{"id":26174,"date":"2021-02-05T13:00:58","date_gmt":"2021-02-05T11:00:58","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26174"},"modified":"2021-02-08T17:43:43","modified_gmt":"2021-02-08T15:43:43","slug":"the-hunt-for-mailing-lists","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/the-hunt-for-mailing-lists\/26174\/","title":{"rendered":"Cyberverbrecher haben es auf Mailinglisten abgesehen"},"content":{"rendered":"

Es ist bereits gef\u00e4hrlich, wenn Verbraucher denken, dass sich Cyberverbrecher nicht f\u00fcr sie interessieren, aber noch schlimmer ist es, wenn Inhaber von kleinen und mittleren Unternehmen (KMU) der gleichen Meinung sind. Wenn KMU die grundlegenden Schutzma\u00dfnahmen vernachl\u00e4ssigen, freuen sich Cyberkriminelle dar\u00fcber, denn die Angriffsziele der Verbrecher stimmen nicht immer mit den allgemeinen Vorstellungen \u00fcberein. Ein gutes Beispiel hierf\u00fcr ist eine E-Mail, die vor Kurzem in die Falle unserer Sicherheitsforscher gegangen ist\u00a0\u2013 Es war eine Phishing-E-Mail, die das Konto eines E-Mail-Service-Provider (kurz: ESP und auch als E-Mail-Marketing-Dienst bekannt) hijacken sollte, um an die E-Mail-Adressenlisten heran zu kommen.<\/p>\n

Wie das Phishing von externen E-Mail-Versendern funktioniert<\/h2>\n

Der Phishing-Betrug beginnt mit einer E-Mail an einen Mitarbeiter, in der die Zahlung eines ESP-Abonnements best\u00e4tigt wird. \u00dcber den Link in der E-Mail hat der Mitarbeiter angeblich Zugriff auf den Zahlungsbeleg. Sollte der Empf\u00e4nger wirklich ein ESP-Kunde sein (und diese Phishing-Kampagnen sind in der Regel auf diese Art von Kunden ausgerichtet) ist es durchaus m\u00f6glich, dass der Mitarbeiter auf den Link klickt, um mehr \u00fcber diese ungew\u00f6hnliche Zahlung herauszufinden.<\/p>\n

Der Link scheint zu einer ESP-Website zu f\u00fchren, aber die Wirklichkeit sieht ganz anders aus\u00a0\u2013 Der Mitarbeiter wird auf eine Seite weitergeleitet, die eine erstaunliche \u00c4hnlichkeit mit der echten Anmeldeseite des Dienstleisters hat.<\/p>\n

\"\"

Zwei Anmeldebildschirme. Die gef\u00e4lschte Seite ist auf der linken Seite.<\/p><\/div>\n

An diesem Punkt wissen unsere Leser bereits was geschieht, wenn der Mitarbeiter hier die Anmeldedaten eingibt. Richtig, die Daten gehen dem Cyberverbrecher direkt ins Netz! Abgesehen von der falschen URL, werden die Daten, die auf der gef\u00e4lschten Seite erhoben wurden, \u00fcber einen ungesch\u00fctzten Kanal \u00fcbertragen. Die Angreifer haben sich noch nicht einmal die M\u00fche gemacht, die CAPTCHA-Abfrage nachzubilden. Allerdings haben sie ein Beispiel im E-Mail-Feld angegeben. Sicherlich wurde auch eine Fahne unten rechts angezeigt. Aber den meisten Benutzern fallen diese Hinweise nicht auf.<\/p>\n

Warum es gef\u00e4hrlich ist, den Zugriff auf ein ESP-Konto zu verlieren<\/h2>\n

Bestenfalls wird der Betr\u00fcger, der die Kontrolle \u00fcber das ESP-Konto erzielt hat, die Liste mit E-Mail-Adressen der Kunden des Unternehmens nur zum Versenden von Spam verwenden. Empf\u00e4ngerlisten aus bestimmten Branchen erzielen auf dem Schwarzmarkt allerdings einen h\u00f6heren Preis, als nach dem Zufallsprinzip erstellte Listen, denn wenn die T\u00e4tigkeitsbereiche des entsprechenden Unternehmens bekannt sind, k\u00f6nnen Cyberkriminelle die Spam-Kampagnen ma\u00dfgeschneidert anpassen.<\/p>\n

Da der Cyberverbrecher, der das ESP-Konto gehackt hat, auf Phishing spezialisiert ist, werden h\u00f6chstwahrscheinlich alle auf der Liste aufgef\u00fchrten Personen eine E-Mail erhalten, die angeblich von dem Unternehmen geschickt wurde. Die Empf\u00e4nger dieser E-Mails sind entweder Kunden des Unternehmens oder haben den Newsletter abonniert und werden deshalb die Nachricht h\u00f6chstwahrscheinlich \u00f6ffnen und auch ohne zweimal nachzudenken auf den Link in der E-Mail klicken. Schlie\u00dflich scheint es eine E-Mail von einem vertrauensw\u00fcrdigen Absender zu sein.<\/p>\n

Masking-Methode<\/h2>\n

Durch eine ausf\u00fchrliche Studie der Phishing-E-Mail, haben wir herausgefunden, dass sie \u00fcber einen E-Mail-Marketing-Dienst versendet wurde, allerdings \u00fcber einen anderen (und zwar \u00fcber einen Konkurrenten des ESP, von dem die E-Mails angeblich geschickt wurden). F\u00fcr eine detaillierte Erkl\u00e4rung der Logik, die hinter dieser Entscheidung steckt, werfen Sie einen Blick auf unseren Artikel: \u201ePhishing mittels E-Mail-Marketing-Diensten<\/a>.\u201c Interessant an diesem Fall ist auch, dass die Cyberverbrecher eine Landingpage f\u00fcr ihr \u201eMarketing-Unternehmen\u201c erstellt haben, um die Dauer der Kampagne zu verl\u00e4ngern. (Der Seitentitel \u201eSimple House Template\u201c ist allerdings nicht besonders \u00fcberzeugend.)<\/p>\n

\"\"

Die Landingpage des gef\u00e4lschten \u201eMarketing-Unternehmens\u201c.<\/p><\/div>\n

Die Vorgehensweise l\u00e4sst darauf schlie\u00dfen, dass die Angreifer \u00fcber umfassende Informationen zu den Mechanismen von mehreren Mailingdiensten haben und deshalb auch andere Kunden der ESP angreifen k\u00f6nnten.<\/p>\n

Wie Sie sich vor Phishing sch\u00fctzen k\u00f6nnen<\/h2>\n

Beachten Sie folgendes Standard-Tipps, um nicht in Phishing-Fallen zu tappen:<\/p>\n