{"id":25129,"date":"2020-09-14T12:32:00","date_gmt":"2020-09-14T10:32:00","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=25129"},"modified":"2020-09-16T06:55:16","modified_gmt":"2020-09-16T04:55:16","slug":"tracking-pixel-bec","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/tracking-pixel-bec\/25129\/","title":{"rendered":"Z\u00e4hlpixel im Auftrag der Cyberkriminalit\u00e4t"},"content":{"rendered":"

Angreifer neigen dazu, sorgf\u00e4ltige Vorarbeit zu leisten, um BEC-Angriffe zu entwickeln. Wenn sie sich als jemand ausgeben, der berechtigt ist, Gelder zu \u00fcberweisen oder vertrauliche Informationen zu versenden, m\u00fcssen ihre Nachrichten so authentisch wie m\u00f6glich aussehen. Dabei sind kleine Details besonders wichtig.<\/p>\n

Vor kurzem haben wir ein interessantes Beispiel einer E-Mail in die H\u00e4nde bekommen, die an einen Mitarbeiter eines Unternehmens gesendet wurde, um ein Gespr\u00e4ch ins Rollen zu bringen.<\/p>\n

\u201eBitte lassen Sie mich wissen, wann ich Sie erreichen kann. Ich m\u00f6chte Sie um einen Gefallen bitten. Ich bin momentan in einem Meeting, also antworten Sie mir einfach per E-Mail. Mfg, XY<\/p>\n

Gesendet von meinem iPhone\u201c<\/p>\n

Die Nachricht selbst ist f\u00fcr diese Art von E-Mail recht knapp und trocken verfasst. Der Angreifer macht deutlich, dass sich der Absender in einem Meeting befindet, also nicht anderweitig erreichbar ist. Das tut er, um den Empf\u00e4nger davon abzuhalten, zu \u00fcberpr\u00fcfen, ob er tats\u00e4chlich mit der jeweiligen Person korrespondiert, deren Name in der Signatur erscheint. Da die Angreifer nicht versucht haben, die Tatsache zu verbergen, dass die E-Mail von einem \u00f6ffentlichen E-Mail-Dienst gesendet wurde, wussten sie entweder, dass die betroffene Person diesen Dienst selbst nutzt, oder gingen davon aus, dass es f\u00fcr das Unternehmen normal ist, Gesch\u00e4ftskorrespondenzen von Drittanbietern zu erhalten.<\/p>\n

Aber eine weitere Tatsache hat unsere Aufmerksamkeit geweckt: die Signatur \u201eGesendet von meinem iPhone\u201c. Hierbei handelt es sich um die Standardeinstellung von iOS Mail f\u00fcr ausgehende Nachrichten, die Kopfzeile l\u00e4sst jedoch vermuten, dass die Nachricht \u00fcber die Webanwendung und insbesondere \u00fcber den Mozilla-Browser gesendet wurde.<\/p>\n

Warum haben die Angreifer versucht, die E-Mail so aussehen zu lassen, als sei sie von einem Apple-Smartphone aus gesendet worden? Die automatische Signatur k\u00f6nnte hinzugef\u00fcgt worden sein, um die Nachricht seri\u00f6s wirken zu lassen. Das ist jedoch nicht der eleganteste aller Tricks. BEC-Angriffe scheinen am h\u00e4ufigsten von einem Mitarbeiter zu kommen, und die Chancen stehen gut, dass der Empf\u00e4nger in diesem Fall wusste, welche Art von Ger\u00e4t diese Person benutzt hat.<\/p>\n

Die Kriminellen m\u00fcssen also gewusst haben, was sie taten. Aber woher? Eigentlich ist das nicht schwer. Alles, was man ben\u00f6tigt, ist eine Recherche mit Hilfe eines so genannten Z\u00e4hlpixels, auch als Web-Beacon bekannt.<\/p>\n

Was ein Z\u00e4hlpixel ist und warum es verwendet wird<\/h2>\n

In der Regel wollen Unternehmen, die Massen-E-Mails an Kunden, Partner oder Leser \u2013 also fast jedes Unternehmen \u2013 versenden, wissen, wie viel Engagement sie damit erreichen. Theoretisch hat die E-Mail eine eingebaute Option f\u00fcr den Versand von Lesebest\u00e4tigungen; die Empf\u00e4nger m\u00fcssen dieser Verwendung jedoch zun\u00e4chst zustimmen, was die meisten Nutzer nicht tun. Infolgedessen haben clevere Marketingleute Z\u00e4hlpixel entwickelt.<\/p>\n

Z\u00e4hlpixel sind winzig kleine Grafiken, die auf Webseiten integriert, aber f\u00fcr das blo\u00dfe Auge nicht erkennbar sind. Wenn also eine E-Mail-Client-Anwendung diese Grafik anfordert, erh\u00e4lt der Absender nicht nur die Best\u00e4tigung, dass die Nachricht ge\u00f6ffnet wurde, sondern auch Informationen wie die IP-Adresse des Empf\u00e4ngers, den Zeitpunkt des \u00d6ffnens der E-Mail und Informationen zu dem Programm, mit dem die Nachricht ge\u00f6ffnet wurde. Haben Sie jemals bemerkt, dass Ihr E-Mail-Client keine Bilder anzeigt, bis Sie auf einen Link klicken, der es ihm erlaubt diese herunterzuladen? Dies dient nicht dazu, die Leistung zu steigern oder den Datenverkehr einzuschr\u00e4nken. Tats\u00e4chlich sind automatische Bilddownloads aus Sicherheitsgr\u00fcnden normalerweise standardm\u00e4\u00dfig deaktiviert.<\/p>\n

Wie k\u00f6nnen Cyberkriminelle Z\u00e4hlpixel zu ihrem Vorteil nutzen?<\/h2>\n

Hier ein Szenario: Auf einer Auslandsreise erhalten Sie eine E-Mail, die einen unternehmensrelevanten Eindruck erweckt. Sobald Sie merken, dass es sich nur um unerw\u00fcnschte Werbung handelt, schlie\u00dfen Sie die E-Mail und l\u00f6schen sie, aber in der Zwischenzeit erf\u00e4hrt der Angreifer bereits Folgendes:<\/p>\n