereits kompromittiert ist, aber zum Zeitpunkt der E-Mail-Zustellung keinen schädlichen Inhalt enthält. Das erklärt, warum die Nachricht problemlos alle Filter durchläuft: Die zuständigen Schutzalgorithmen spüren die URL in der E-Mail auf, scannen die verlinkte Seite und … stellen nichts Verdächtiges fest. Die Nachricht erhält dann grünes Licht.

Nach der Zustellung der E-Mail (im Idealfall vor dem Lesen) ändern die Cyberkriminellen die Zielseite, auf die die Nachricht verweist, oder aktivieren schädlichen Inhalt auf einer zuvor harmlosen Seite. Dabei sind der Phantasie der Cyberkriminellen keine Grenzen gesetzt – angefangen bei nachgeahmten Banking-Seiten bis hin zu einem Browser-Exploit, der versucht, Malware auf den Computer des Opfers zu schleusen: die Tricks der Kriminellen sind endlos. In etwa 80% der Fälle handelt es sich jedoch um eine Phishing-Seite.

Wie werden Antiphishing-Algorithmen ausgetrickst?

Cyberkriminelle verwenden eine der folgenden drei Methoden, um ihre Nachrichten filtergerecht zu gestalten:

  • Simple Links. Bei dieser Art von Angriff kontrollieren die Kriminellen die Zielseite, die sie entweder von Grund auf neu erstellt oder gehackt und dann gehijackt haben. Cyberkriminelle bevorzugen letztere Option, da diese Seiten tendenziell bereits einen positiven Ruf haben – und genau das mögen Sicherheitsalgorithmen. Zum Zeitpunkt der Zustellung der E-Mail führt der Link entweder zu völlig sinnlosen Inhalten oder (häufiger) zu einer Seite mit der Fehlermeldung 404.
  • Kurzlinks mit abgeänderten Inhalten. Viele Online-Tools machen es möglich, lange URLs zu kürzen. Diese sogenannten Short Links erleichtern Benutzern das Leben und verwandeln endlose Links in kurze, leicht zu merkende URLs. Mit anderen Worten: es wird eine einfache Umleitung ausgelöst. Mit einigen Diensten können jedoch die Inhalte, die sich hinter solchen Short Links verbergen, geändert werden – hierbei handelt es sich um eine Lücke, die gerne von Angreifern ausgenutzt wird. Zum Zeitpunkt der Nachrichtenübermittlung verweist die URL noch auf eine legitime Seite, die im Nachhinein dann mit schädlichem Inhalt versehen wird.
  • Zufällige Kurzlinks. Einige Tools zur Kürzung von Links ermöglichen eine probabilistische Umleitung. Das heißt, der Link hat eine 50%ige Chance, zu google.com zu führen, und eine 50%ige Chance, eine Phishing-Site zu öffnen. Die Möglichkeit, auf einer legitimen Site zu landen, kann Webcrawler scheinbar verwirren (Computerprogramme zur automatischen Informationserfassung).

Wann werden harmlose Links zu schädlichen Links?

Angreifer gehen normalerweise davon aus, dass es sich bei ihren Opfern um völlig normale Berufstätige handelt, die nachts schlafen. Daher werden Delayed Phishing-Nachrichten meist erst nach Mitternacht versandt und erst einige Stunden später, also kurz vor Tagesanbruch, zu schädlichen Mails. Werfen wir einen Blick auf die Statistiken der Antiphishing-Trigger, kann zwischen 7 und 10 Uhr ein Höhepunkt festgestellt werden – also ungefähr der Zeitpunkt, zu dem Benutzer bereits mit einem Kaffee in der Hand vor ihrem PC sitzen und auf Links klicken, die bei der Zustellung zwar noch harmlos waren, jetzt aber bereits schädlich sind.

So kann Delayed Phishing erkannt werden

Im Idealfall muss verhindert werden, dass der Phishing-Link seinen Weg überhaupt zum Benutzer findet. Daher scheint das erneute Scannen des Posteingangs die beste Strategie zu sein. In einigen Fällen ist dies möglich: beispielsweise, wenn Ihr Unternehmen einen Microsoft Exchange Mailserver verwendet.

Seit diesem September unterstützt Kaspersky Security for Microsoft Exchange Server die Integration von Mailservern über die native API, mit der Nachrichten, die sich bereits in Postfächern befinden, erneut gescannt werden können. Eine entsprechend konfigurierte Scan-Zeit stellt sicher, dass Delayed Phishing Versuche erkannt werden, ohne dass der Server zusätzlich belastet wird.

Mithilfe unserer Lösung können Sie interne E-Mails (die nicht das Mail-Sicherheitsgateway passieren und daher von Filtern und Scan-Engines nicht erkannt werden) überwachen und komplexere Regeln für die Inhaltsfilterung implementieren. In besonders gefährlichen BEC-Fällen (Business Email Compromise), bei denen sich Hacker Zugriff auf ein Unternehmenskonto verschaffen, ist die Möglichkeit, den Inhalt von Postfächern erneut zu scannen und die interne Korrespondenz zu steuern, von besonderer Bedeutung.

Kaspersky Security for Microsoft Exchange Server ist in unseren Lösungen Kaspersky Security for Mail Servers und Kaspersky Total Security for Business integriert.

Tipps