E-Mail-Bedrohungen im Jahr 2022

Welche Tricks waren im Jahr 2022 bei Kriminellen besonders beliebt?

Die Pandemie hat die E-Mail-Bedrohungslandschaft vollkommen verändert. Die massive Umstellung aufs Homeoffice und die unvermeidliche Verlagerung der meisten Kommunikationsformen auf Online-Formate hat zu vermehrten Phishing- und BEC-Angriffen geführt. Da der Fluss der Geschäftskommunikation ebenfalls zugenommen hat, ist es für Cyberkriminelle viel einfacher geworden, E-Mails zwischen Stapeln legitimer Nachrichten zu verstecken. Daher ist das Spoofing der Geschäftskommunikation zu einem wichtigen Angriffsvektor geworden. Auch viele Social-Engineering-Tricks – etwa Benachrichtigungen, die Opfer auffordern, E-Mails so schnell wie möglich zu beantworten – erfahren einen neuen Aufschwung. Zu den wichtigsten Trends, die wir im Jahr 2022 beobachtet haben, gehören:

  • Die Zunahme von Spam-Mails mit schädlichen Inhalten, um den Computer des Opfers zu infizieren.
  • Der aktive Einsatz von Social-Engineering-Techniken in schädlichen E-Mails, die eigentlich typisch für Spear-Phishing sind (z. B. das Hinzufügen von Signaturen, um bestimmte Abteilungen zu imitieren; der Einsatz von Geschäftssprache und -kontext, die für das Zielunternehmen geeignet sind; die Anlehnung an aktuelle Ereignisse; die Bezugnahme auf echte Mitarbeiter des Unternehmens).
  • Weitverbreitetes Spoofing – die Verwendung von E-Mail-Adressen mit Domainnamen, die den echten Adressen der Zielunternehmen ähneln.

Auf diese Weise konnten die Urheber schädlicher Spam-Mails diese als interne Nachrichten und Geschäftskorrespondenz zwischen Unternehmen und sogar als Mitteilungen von Regierungsbehörden tarnen. Im Anschluss folgen die häufigsten Beispiele, auf die wir in diesem Jahr gestoßen sind:

Malware in E-Mails

Schädliche E-Mails, die sich als Geschäftskorrespondenz tarnen, waren in diesem Jahr Trend Nummer 1. Um Empfänger dazu zu verleiten, Anhänge zu öffnen oder zugehörige Dateien herunterzuladen, fügen Cyberkriminelle geschäftliche Informationen wie kommerzielle Angebote oder Versandrechnungen in E-Mails ein, um besonders glaubwürdig zu wirken. Malware wird darüber hinaus oft in einem verschlüsselten Archiv abgelegt, dessen Passwort im Text der Nachricht angegeben ist.

Im gesamten Jahr 2022 begegneten wir beispielsweise folgendem Schema: Angreifer verschafften sich Zugang zu authentischen Geschäftskorrespondenzen (höchstwahrscheinlich über den Diebstahl von zuvor infizierten Computern) und schickten neue E-Mails mit schädlichen Anhängen oder Links an alle Teilnehmer der Mailingliste. D. h., sie waren in der Lage, eine aktuelle Konversation plausibel weiterzuführen, was die Erkennung schädlicher E-Mails deutlich schwerer macht und die Wahrscheinlichkeit erhöht, dass ein Opfer auf die Masche hereinfällt.

Beim Öffnen einer solchen Schaddatei, wird in den meisten Fällen entweder der Qbot- oder der Emotet-Trojaner geladen. Beide können Benutzerdaten stehlen, Informationen in einem Unternehmensnetzwerk ausspionieren oder andere Malware wie Ransomware verbreiten. Darüber hinaus kann Qbot verwendet werden, um auf E-Mails zuzugreifen und Nachrichten zu stehlen und dient somit als Korrespondenzquelle für weitere Angriffe.

Je näher das Jahresende rückt, desto einfallsreicher werden auch schädliche E-Mails. So gaben sich Betrüger Anfang Dezember als Wohltätigkeitsorganisation aus, um die Opfer dazu aufzufordern, sich für einen guten Zweck von ihren alten Tech-Geräten zu trennen. Um sich jedoch an der Initiative beteiligen zu können, mussten sie natürlich eine Datei herunterladen, die angeblich eine Liste mit den offiziell akzeptierten Geräten enthielt. In Wirklichkeit befand sich im Anhang jedoch eine ausführbare Schaddatei, die in einem passwortgeschützten Archiv versteckt war.

In einer anderen E-Mail-Kampagne verschickten Angreifer unter dem Deckmantel von Rechnungen Zehntausende von Archiven, die eine bösartige Trojaner-Backdoor enthielten, um die Fernkontrolle über den infizierten Computer zu ermöglichen. Besonders interessant ist, dass das angehängte Archiv mit Erweiterungen wie .r00, .r01 usw. versehen war. Daher ist es wahrscheinlich, dass die Urheber den Anhang als Teil eines großen RAR-Archivs ausgeben wollten, um automatische Schutzsysteme zu umgehen, die für bestimmte Dateierweiterungen konfiguriert sind.

Gefälschte Regierungsbescheide

E-Mails, die offizielle Mitteilungen von Ministerien und anderen staatlichen Behörden nachahmen, sind in diesem Jahr häufiger geworden. Dieser Trend ist besonders im russischsprachigen Raum des Internets zu beobachten. E-Mails dieser Art werden auf das Profil der jeweiligen Organisation zugeschnitten. Die Absenderadresse ähnelt normalerweise der realen Domain der Behörde, und der schädliche Anhang trägt meist einen entsprechenden Namen, wie „Kommentare zu den Sitzungsergebnissen“. Ein solcher Anhang enthielt Schadcode zum Exploit einer Schwachstelle im Equation Editor, einer Komponente von Microsoft Office.

 

Kriminelle greifen aktuelle Ereignisse auf

Im russischsprachigen Internetraum war zudem ein Anstieg schädlicher E-Mail-Aktivitäten zu beobachten, die auf der momentanen Nachrichtenagenda basieren. So verbreiteten Cyberkriminelle im Oktober Malware unter dem Deckmantel von Einberufungsbefehlen, um die „Teilmobilisierung“ Russlands auszunutzen. In diesen E-Mails wurde das russische Strafgesetzbuch zitiert; ausgestattet mit dem Wappen und den stilistischen Mitteln des Verteidigungsministeriums wurden die Empfänger dann dazu aufgefordert, den schriftlichen Einberufungsbefehl über den angegebenen Link herunterzuladen. Tatsächlich verwies der Link auf ein Archiv mit einem ausführbaren Skript, das eine Datei erstellte und diese ausführte.

Darüber hinaus registrierten wir eine angeblich von russischen Strafverfolgungsbehörden stammende E-Mail. In der Nachricht wurden die Opfer dazu aufgefordert, eine „neue Lösung“ zum Schutz vor Online-Bedrohungen durch „feindliche“ Organisationen herunterzuladen. In Wirklichkeit handelte es sich bei dem Programm, das auf dem Computer installiert wurde, jedoch um einen Ransomware-Trojaner.

 

So können Sie sich schützen

Die Maschen von Cyberkriminellen werden von Jahr zu Jahr raffinierter und die Imitationen von Geschäftskorrespondenzen immer überzeugender. Um Ihre Unternehmensinfrastruktur vor E-Mail-Angriffen zu schützen, sollten Sie daher nicht nur auf technische, sondern auch auf organisatorische Maßnahmen achten. Neben Sicherheitslösungen sowohl auf der Ebene des Unternehmens-Mailservers als auch auf allen mit dem Internet verbundenen [KESB placeholder]Geräten[/KESB placeholder] empfehlen wir daher regelmäßige Schulungen zur Steigerung der Cybersicherheits-Awareness der Mitarbeiter.

 

Tipps