{"id":25636,"date":"2020-11-03T17:26:36","date_gmt":"2020-11-03T15:26:36","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=25636"},"modified":"2020-11-03T17:26:36","modified_gmt":"2020-11-03T15:26:36","slug":"phishing-via-esp","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/phishing-via-esp\/25636\/","title":{"rendered":"Phishing mittels E-Mail-Marketing-Diensten"},"content":{"rendered":"

Betr\u00fcger haben im Laufe der Jahre verschiedene Tricks<\/a> eingesetzt, um Antiphishing-Technologien zu umgehen. Ein weiteres Vorgehen mit einer hohen Erfolgsquote bei der Zustellung von Phishing-Links ist die Nutzung von E-Mail-Marketing-Diensten, die auch als E-Mail-Service-Provider (ESPs) bekannt sind. Hierbei handelt es sich um Unternehmen, die auf die Zustellung von E-Mail-Newslettern spezialisiert sind. Laut den Statistiken, die wir von unseren L\u00f6sungen erhalten haben, gewinnt diese Vorgehensweise immer mehr an Bedeutung.<\/p>\n

Wieso ESP-basiertes Phishing funktioniert<\/h2>\n

Unternehmen, die sich ernsthaft mit E-Mail-Bedrohungen auseinandersetzen, scannen alle E-Mails gr\u00fcndlich mit Antiviren-, Antiphishing- und Antispam-Engines, bevor sie die Nachrichten in die Posteing\u00e4nge der Benutzer weiterleiten. Die Engines scannen nicht nur den Inhalt der Nachrichten, Kopfzeilen und Links, sondern \u00fcberpr\u00fcfen auch den Ruf des Absenders und aller verlinkten Websites. Risikoentscheidungen basieren auf einer Kombination dieser Faktoren. Wenn zum Beispiel eine Massen-E-Mail von einem unbekannten Absender ankommt, verd\u00e4chtigt die Engine sie und alarmiert die Sicherheitsalgorithmen.<\/p>\n

Die Angreifer haben jedoch einen Umweg gefunden: das Versenden von E-Mails im Namen einer vertrauensw\u00fcrdigen Entit\u00e4t. E-Mail-Marketing-Dienste, die ein End-to-End-Newsletter-Management bieten, eignen sich perfekt daf\u00fcr. Sie sind bekannt, viele Anbieter von Sicherheitsl\u00f6sungen lassen ihre IP-Adressen standardm\u00e4\u00dfig zu und einige \u00fcberspringen sogar die \u00dcberpr\u00fcfung der \u00fcber sie versandten Mails.<\/p>\n

Wie ESPs ausgenutzt werden<\/h2>\n

Der Hauptangriffsvektor ist klar: Es handelt sich hierbei um Phishing, das als legitimes Mailing getarnt ist. In der Regel werden Cyberkriminelle zu Kunden des E-Mail-Dienstes, indem Sie das g\u00fcnstigste Abonnement kaufen (alles andere w\u00e4re nicht sehr sinnvoll, zumal sie damit rechnen m\u00fcssen, dass sie m\u00f6glicherweise schnell identifiziert und blockiert werden).<\/p>\n

Es gibt jedoch eine ausgefallenere Option: die Verwendung des ESP als URL-Host. Bei diesem Angriffsschema wird der Newsletter \u00fcber die eigene Infrastruktur des Angreifers verschickt. So k\u00f6nnen die Cyberkriminellen beispielsweise eine Testkampagne erstellen, die eine Phishing-URL enth\u00e4lt, und diese als Vorschau an sich selbst senden. Die ESP erstellt einen Proxy f\u00fcr diese URL, die dann von den Cyberkriminellen f\u00fcr ihren Phishing-Newsletter verwendet wird. Eine weitere M\u00f6glichkeit f\u00fcr Betr\u00fcger besteht darin, eine Phishing-Website zu erstellen, die eine Mailing-Vorlage zu sein scheint, und einen direkten Link zu dieser Website bereitzustellen. Dies geschieht jedoch weniger h\u00e4ufig.<\/p>\n

Wie dem auch sei, die neue Proxy-URL besitzt jetzt eine gute Bewertung, so dass sie nicht im System blockiert wird. Die E-Mail-Dienste, die den Mailing-Prozess nicht abwickeln, wissen \u00fcber die b\u00f6swilligen Absichten nicht Bescheid und deshalb wird der \u201eKunde\u201c auch nicht blockiert. Die ESPs blockieren die Proxy-URL erst dann, wenn sich die Beschwerden h\u00e4ufen.<\/p>\n

Was halten die ESPs davon?<\/h2>\n

Es liegt auf der Hand, dass die ESPs nicht gerade begeistert dar\u00fcber sind, Tools f\u00fcr Cyberkriminelle zu sein. Die meisten von ihnen verf\u00fcgen \u00fcber ihre eigenen Sicherheitstechnologien, die den Inhalt der Nachrichten und Links, die \u00fcber ihre Server laufen, scannen, und fast alle bieten eine Anleitung f\u00fcr jeden, der \u00fcber ihre Website auf Phishing st\u00f6\u00dft.<\/p>\n

Daher versuchen die Angreifer, auch die ESPs ruhig zu halten. Beispielsweise neigt die Verwendung eines Providers f\u00fcr Proxys dazu, Phishing-Links zu \u201everz\u00f6gern\u201c, so dass sie zum Zeitpunkt der Erstellung der Links in Testnachrichten gutartig erscheinen, aber sp\u00e4ter b\u00f6sartig werden.<\/p>\n

Was man dagegen tun kann<\/h2>\n

In vielen F\u00e4llen werden Massenmails an Firmenmitarbeiter verschickt, deren Adressen \u00f6ffentlich sind. Selbst die wachsamsten unter uns \u00fcbersehen die gelegentlich verd\u00e4chtige oder b\u00f6sartige E-Mail und klicken auf etwas, das wir nicht anklicken sollten. Um Mitarbeiter vor potenziellen Phishing-Angriffen zu sch\u00fctzen, die von ESPs ausgehen, empfehlen wir Folgendes:<\/p>\n