Immer häufiger beobachten Sicherheitsexperten eine neue Social-Engineering-Methode namens Clone-Phishing: Der Nutzer erhält eine seriöse E-Mail von einem Unternehmen, das er kennt und dem er vertraut. Anschließend geht die gleiche E-Mail erneut im Postfach ein, nur dass der Absender dieses Mal erklärt, er habe vergessen, zusätzliche Empfänger oder Informationen beizufügen.
Ohne die offensichtlichen Anzeichen von Clone-Phishing zu kennen, wird diese Mails als authentisch empfunden und die Argumentation des Absenders arglos akzeptiert. Schließlich geben der Inhalt und der Kontext der E-Mail keinen Anlass zu Misstrauen. Es stellt sich jedoch heraus, dass diese zweite E-Mail nicht legitim ist, sondern ein Klon der ursprünglichen Nachricht, der dazu verleiten soll, auf einen schadhaften Link zu klicken oder einen maliziösen Anhang herunterzuladen.
Ein Zugang, viele Täuschungsmethoden
Bei dieser Angriffsmethode beschaffen sich die Angreifer Zugang zu einem kompromittierten E-Mail-Konto innerhalb des Unternehmens und nutzen diesen Zugang dann, um Phishing-Mails an andere Mitarbeiter zu senden. So fangen die Hacker eine Nachricht von einem vertrauenswürdigen Absender ab, ersetzen Links oder Anhänge durch Inhalte und senden sie dann erneut an dieselben Empfänger.
Wie Forscher von Vade Secure berichten, werden dabei auch gängige Phishing-Techniken verwendet, um den Anschein der Legitimität aufrecht zu erhalten, etwa die Fälschung von Anzeigenamen. Im Zuge des Clone-Phishings kommen viele unterschiedliche Täuschungsmethoden zum Einsatz, dazu zählen
- Aufruf, eine Website zu besuchen, um ein Geschenk zu erhalten
- E-Mail vom IT-Support, die vertraulichen Anmeldeinformationen abfragt
- Software-Update per Link in einer Mail
- Imitation eines Anbieters beim Online-Einkauf
Unterschiede zwischen Clone- und Spear-Phishing
Sowohl Clone- als auch Spear-Phishing sind effektiv bei der Kompromittierung einer Unternehmensumgebung, aber sie verfolgen dabei unterschiedliche Strategien:
- So zielt Spear-Phishing auf Nutzer mit hohen Zugangsrechten ab, beispielsweise auf eine Führungskraft oder einen Netzwerkadministrator. Die Bedrohungsakteure verschaffen sich Zugriff auf sensible Anmeldeinformationen und können diese schließlich an Dritte verkaufen.
- Clone-Phishing hat es zwar manchmal auch auf Nutzer mit hohen Rechten abgesehen, aber im Gegensatz zum Spear-Phishing wird hierbei keine beliebige Nachricht verwendet. Es handelt sich um eine bekannte Nachricht. Der Text imitiert täuschend echt den Inhalt und die Form der Mail eines regulären Unternehmens. Diese gefälschte Nachricht kann die Antwort auf eine automatisierte Nachricht sein, die vom Zielunternehmen gesendet wurde, oder es ist der Klon einer offiziellen Nachricht eines Unternehmens, mit dem das Zielunternehmen zusammenarbeitet.
Verteidigung gegen jede Art von Phishing-Angriffen
Zu einer umfassenden Cyber-Sicherheitsstrategie gehören sowohl Technologien, die vor modernen Bedrohungen schützen, als auch bewährte Security Awareness Trainings, die die Nutzer eines Netzwerks von einer potenziellen Schwachstelle in eine Stärke verwandeln können. „Das Wichtigste, was jeder tun kann, um sein Unternehmen zu schützen, ist, alle Mitarbeiter über die Anzeichen einer Phishing-Attacke aufzuklären“, empfiehlt Jelle Wieringa, Security Awareness Advocate bei der IT-Sicherheitsfirma KnowBe4.
Das trage dazu bei, das Sicherheitsbewusstsein zu stärken und proaktiv solche Betrugsmethoden zu bekämpfen. „So kann die Kultur innerhalb einer Organisation, in Bezug auf die Bedeutung von IT-Sicherheit durch geschulte und aufmerksame Mitglieder sensibilisiert werden und als Ganzes enorm von der gesteigerten Widerstandsfähigkeit profitieren.“ (jk)