{"id":19150,"date":"2019-05-06T16:45:27","date_gmt":"2019-05-06T14:45:27","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=19150"},"modified":"2019-11-22T12:06:36","modified_gmt":"2019-11-22T10:06:36","slug":"brazil-spam-mail-takeover","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/brazil-spam-mail-takeover\/19150\/","title":{"rendered":"Wenn Ihr Unternehmen zum Spam-Verteiler wird"},"content":{"rendered":"

Vor nicht allzu langer Zeit kam ein gro\u00dfes brasilianisches Unternehmen auf der Suche nach Hilfe bei der Analyse eines Vorfalls auf uns zu. Das Kernproblem in diesem Fall war, dass Cyberkriminelle damit begonnen hatten, Spam \u00fcber die E-Mail-Adressen der Mitarbeiter zu verteilen. Das hei\u00dft, sie gaben sich nicht \u2013 wie in den meisten F\u00e4llen \u2013 als legitime Absender aus, sondern verschickten die Spam-Nachrichten direkt \u00fcber den Mailserver des Unternehmens. Nach einer eingehenden Untersuchung konnten wir den genauen Modus Operandi der Angreifer ermitteln.<\/p>\n

Das Angriffsschema<\/h2>\n

Zun\u00e4chst schickten die Betr\u00fcger Phishing-E-Mails an die Mitarbeiter des Unternehmens, in denen sie den Empf\u00e4ngern die bevorstehende L\u00f6schung bzw. Sperrung ihrer Mailbox mitteilten und sie dazu aufforderten, einen Link zur Aktualisierung ihrer Kontodaten zu klicken, um dies zu verhindern. Dieser Link f\u00fchrte die Mitarbeiter zu einem Phishing-Formular, das sie zu der Eingabe ihrer System-Anmeldeinformationen aufforderte.<\/p>\n

\"\"

\u00dcbersetzung: Sehr geehrter Nutzer, Ihre Mailbox wird in K\u00fcrze gel\u00f6scht, weil sich zu viele ungelesene Nachrichten in Ihrem Postfach befinden. Um dies zu vermeiden, klicken Sie hier, um Ihr Konto zu aktualisieren. Wir entschuldigen uns f\u00fcr die Unannehmlichkeiten. Der Systemadministrator.<\/p><\/div>\n

Die Opfer f\u00fcllten das Formular guten Gewissens aus, wodurch sie den Betr\u00fcgern vollen Zugriff auf ihre E-Mail-Konten gew\u00e4hrten. Die Kriminellen begannen dann, Spam-Nachrichten \u00fcber die kompromittierten Konten zu verteilen, ohne die Notwendigkeit, die Header der Nachrichten zu \u00e4ndern, da diese bereits v\u00f6llig legitim waren. Da die Spam-Nachrichten von seri\u00f6sen Servern stammten, passierten sie auch jegliche Filter ohne Probleme.<\/p>\n

Nachdem die Cyberkriminellen die volle Kontrolle \u00fcber die Postf\u00e4cher erlangt hatten, gingen sie zur n\u00e4chsten Mailing-Welle \u00fcber. In diesem Fall verschickten die Betr\u00fcger sogenannte \u201eNigeria Scam<\/a>\u201e-Nachrichten in verschiedenen Sprachen.<\/p>\n

\"\"

Beispiel einer \u201eNigerian Scam\u201c-Nachricht<\/p><\/div>\n

Unsere Vorfallsanalyse ergab, dass das brasilianische Unternehmen nicht das einzige Opfer war; denn dieselbe Nachricht wurde auch in gro\u00dfen Mengen von den Adressen verschiedener staatlicher und gemeinn\u00fctziger Organisationen verschickt, wodurch den Nachrichten zus\u00e4tzliche Authentizit\u00e4t verliehen wurde.<\/p>\n

Verheerende Konsequenzen<\/h2>\n

Der Missbrauch Ihrer Unternehmensserver zum Versenden betr\u00fcgerischer Angebote macht keinen besonders guten Eindruck \u2013 weder auf Kunden noch auf Gesch\u00e4ftspartner. Gehen die Angreifer jedoch einen Schritt weiter und entscheiden sich f\u00fcr die Verteilung von Malware \u00fcber Ihre Server, k\u00f6nnte das den Ruf Ihres Unternehmens nachhaltig sch\u00e4digen.<\/p>\n

Doch die Folgen eines solchen Vorfalls k\u00f6nnen noch deutlich schlimmere Ausma\u00dfe annehmen; denn h\u00e4ufig stimmen die Anmeldeinformationen der E-Mail-Postf\u00e4cher von Angestellten mit ihren Domain-Benutzernamen und -Passw\u00f6rtern \u00fcberein. Dies bedeutet, dass gestohlene Anmeldeinformationen auch f\u00fcr den Zugriff auf andere Unternehmensdienste verwendet werden k\u00f6nnen.<\/p>\n

Durch den Zugriff auf das Postfach des Mitarbeiters eines renommierten Unternehmens k\u00f6nnen Cyberkriminelle dar\u00fcber hinaus versuchen, einen zielgerichteten Angriff auf Kollegen, Gesch\u00e4ftspartner oder Regierungsbeamte zu unternehmen. Zwar erfordern derartige Angriffe erstklassige Social-Engineering-Skills, um das Opfer dazu zu bewegen, alle erforderlichen Handlungen auch tats\u00e4chlich durchzuf\u00fchren, aber der Schaden, den ein solcher Angriff dann verursachen kann, kann unvorhersehbar hoch sein.<\/p>\n

Die in diesem Beitrag beschriebene Art von Betrug wird als BEC<\/em> (Business E-Mail Compromise<\/em>) bezeichnet und kann betroffenen Unternehmen ziemliche Kopfschmerzen bereiten. Im Wesentlichen versucht der Fake-Absender hierbei per Korrespondenz, Zugriff auf Kontodaten, Finanzdokumente und andere vertrauliche Informationen zu erhalten. Ungl\u00fccklicherweise sind BEC<\/em>-Nachrichten sehr schwer zu erkennen, da sie von einer legitimen Adresse stammen.<\/p>\n

Schutz f\u00fcr Unternehmen und Mitarbeiter<\/h2>\n

Um den Ruf Ihres Unternehmens zu sch\u00fctzen und derartige Vorf\u00e4lle zu vermeiden, empfehlen wir Ihnen die Installation einer zuverl\u00e4ssigen Schutzl\u00f6sung<\/a>, die Phishingversuche \u2013 sowohl auf Mailserver als auch auf Workstations \u2013 problemlos erkennt. Dar\u00fcber hinaus ist das regelm\u00e4\u00dfige Update von heuristischen Antispam-Datenbanken und Antiphishing-Komponenten ein absolutes Muss.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Cyberkriminelle \u00fcbernehmen die Kontrolle \u00fcber die E-Mail-Konten von Unternehmen und umgehen jegliche Spam-Filter.<\/p>\n","protected":false},"author":2495,"featured_media":19153,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[142,3287,59],"class_list":{"0":"post-19150","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-betrug","9":"tag-mail","10":"tag-spam"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/brazil-spam-mail-takeover\/19150\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/brazil-spam-mail-takeover\/15735\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/brazil-spam-mail-takeover\/13264\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/brazil-spam-mail-takeover\/17644\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/brazil-spam-mail-takeover\/15789\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/brazil-spam-mail-takeover\/14493\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/brazil-spam-mail-takeover\/18377\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/brazil-spam-mail-takeover\/17271\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/brazil-spam-mail-takeover\/22686\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/brazil-spam-mail-takeover\/5941\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/brazil-spam-mail-takeover\/26855\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/brazil-spam-mail-takeover\/11676\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/brazil-spam-mail-takeover\/11791\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/brazil-spam-mail-takeover\/10673\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/brazil-spam-mail-takeover\/23175\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/brazil-spam-mail-takeover\/18338\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/brazil-spam-mail-takeover\/22571\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/brazil-spam-mail-takeover\/22506\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/spam\/","name":"spam"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19150","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2495"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=19150"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19150\/revisions"}],"predecessor-version":[{"id":20848,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19150\/revisions\/20848"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/19153"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=19150"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=19150"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=19150"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}