Phishing

5 Allgemeine Phishing-Techniken

Romain Basset

03. Oktober 2019

3 min

Die meisten E-Mail-Sicherheitsfilter sorgen äußerst wirksam dafür, dass Spam-Nachrichten niemals den Posteingang erreichen. Allerdings sind sie bei der Blockierung von Phishing weitaus weniger effektiv, weil sich gezeigt hat, dass die Lösung dieses Problems sehr viel schwieriger ist. Die aktuellen Phishing-Techniken sind ausgesprochen ausgereift, sie umgehen E-Mail-Sicherheitsfilter und das Ziel Ihre Kunden und Mitarbeiter.

Eine gut gestaltete Phishing-E-Mail ist nahezu—wenn nicht sogar vollkommen—identisch mit einer E-Mail von einer bekannten Marke. Die Opfer klicken auf Phishing-Links von bekannten Marken, wie Microsoft und Paypal, und glauben, sie würden sich an einem vertrauenswürdigen Konto anmelden. Bei einigen der Phishing-Angriffe geben die Opfer ihre Anmeldedaten unwissentlich gegenüber den Cyberkriminellen preis. Bei anderen klicken die Opfer einen Phishing-Link oder einen -Anhang an, der Malware oder Ransomware auf ihre Computer herunterlädt.

Die folgenden Phishing-Techniken sind außerordentlich ausgefeilte Verschleierungsmethoden, die Cyberkriminelle verwenden, um die Office 365-Sicherheit zu umgehen. In den meisten Fällen sind sie für den Benutzer nicht sichtbar und umgehen ganz einfach Exchange Online Protection (EOP) und Secure-E-Mail-Gateways (SEGs)

1. Verwendung legitimer Links

Die meisten E-Mail-Filters prüfen auf bekannte Phishing-URLs. Um ihre Entdeckung zu umgehen, fügen die Phisher ihren Phishing-E-Mails legitime Links hinzu. Viele E-Mail-Filter scannen eine Reihe von legitimen Links und gehen davon aus, dass die E-Mail sauber sei. In aktuellen Microsoft Office 365 Phishing-E-Mails, die von Vade Secure erkannt wurden, fügten die Phisher eine legitime Antwort-E-Mail-Adresse und legitime Links zur Microsoft Community, Legal- und Datenschutz-Websites ein. Außerdem fügten sie einen Link zu einer der Kontaktvoreinstellungen-Seiten von Microsoft hinzu, auf denen die Benutzer ihre bevorzugten Kommunikationseinstellungen für Apps festlegen können, u. a. SharePoint und OneDrive.

In dem nachstehenden Beispiel einer von Vade Secure erkannten Well‘s Fargo Phishing-E-Mail fügte der Phisher sogar einen Link zum Betrugsinformationszentrum der Bank hinzu.

2. Mischung aus legitimem und böswilligem Code

Eine bekannte Phishing-E-Mail oder ein Malware-Virus enthält eine Signatur, die von EOP erkannt werden kann. Eine Technik für die Verschleierung der Signatur ist eine Mischung aus legitimem und böswilligem Code. Ausgefeilte Microsoft Phishing-Seiten enthalten beispielsweise CSS und JavaScript aus echten Microsoft-Websites, wie der Office 365-Anmeldeseite. Andere Techniken sind unter anderem zufällige Codierungszeichen, das Hinzufügen von unsichtbarem Text, Einfügen von Leerzeichen und die Zuweisung zufälliger Werte zu HTML-Attributen. Das Ziel dieses Mix aus legitimem und böswilligem Code ist es, jede E-Mail dem Filter gegenüber als einzigartig darzustellen.

3. Missbrauch von Umleitungen und URL-Kürzungen

Beim Phishing steht Zeit im Mittelpunkt. Damit die Opfer keinen Verdacht schöpfen, werden die Phisher sie nach dem Phishing-Angriff auf eine legitime Website umleiten. Wenn Benutzer beispielsweise ihre Office 365-Anmeldedaten auf einer Phishing-Seite eingeben, werden Sie zu Office 365.com oder eine andere Microsoft-Website weitergeleitet.

Eine andere Form des Umleitungsmissbrauchs ist das „Time Bombing“, eine Phishing-Technik, bei der eine URL-Umleitung direkt von einer legitimen Website aus auf eine Phishing-Seite erfolgt. „Time Bombing“ ist äußerst effektiv, weil die E-Mail zum Zeitpunkt der Auslieferung, wenn sie von einem E-Mail-Filter gescannt wird, einen legitimen Microsoft-Link enthält. Die Umleitung auf die Phishing-Seite wird erst erzeugt nachdem die E-Mail erfolgreich an das Opfer ausgeliefert wurde.

Bei einer anderen Phishing-Technik, bei der eine bekannte Phishing-URL verschleiert wird, können die Phisher URL-Kürzer verwenden, wie TinyURL und Bitly. Diese kostenlosen Tools wandeln lange URLs in gekürzte URLs um—Aliase, die keinen Bezug zum ursprünglichen URL-Namen haben. Diese meisten E-Mail-Filter werden die Signatur in einer gekürzten Phishing-URL nicht erkennen.

4. Verschleierung von Markenlogos

Wie die anderen Elemente bekannter Phishing-Seiten enthalten auch Logos HTML-Attribute, die von einem E-Mail-Filter erkannt werden, der nach Signaturen sucht. Um die Erkennung zu verhindern, verändern Phisher Markenlogos so, dass dies mit dem bloßen Augen nicht erkennbar ist, für den Filter jedoch einzigartig sind. Wenn zum Beispiel ein HTML-Attribut, wie Farbe oder Form, um ein Zeichen verändert wird, unterscheidet sich die Signatur von einer bekannte Phishing-Seite und somit ist sie einzigartig. Bereits diese geringfügige Veränderung reicht aus, um einen E-Mail-Filter zu täuschen, der nach böswilligem Inhalt sucht, das Rendering eines Bildes jedoch nicht so analysieren kann, wie ein Mensch es kann.

5. Verwirrung des Filters durch kurzen Inhalt oder starkes Rauschen

Einige Cyberkriminelle umgehen der Erkennung, indem sie keinen oder nur wenig Inhalt in ihre Phishing-E-Mails einfügen. Eine Version dieses Angriffs sehen wir häufiger in Bildern als in Text, wobei das für das Opfer nicht erkennbar ist. Dies ist eine verbreitete Technik in Sextortion-E-Mails, unter anderem in der 2018 entdeckten Massenwelle. Es gab keinen oder nur wenig Inhalt, der gescannt werden konnte, und somit ging der Filter von einer sicheren E-Mail aus. Der Text in dem nachstehenden Beispiel ist in Wirklichkeit ein Bild.

Demgegenüber steht die Praxis eine E-Mail mit übermäßig viel Inhalt oder „Rauschen“ vollzustopfen. Diese Technik funktioniert wegen der Zufälligkeit des Codes. Er dient keinem Zweck, hat keine Bedeutung, und deshalb verwirrt er den Filter. Im nachstehenden Beispiel füllt der Phisher den Code mit einer Dialogzeile aus „Pulp Fiction“ auf.

Was können Sie tun, um Ihre Kunden zu schützen?

Die immer ausgefeilteren Phishing-Angriffe bedeuten, dass ausgefeiltere Gegenmaßnahmen unerlässlich sind. Traditionelle E-Mail-Filter reichen nicht aus. Kunden, die mit Office 365 arbeiten, benötigen eine zusätzliche Phishing-Schutzschicht mit Microsoft Exchange Online Protection (EOP). Vade Secures „Time-of-Click-Anti-Phishing“-Technologie scannt auf die vorstehenden Phishing-Techniken, indem URLs und Websites in Echtzeit durchsucht werden, um Signatur-Verschleierungsmethoden zu erkennen, die EOP und SEGs verborgen bleiben.