Phishing mittels E-Mail-Marketing-Diensten

Um Antiphishing-Technologien zu umgehen, können Cyberkriminelle legitime E-Mail-Dienstanbieter, sogenannte ESPs einsetzen. Die gefährlichen Mails sind aber nicht unaufhaltsam.

Betrüger haben im Laufe der Jahre verschiedene Tricks eingesetzt, um Antiphishing-Technologien zu umgehen. Ein weiteres Vorgehen mit einer hohen Erfolgsquote bei der Zustellung von Phishing-Links ist die Nutzung von E-Mail-Marketing-Diensten, die auch als E-Mail-Service-Provider (ESPs) bekannt sind. Hierbei handelt es sich um Unternehmen, die auf die Zustellung von E-Mail-Newslettern spezialisiert sind. Laut den Statistiken, die wir von unseren Lösungen erhalten haben, gewinnt diese Vorgehensweise immer mehr an Bedeutung.

Wieso ESP-basiertes Phishing funktioniert

Unternehmen, die sich ernsthaft mit E-Mail-Bedrohungen auseinandersetzen, scannen alle E-Mails gründlich mit Antiviren-, Antiphishing- und Antispam-Engines, bevor sie die Nachrichten in die Posteingänge der Benutzer weiterleiten. Die Engines scannen nicht nur den Inhalt der Nachrichten, Kopfzeilen und Links, sondern überprüfen auch den Ruf des Absenders und aller verlinkten Websites. Risikoentscheidungen basieren auf einer Kombination dieser Faktoren. Wenn zum Beispiel eine Massen-E-Mail von einem unbekannten Absender ankommt, verdächtigt die Engine sie und alarmiert die Sicherheitsalgorithmen.

Die Angreifer haben jedoch einen Umweg gefunden: das Versenden von E-Mails im Namen einer vertrauenswürdigen Entität. E-Mail-Marketing-Dienste, die ein End-to-End-Newsletter-Management bieten, eignen sich perfekt dafür. Sie sind bekannt, viele Anbieter von Sicherheitslösungen lassen ihre IP-Adressen standardmäßig zu und einige überspringen sogar die Überprüfung der über sie versandten Mails.

Wie ESPs ausgenutzt werden

Der Hauptangriffsvektor ist klar: Es handelt sich hierbei um Phishing, das als legitimes Mailing getarnt ist. In der Regel werden Cyberkriminelle zu Kunden des E-Mail-Dienstes, indem Sie das günstigste Abonnement kaufen (alles andere wäre nicht sehr sinnvoll, zumal sie damit rechnen müssen, dass sie möglicherweise schnell identifiziert und blockiert werden).

Es gibt jedoch eine ausgefallenere Option: die Verwendung des ESP als URL-Host. Bei diesem Angriffsschema wird der Newsletter über die eigene Infrastruktur des Angreifers verschickt. So können die Cyberkriminellen beispielsweise eine Testkampagne erstellen, die eine Phishing-URL enthält, und diese als Vorschau an sich selbst senden. Die ESP erstellt einen Proxy für diese URL, die dann von den Cyberkriminellen für ihren Phishing-Newsletter verwendet wird. Eine weitere Möglichkeit für Betrüger besteht darin, eine Phishing-Website zu erstellen, die eine Mailing-Vorlage zu sein scheint, und einen direkten Link zu dieser Website bereitzustellen. Dies geschieht jedoch weniger häufig.

Wie dem auch sei, die neue Proxy-URL besitzt jetzt eine gute Bewertung, so dass sie nicht im System blockiert wird. Die E-Mail-Dienste, die den Mailing-Prozess nicht abwickeln, wissen über die böswilligen Absichten nicht Bescheid und deshalb wird der „Kunde“ auch nicht blockiert. Die ESPs blockieren die Proxy-URL erst dann, wenn sich die Beschwerden häufen.

Was halten die ESPs davon?

Es liegt auf der Hand, dass die ESPs nicht gerade begeistert darüber sind, Tools für Cyberkriminelle zu sein. Die meisten von ihnen verfügen über ihre eigenen Sicherheitstechnologien, die den Inhalt der Nachrichten und Links, die über ihre Server laufen, scannen, und fast alle bieten eine Anleitung für jeden, der über ihre Website auf Phishing stößt.

Daher versuchen die Angreifer, auch die ESPs ruhig zu halten. Beispielsweise neigt die Verwendung eines Providers für Proxys dazu, Phishing-Links zu „verzögern“, so dass sie zum Zeitpunkt der Erstellung der Links in Testnachrichten gutartig erscheinen, aber später bösartig werden.

Was man dagegen tun kann

In vielen Fällen werden Massenmails an Firmenmitarbeiter verschickt, deren Adressen öffentlich sind. Selbst die wachsamsten unter uns übersehen die gelegentlich verdächtige oder bösartige E-Mail und klicken auf etwas, das wir nicht anklicken sollten. Um Mitarbeiter vor potenziellen Phishing-Angriffen zu schützen, die von ESPs ausgehen, empfehlen wir Folgendes:

  • Weisen Sie die Mitarbeiter an, E-Mails, die als „Massenmail“ gekennzeichnet sind, niemals zu öffnen, es sei denn, sie haben sich in die betreffende Mailingliste eingetragen. Es ist unwahrscheinlich, dass solche Nachrichten von dringender Bedeutung sind. Bestenfalls handelt es sich um aufdringliche Werbung.
  • Verwenden Sie robuste Sicherheitslösungen, die alle eingehenden E-Mails mithilfe heuristischer Algorithmen gründlich scannen.

Zu unseren Lösungen gehören Kaspersky Security for Microsoft Office 365 und die Komponente Kaspersky Security for Mail Server, die Teil von Kaspersky Endpoint Security for Business ist. Sie schützen Benutzer zuverlässig vor dieser Bedrohung.

 

Tipps