{"id":30059,"date":"2023-04-28T11:08:01","date_gmt":"2023-04-28T09:08:01","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30059"},"modified":"2023-04-28T11:08:01","modified_gmt":"2023-04-28T09:08:01","slug":"what-is-conversation-hijacking","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/what-is-conversation-hijacking\/30059\/","title":{"rendered":"So gehen Sie richtig mit Conversation Hijacking um"},"content":{"rendered":"

Zielgerichtete E-Mail-Angriffe sind nicht auf Spear-Phishing und die Kompromittierung von Gesch\u00e4fts-E-Mails (BEC)<\/a> beschr\u00e4nkt. Eine weitere ernsthafte Bedrohung ist das sogenannte Conversation Hijacking<\/em>. Vereinfacht gesagt, handelt es sich dabei um ein Schema, bei dem sich Angreifer in eine gesch\u00e4ftliche E-Mail-Korrespondenz einschleusen und sich als einer der Teilnehmer ausgeben. In diesem Beitrag analysieren wir, wie solche Angriffe funktionieren und was zu tun ist, um ihre Erfolgschancen zu minimieren.<\/p>\n

Wie erhalten Angreifer Zugang zu E-Korrespondenzen?<\/h2>\n

Um sich in eine private E-Mail-Unterhaltung einzuschleichen, m\u00fcssen sich Cyberkriminelle irgendwie Zugang zu einer Mailbox oder (zumindest) zum E-Mail-Archiv verschaffen. Dazu gibt es verschiedene Tricks, die sie anwenden k\u00f6nnen.<\/p>\n

Der naheliegendste ist, die Mailbox zu hacken. F\u00fcr Cloud-Dienste ist das Brute-Forcing von Passw\u00f6rtern die beliebteste Methode: Angreifer suchen in Leaks von Online-Diensten nach Passw\u00f6rtern, die mit einer bestimmten E-Mail-Adresse verkn\u00fcpft sind, und probieren diese Kombinationen dann mit gesch\u00e4ftlichen E-Mail-Konten aus. Aus diesem Grund ist es wichtig, dass Sie erstens nicht dieselben Anmeldedaten f\u00fcr verschiedene Dienste verwenden und zweitens bei der Registrierung auf Websites, die nichts mit Ihrer Arbeit zu tun haben, keine berufliche E-Mail-Adresse angeben. Eine andere Methode ist der Zugriff auf E-Mails \u00fcber Schwachstellen in der Serversoftware.<\/p>\n

Was Conversation Hijacking ist und wie Sie Ihre Mitarbeiter davor sch\u00fctzen k\u00f6nnen.<\/p>Tweet<\/a><\/blockquote>\n

\u00dcbelt\u00e4ter haben selten lange die Kontrolle \u00fcber eine dienstliche E-Mail-Adresse, doch haben sie meist genug Zeit, um das E-Mail-Archiv herunterzuladen. Gelegentlich erstellen sie Regeln f\u00fcr die Weiterleitung in den Einstellungen, um die in der Mailbox eingehenden E-Mails in Echtzeit zu empfangen. Auf diese Weise k\u00f6nnen sie die Nachrichten nur lesen und nicht selbst versenden. K\u00f6nnten sie Nachrichten selbst verschicken, w\u00fcrden sie h\u00f6chstwahrscheinlich versuchen, einen BEC-Angriff durchzuf\u00fchren.<\/p>\n

Eine weitere Alternative ist Malware. K\u00fcrzlich enth\u00fcllten unsere Kollegen eine Massenkampagne<\/a> zum Hijacking von E-Mails mit dem Ziel, Computer mit dem QBot-Trojaner zu infizieren. Die Mails, in denen die Cyberkriminellen ihre sch\u00e4dliche Nutzlast platzierten, stammten h\u00f6chstwahrscheinlich von fr\u00fcheren Opfern der gleichen QBot-Malware (die auf lokale Nachrichtenarchive zugreifen kann).<\/p>\n

Doch selbsternannte Hacker oder Malware-Betreiber \u00fcbernehmen das Hijacking von Unterhaltungen nicht zwangsl\u00e4ufig selbst \u2013 manchmal werden Nachrichtenarchive im Dark Web verkauft und von anderen Betr\u00fcgern verwendet.<\/p>\n

<\/h2>\n

Wie funktioniert Conversation Hijacking?<\/h2>\n

Cyberkriminelle durchforsten Nachrichtenarchive nach E-Mails zwischen mehreren Unternehmen (Partner, Auftragnehmer, Lieferanten usw.). Das genaue Datum spielt dabei keine Rolle \u2013 die Betr\u00fcger k\u00f6nnen Unterhaltungen fortsetzen, die Jahre zur\u00fcckliegen. Wenn sie einen passenden E-Mail-Austausch gefunden haben, schreiben sie an eine der beteiligten Parteien und geben sich als eine der anderen aus. Ihr Ziel ist es, den Empf\u00e4nger dazu zu bringen, das zu tun, was die Angreifer von ihm verlangen. Manchmal tauschen sie, bevor sie zur Sache kommen, ein paar Nachrichten aus, nur um die Wachsamkeit ihres Gegen\u00fcbers zu verringern.<\/p>\n

Da es sich beim Conversation Hijacking<\/em> um einen zielgerichteten Angriff handelt, wird oftmals eine \u00e4hnliche Domain verwendet, d. h. eine Domain, die der eines Teilnehmers sehr \u00e4hnlich sieht, aber eine kleine Abweichung aufweist, z. B. eine andere Top-Level-Domain, ein zus\u00e4tzlicher Buchstabe oder ein Symbol, das durch ein \u00e4hnlich aussehendes ersetzt wird.<\/p>\n

E-Mail der Angreifer: Im Domainnamen erscheint der Buchstabe \"n\" anstelle von \"m\"

E-Mail der Angreifer: Im Domainnamen erscheint der Buchstabe \u201en\u201c anstelle von \u201em\u201c<\/p><\/div>\n

\u00a0<\/p>\n

Was genau bedeutet Conversation Hijacking und welches Ziel verfolgt es?<\/h2>\n

Das Ziel des Conversation Hijacking<\/em> ist im Allgemeinen recht banal: Durch den Diebstahl von Anmeldedaten soll sich Zugang zu einer Ressource verschafft werden; das Opfer soll davon \u00fcberzeugt werden, Geld auf das Konto der Angreifer zu \u00fcberweisen, einen sch\u00e4dlichen Anhang zu \u00f6ffnen oder einem Link zu einer infizierten Website zu folgen.<\/p>\n

So sch\u00fctzen Sie sich vor Conversation Hijacking<\/h2>\n

Die Hauptbedrohung, die vom Conversation Hijacking<\/em> ausgeht, besteht darin, dass E-Mails dieser Art mit automatisierten Ma\u00dfnahmen recht schwer zu erkennen sind. Gl\u00fccklicherweise enth\u00e4lt unser Arsenal [KSO365 Placeholder]Kaspersky Security for Microsoft Office 365[\/KSO365 Placeholder], eine L\u00f6sung, die den Versuch einer heimlichen Teilnahme an Unterhaltungen anderer Personen erkennt. Um die Risiken f\u00fcr Sie und Ihre Gesch\u00e4ftspartner weiter zu verringern, empfehlen wir:<\/p>\n