Zielgerichtete E-Mail-Angriffe sind nicht auf Spear-Phishing und die Kompromittierung von Geschäfts-E-Mails (BEC) beschränkt. Eine weitere ernsthafte Bedrohung ist das sogenannte Conversation Hijacking. Vereinfacht gesagt, handelt es sich dabei um ein Schema, bei dem sich Angreifer in eine geschäftliche E-Mail-Korrespondenz einschleusen und sich als einer der Teilnehmer ausgeben. In diesem Beitrag analysieren wir, wie solche Angriffe funktionieren und was zu tun ist, um ihre Erfolgschancen zu minimieren.
Wie erhalten Angreifer Zugang zu E-Korrespondenzen?
Um sich in eine private E-Mail-Unterhaltung einzuschleichen, müssen sich Cyberkriminelle irgendwie Zugang zu einer Mailbox oder (zumindest) zum E-Mail-Archiv verschaffen. Dazu gibt es verschiedene Tricks, die sie anwenden können.
Der naheliegendste ist, die Mailbox zu hacken. Für Cloud-Dienste ist das Brute-Forcing von Passwörtern die beliebteste Methode: Angreifer suchen in Leaks von Online-Diensten nach Passwörtern, die mit einer bestimmten E-Mail-Adresse verknüpft sind, und probieren diese Kombinationen dann mit geschäftlichen E-Mail-Konten aus. Aus diesem Grund ist es wichtig, dass Sie erstens nicht dieselben Anmeldedaten für verschiedene Dienste verwenden und zweitens bei der Registrierung auf Websites, die nichts mit Ihrer Arbeit zu tun haben, keine berufliche E-Mail-Adresse angeben. Eine andere Methode ist der Zugriff auf E-Mails über Schwachstellen in der Serversoftware.
Was Conversation Hijacking ist und wie Sie Ihre Mitarbeiter davor schützen können.
Tweet
Übeltäter haben selten lange die Kontrolle über eine dienstliche E-Mail-Adresse, doch haben sie meist genug Zeit, um das E-Mail-Archiv herunterzuladen. Gelegentlich erstellen sie Regeln für die Weiterleitung in den Einstellungen, um die in der Mailbox eingehenden E-Mails in Echtzeit zu empfangen. Auf diese Weise können sie die Nachrichten nur lesen und nicht selbst versenden. Könnten sie Nachrichten selbst verschicken, würden sie höchstwahrscheinlich versuchen, einen BEC-Angriff durchzuführen.
Eine weitere Alternative ist Malware. Kürzlich enthüllten unsere Kollegen eine Massenkampagne zum Hijacking von E-Mails mit dem Ziel, Computer mit dem QBot-Trojaner zu infizieren. Die Mails, in denen die Cyberkriminellen ihre schädliche Nutzlast platzierten, stammten höchstwahrscheinlich von früheren Opfern der gleichen QBot-Malware (die auf lokale Nachrichtenarchive zugreifen kann).
Doch selbsternannte Hacker oder Malware-Betreiber übernehmen das Hijacking von Unterhaltungen nicht zwangsläufig selbst – manchmal werden Nachrichtenarchive im Dark Web verkauft und von anderen Betrügern verwendet.
Wie funktioniert Conversation Hijacking?
Cyberkriminelle durchforsten Nachrichtenarchive nach E-Mails zwischen mehreren Unternehmen (Partner, Auftragnehmer, Lieferanten usw.). Das genaue Datum spielt dabei keine Rolle – die Betrüger können Unterhaltungen fortsetzen, die Jahre zurückliegen. Wenn sie einen passenden E-Mail-Austausch gefunden haben, schreiben sie an eine der beteiligten Parteien und geben sich als eine der anderen aus. Ihr Ziel ist es, den Empfänger dazu zu bringen, das zu tun, was die Angreifer von ihm verlangen. Manchmal tauschen sie, bevor sie zur Sache kommen, ein paar Nachrichten aus, nur um die Wachsamkeit ihres Gegenübers zu verringern.
Da es sich beim Conversation Hijacking um einen zielgerichteten Angriff handelt, wird oftmals eine ähnliche Domain verwendet, d. h. eine Domain, die der eines Teilnehmers sehr ähnlich sieht, aber eine kleine Abweichung aufweist, z. B. eine andere Top-Level-Domain, ein zusätzlicher Buchstabe oder ein Symbol, das durch ein ähnlich aussehendes ersetzt wird.
Was genau bedeutet Conversation Hijacking und welches Ziel verfolgt es?
Das Ziel des Conversation Hijacking ist im Allgemeinen recht banal: Durch den Diebstahl von Anmeldedaten soll sich Zugang zu einer Ressource verschafft werden; das Opfer soll davon überzeugt werden, Geld auf das Konto der Angreifer zu überweisen, einen schädlichen Anhang zu öffnen oder einem Link zu einer infizierten Website zu folgen.
So schützen Sie sich vor Conversation Hijacking
Die Hauptbedrohung, die vom Conversation Hijacking ausgeht, besteht darin, dass E-Mails dieser Art mit automatisierten Maßnahmen recht schwer zu erkennen sind. Glücklicherweise enthält unser Arsenal [KSO365 Placeholder]Kaspersky Security for Microsoft Office 365[/KSO365 Placeholder], eine Lösung, die den Versuch einer heimlichen Teilnahme an Unterhaltungen anderer Personen erkennt. Um die Risiken für Sie und Ihre Geschäftspartner weiter zu verringern, empfehlen wir:
- Die Geräte von Mitarbeitenden zu schützen, um den Diebstahl von Nachrichtenarchiven von diesen Geräten zu erschweren.
- Eindeutige Passwörter für dienstliche E-Mail-Konten zu verwenden.
- Die Anzahl externer Dienste zu minimieren, die mit der beruflichen E-Mail-Adresse verknüpft sind.
- Das Passwort nicht nur nach einem E-Mail-Vorfall zu ändern, sondern auch zu überprüfen, ob in den Einstellungen unerwünschte Weiterleitungsregeln aufgetaucht sind.