Zählpixel im Auftrag der Cyberkriminalität

Cyberkriminelle machen sich das Marketingtool zum Sammeln von Informationen zunutze.

Angreifer neigen dazu, sorgfältige Vorarbeit zu leisten, um BEC-Angriffe zu entwickeln. Wenn sie sich als jemand ausgeben, der berechtigt ist, Gelder zu überweisen oder vertrauliche Informationen zu versenden, müssen ihre Nachrichten so authentisch wie möglich aussehen. Dabei sind kleine Details besonders wichtig.

Vor kurzem haben wir ein interessantes Beispiel einer E-Mail in die Hände bekommen, die an einen Mitarbeiter eines Unternehmens gesendet wurde, um ein Gespräch ins Rollen zu bringen.

„Bitte lassen Sie mich wissen, wann ich Sie erreichen kann. Ich möchte Sie um einen Gefallen bitten. Ich bin momentan in einem Meeting, also antworten Sie mir einfach per E-Mail. Mfg, XY

Gesendet von meinem iPhone“

Die Nachricht selbst ist für diese Art von E-Mail recht knapp und trocken verfasst. Der Angreifer macht deutlich, dass sich der Absender in einem Meeting befindet, also nicht anderweitig erreichbar ist. Das tut er, um den Empfänger davon abzuhalten, zu überprüfen, ob er tatsächlich mit der jeweiligen Person korrespondiert, deren Name in der Signatur erscheint. Da die Angreifer nicht versucht haben, die Tatsache zu verbergen, dass die E-Mail von einem öffentlichen E-Mail-Dienst gesendet wurde, wussten sie entweder, dass die betroffene Person diesen Dienst selbst nutzt, oder gingen davon aus, dass es für das Unternehmen normal ist, Geschäftskorrespondenzen von Drittanbietern zu erhalten.

Aber eine weitere Tatsache hat unsere Aufmerksamkeit geweckt: die Signatur „Gesendet von meinem iPhone“. Hierbei handelt es sich um die Standardeinstellung von iOS Mail für ausgehende Nachrichten, die Kopfzeile lässt jedoch vermuten, dass die Nachricht über die Webanwendung und insbesondere über den Mozilla-Browser gesendet wurde.

Warum haben die Angreifer versucht, die E-Mail so aussehen zu lassen, als sei sie von einem Apple-Smartphone aus gesendet worden? Die automatische Signatur könnte hinzugefügt worden sein, um die Nachricht seriös wirken zu lassen. Das ist jedoch nicht der eleganteste aller Tricks. BEC-Angriffe scheinen am häufigsten von einem Mitarbeiter zu kommen, und die Chancen stehen gut, dass der Empfänger in diesem Fall wusste, welche Art von Gerät diese Person benutzt hat.

Die Kriminellen müssen also gewusst haben, was sie taten. Aber woher? Eigentlich ist das nicht schwer. Alles, was man benötigt, ist eine Recherche mit Hilfe eines so genannten Zählpixels, auch als Web-Beacon bekannt.

Was ein Zählpixel ist und warum es verwendet wird

In der Regel wollen Unternehmen, die Massen-E-Mails an Kunden, Partner oder Leser – also fast jedes Unternehmen – versenden, wissen, wie viel Engagement sie damit erreichen. Theoretisch hat die E-Mail eine eingebaute Option für den Versand von Lesebestätigungen; die Empfänger müssen dieser Verwendung jedoch zunächst zustimmen, was die meisten Nutzer nicht tun. Infolgedessen haben clevere Marketingleute Zählpixel entwickelt.

Zählpixel sind winzig kleine Grafiken, die auf Webseiten integriert, aber für das bloße Auge nicht erkennbar sind. Wenn also eine E-Mail-Client-Anwendung diese Grafik anfordert, erhält der Absender nicht nur die Bestätigung, dass die Nachricht geöffnet wurde, sondern auch Informationen wie die IP-Adresse des Empfängers, den Zeitpunkt des Öffnens der E-Mail und Informationen zu dem Programm, mit dem die Nachricht geöffnet wurde. Haben Sie jemals bemerkt, dass Ihr E-Mail-Client keine Bilder anzeigt, bis Sie auf einen Link klicken, der es ihm erlaubt diese herunterzuladen? Dies dient nicht dazu, die Leistung zu steigern oder den Datenverkehr einzuschränken. Tatsächlich sind automatische Bilddownloads aus Sicherheitsgründen normalerweise standardmäßig deaktiviert.

Wie können Cyberkriminelle Zählpixel zu ihrem Vorteil nutzen?

Hier ein Szenario: Auf einer Auslandsreise erhalten Sie eine E-Mail, die einen unternehmensrelevanten Eindruck erweckt. Sobald Sie merken, dass es sich nur um unerwünschte Werbung handelt, schließen Sie die E-Mail und löschen sie, aber in der Zwischenzeit erfährt der Angreifer bereits Folgendes:

  • Dass Sie sich, Ihrer IP-Adresse nach zu urteilen, in einem anderen Land befinden. Das bedeutet, dass der persönliche Kontakt mit Mitarbeitern schwierig ist. Sie sind daher das ideale Zielobjekt, für einen BEC-Angriff;
  • Dass Sie ein iPhone verwenden (da Sie die Nachricht mit dem Mail-Client von iOS geöffnet haben), so dass das Hinzufügen einer Signatur „Gesendet von meinem iPhone“ die Glaubwürdigkeit der gefälschten E-Mail erhöht;
  • Dass Sie die E-Mail um 11 Uhr morgens gelesen haben. Das allein ist nicht besonders aussagekräftig, wenn Sie jedoch häufiger derartige Mails öffnen, sind die Cyberkriminellen in der Lage, Ihren täglichen Zeitplan ausfindig zu machen und einen Angriff so zu planen, dass er mit einem Zeitraum übereinstimmt, in dem Sie in der Regel nicht erreichbar sind.

Wie können Sie diese Einsichten entschärfen?

Sich vor Tracking zu schützen, ist schwierig. Das bedeutet aber nicht, dass man Cyberkriminellen das Leben leichter machen sollte. Wir empfehlen Ihnen, folgende Tipps zu befolgen:

  • Wenn Ihr E-Mail-Client auffordert, „hier zu klicken, um Bilder herunterzuladen“, bedeutet dies, dass der visuelle Inhalt aus Datenschutzgründen blockiert wurde. Denken Sie nach, bevor Sie diese Aktion zulassen. Die E-Mail mag ohne Bilder unschön aussehen, aber indem Sie Ihre Zustimmung zum Herunterladen dieser Bilder geben, gewähren Sie Fremden Informationen über sich und Ihr Gerät;
  • Öffnen Sie keine E-Mails, die in Ihrem Spam-Ordner landen. Moderne Spam-Filter sind mittlerweile extrem sensibel und genau, insbesondere wenn Ihr E-Mail-Server durch unsere Technologie geschützt ist;
  • Seien Sie vorsichtig mit B2B-Massenmailings. Es ist eine Sache, wenn Sie absichtlich die Newsletter eines Unternehmens abonnieren, aber etwas anderes, wenn eine E-Mail eines unbekannten Unternehmens aus unbestimmten Gründen zu Ihnen ins Postfach flattert. Im letzteren Fall ist es besser, die Nachricht gar nicht erst zu öffnen;
  • Verwenden Sie robuste Lösungen mit fortschrittlichen Antispam- und Antiphishing-Technologien, um Ihre Firmen-E-Mail zu schützen.

Sowohl Kaspersky Total Security for Business (Komponenten von Kaspersky Security for Microsoft Exchange Server, Kaspersky Security for Linux Mail Server und Kaspersky Secure Mail Gateway) als auch Kaspersky Security for Microsoft Office 365 beinhalten unsere Antispam- und Antiphishing-Technologie.

Tipps