Cyberverbrecher haben es auf Mailinglisten abgesehen

Cyberkriminelle versenden Phishing-E-Mails, um Anmeldedaten von ESP-Konten zu stehlen.

Es ist bereits gefährlich, wenn Verbraucher denken, dass sich Cyberverbrecher nicht für sie interessieren, aber noch schlimmer ist es, wenn Inhaber von kleinen und mittleren Unternehmen (KMU) der gleichen Meinung sind. Wenn KMU die grundlegenden Schutzmaßnahmen vernachlässigen, freuen sich Cyberkriminelle darüber, denn die Angriffsziele der Verbrecher stimmen nicht immer mit den allgemeinen Vorstellungen überein. Ein gutes Beispiel hierfür ist eine E-Mail, die vor Kurzem in die Falle unserer Sicherheitsforscher gegangen ist – Es war eine Phishing-E-Mail, die das Konto eines E-Mail-Service-Provider (kurz: ESP und auch als E-Mail-Marketing-Dienst bekannt) hijacken sollte, um an die E-Mail-Adressenlisten heran zu kommen.

Wie das Phishing von externen E-Mail-Versendern funktioniert

Der Phishing-Betrug beginnt mit einer E-Mail an einen Mitarbeiter, in der die Zahlung eines ESP-Abonnements bestätigt wird. Über den Link in der E-Mail hat der Mitarbeiter angeblich Zugriff auf den Zahlungsbeleg. Sollte der Empfänger wirklich ein ESP-Kunde sein (und diese Phishing-Kampagnen sind in der Regel auf diese Art von Kunden ausgerichtet) ist es durchaus möglich, dass der Mitarbeiter auf den Link klickt, um mehr über diese ungewöhnliche Zahlung herauszufinden.

Der Link scheint zu einer ESP-Website zu führen, aber die Wirklichkeit sieht ganz anders aus – Der Mitarbeiter wird auf eine Seite weitergeleitet, die eine erstaunliche Ähnlichkeit mit der echten Anmeldeseite des Dienstleisters hat.

Zwei Anmeldebildschirme. Die gefälschte Seite ist auf der linken Seite.

An diesem Punkt wissen unsere Leser bereits was geschieht, wenn der Mitarbeiter hier die Anmeldedaten eingibt. Richtig, die Daten gehen dem Cyberverbrecher direkt ins Netz! Abgesehen von der falschen URL, werden die Daten, die auf der gefälschten Seite erhoben wurden, über einen ungeschützten Kanal übertragen. Die Angreifer haben sich noch nicht einmal die Mühe gemacht, die CAPTCHA-Abfrage nachzubilden. Allerdings haben sie ein Beispiel im E-Mail-Feld angegeben. Sicherlich wurde auch eine Fahne unten rechts angezeigt. Aber den meisten Benutzern fallen diese Hinweise nicht auf.

Warum es gefährlich ist, den Zugriff auf ein ESP-Konto zu verlieren

Bestenfalls wird der Betrüger, der die Kontrolle über das ESP-Konto erzielt hat, die Liste mit E-Mail-Adressen der Kunden des Unternehmens nur zum Versenden von Spam verwenden. Empfängerlisten aus bestimmten Branchen erzielen auf dem Schwarzmarkt allerdings einen höheren Preis, als nach dem Zufallsprinzip erstellte Listen, denn wenn die Tätigkeitsbereiche des entsprechenden Unternehmens bekannt sind, können Cyberkriminelle die Spam-Kampagnen maßgeschneidert anpassen.

Da der Cyberverbrecher, der das ESP-Konto gehackt hat, auf Phishing spezialisiert ist, werden höchstwahrscheinlich alle auf der Liste aufgeführten Personen eine E-Mail erhalten, die angeblich von dem Unternehmen geschickt wurde. Die Empfänger dieser E-Mails sind entweder Kunden des Unternehmens oder haben den Newsletter abonniert und werden deshalb die Nachricht höchstwahrscheinlich öffnen und auch ohne zweimal nachzudenken auf den Link in der E-Mail klicken. Schließlich scheint es eine E-Mail von einem vertrauenswürdigen Absender zu sein.

Masking-Methode

Durch eine ausführliche Studie der Phishing-E-Mail, haben wir herausgefunden, dass sie über einen E-Mail-Marketing-Dienst versendet wurde, allerdings über einen anderen (und zwar über einen Konkurrenten des ESP, von dem die E-Mails angeblich geschickt wurden). Für eine detaillierte Erklärung der Logik, die hinter dieser Entscheidung steckt, werfen Sie einen Blick auf unseren Artikel: „Phishing mittels E-Mail-Marketing-Diensten.“ Interessant an diesem Fall ist auch, dass die Cyberverbrecher eine Landingpage für ihr „Marketing-Unternehmen“ erstellt haben, um die Dauer der Kampagne zu verlängern. (Der Seitentitel „Simple House Template“ ist allerdings nicht besonders überzeugend.)

Die Landingpage des gefälschten „Marketing-Unternehmens“.

Die Vorgehensweise lässt darauf schließen, dass die Angreifer über umfassende Informationen zu den Mechanismen von mehreren Mailingdiensten haben und deshalb auch andere Kunden der ESP angreifen könnten.

Wie Sie sich vor Phishing schützen können

Beachten Sie folgendes Standard-Tipps, um nicht in Phishing-Fallen zu tappen:

  • Klicken Sie bei unerwarteten E-Mails niemals auf den Link, besonders wenn Sie dazu aufgefordert werden sich auf einer Seite anzumelden. Auch wenn die Nachricht vertrauenswürdig zu sein scheint, ist es besser vorsichtshalber zum Browser zu gehen und die Seite direkt dort aufzurufen, anstatt über den Link darauf zuzugreifen.
  • Überprüfen Sie die Sicherheit der Seite. Wenn ein Browser die Seite nicht als sichere Seite anerkennt, können Ihre Anmeldedaten über diese Seite gestohlen werden.
  • Lernen Sie, wie Sie die üblichen Hinweise auf Phishing-Versuche entdecken können und bringen Sie dann Ihren Mitarbeitern bei, dasselbe zu tun. Zu diesem Zweck brauchen Sie noch nicht einmal Ihre eigenen Kurse erstellen, denn hierfür stehen Ihnen bereits Online-Schulungsprogramme zur Verfügung.
  • Hilfreich ist auch für den E-Mail-Verkehr des Unternehmens Speziallösungen mit Abwehrfunktionen gegen Spam und Phishing anzuwenden.
  • Installieren und aktualisieren Sie Sicherheitslösungen auf allen arbeitsrelevanten Geräten, damit selbst wenn ein Mitarbeiter auf einen Phishing-Link klickt, die Gefahr rechtzeitig erkannt wird.
Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.