Phishing

Anatomie einer Phishing-E-Mail

Adrien Gendre

15. Oktober 2020

6 min

Dieser Beitrag wurde ursprünglich im Nov 2019 veröffentlicht und mit neuen Inhalten aktualisiert.

Das Erkennen einer Phishing-E-Mail ist nicht mehr so einfach wie früher. Von sauberem, fehlerfreiem Text bis hin zu scharfen Markenlogos und Bildern – die neuen Angriffe sind sehr erfolgreich darin, sowohl versierte Benutzer als auch fortgeschrittene E-Mail-Filter zu täuschen. Was machen Phisher also anders? Alles – von der Adresse des Absenders bis hin zur Fußzeile.

Um Ihnen dabei zu helfen, Betrug zu erkennen, schlüsseln wir sowohl das, was Sie sehen, als auch das, was Sie nicht sehen – den Fließtext und den zugrunde liegenden Code – auf. Unten finden Sie echte Beispiele für Phishing-E-Mails, die von Vade Secure entdeckt wurden.

Absenderadresse

Typisch für Phishing ist das Imitieren einer Marke. Hacker verwenden E-Mail-Spoofing, um gefälschte E-Mail-Adressen zu erstellen, die so aussehen, als seien sie ausgehend von legitimen Adressen versendet worden. Beim E-Mail-Spoofing ist der Name des Absenders sichtbar, aber die E-Mail-Adresse selbst kann ausgeblendet sein.

In einer PayPal-Phishing-E-Mail könnte der sichtbare Alias beispielsweise „PayPal Security“ lauten, die ausgeblendete E-Mail-Adresse lautet jedoch „no-reply-support-team_._@ewrtdrf.com“. Dabei hofft der Phisher, dass der Empfänger den Namen des Absenders nicht einblendet, um die E-Mail-Adresse zu prüfen – das ist etwas, was viele Leute nicht tun, insbesondere auf mobilen Geräten.

Eine Cousin-Domain ist eine raffiniertere Form des Spoofings, bei der die Absenderadresse genauso aussieht wie die E-Mail-Adresse einer Marke, jedoch verfälscht wurde. Eine Möglichkeit, eine Cousin-Domain zu erstellen, ist durch Hinzufügen oder Subtrahieren eines Buchstabens in der E-Mail-Adresse oder durch Anfügen einer Erweiterung, wie z.B. .co, .global oder .ae.

Unten sehen Sie ein Beispiel für einen von Vade Secure aufgedeckten Betrug mit Wells Fargo. Es handelt sich um eine Cousin-Domain mit einer langen Endung, die aussieht wie die E-Mail-Adresse des Wells Fargo-Kundendienstes:

Wells Fargo-Phishing
Wells Fargo-Phishing

Domain-Spoofing ist eine E-Mail-Adresse, die mit einer legitimen Domain, wie z. B. bofa.com (Bank of America), identisch ist. Glücklicherweise ist Domain-Spoofing rückläufig, was auf Domain Keys Identified Email (DKIM) und das Sender Policy Framework (SPF) zurückzuführen ist. Beide identifizieren die unbefugte Verwendung von Domainnamen und blockieren wirkungsvoll alle E-Mails, die Domain-Spoofing enthalten.

[Verwandt] Machen Sie den Phishing-IQ-Test, um Ihr Phishing-Know-how einzuschätzen

Betreffzeile und Ton

Das Ziel von Phishing ist der Diebstahl von Kontoinformationen oder die Verbreitung von Malware. Um dies zu erreichen, müssen die Phisher die Opfer dazu bringen, sich in das Zielkonto einzuloggen. Eine gut gestaltete Betreffzeile ist ein entscheidender erster Schritt, um die gewünschte Handlung zu fördern.

Auf der Verbraucherseite tendieren die E-Mails dazu, sich als Banken, Social-Media-Unternehmen wie Facebook und LinkedIn und beliebte Streaming-Dienste wie Netflix auszugeben. Um Benutzer dazu zu bewegen, die E-Mails zu öffnen, klingen Betreffzeilen oft alarmierend oder wecken Neugierde, wie z. B. „Neue Anmeldung in Ihrem Konto“, „Verdächtige Aktivität entdeckt“ oder „Einladung wartet“.

Auf der Geschäftsseite werden Benutzer mit gefälschten E-Mails von Anbietern, mit denen sie Geschäfte machen, wie SaaS- und Cloud-Unternehmen, angesprochen. Auf Unternehmensseite werden Betreffzeilen erstellt, um die Benutzer auf Probleme aufmerksam zu machen, die den täglichen Geschäftsbetrieb stören könnten.

Viele Betreffzeilen weisen Benutzer darauf hin, dass sie von einer wichtigen Software-Plattform ausgeschlossen wurden und ihr Passwort ändern müssen, oder dass eine wichtige Datei darauf wartet, von ihnen geprüft zu werden. Nachstehend finden Sie einige Beispiele für beliebte Betreffzeilen:

  • Konto gesperrt
  • Neue Anmeldung erkannt
  • Verdächtige Aktivität entdeckt
  • Bitte aktualisieren Sie Ihre Informationen
  • Sicherheitsalarm

SunTrust-Phishing
SunTrust-Phishing

Alle oben genannten Betreffzeilen sollen alarmierend klingen. Hacker verwenden auch ereignisbasierte Betreffzeilen, um Aufmerksamkeit zu erregen. In diesen E-Mails verwenden Hacker ein bekanntes aktuelles Ereignis, um Ängste und Befürchtungen auszunutzen. Wir sahen dies im Jahr 2020 während der globalen Pandemie mit einer Welle von E-Mails, deren Absender sich als Regierungsbehörden ausgaben.

Phishing mit COVID-19-Themen
Phishing mit COVID-19-Themen

Microsoft ist eines der größeren Ziele auf der Geschäftsseite. Microsoft-Phishing-E-Mails reichen von gewöhnlichen Anfragen zum Zurücksetzen von Kennworten bis hin zu raffinierten Angriffen. Unten finden Sie ein aktuelles SharePoint-Beispiel. Bei diesem ausgeklügelten Angriff handelt es sich um eine echte Warnung, die direkt von einem kompromittierten Microsoft-365-Konto mit der Betreffzeile „Shard (sic) File“ gesendet wurde.

SharePoint-Phishing
SharePoint-Phishing

Das folgende Beispiel ist eine gefälschte SharePoint-Benachrichtigung, die von einem kompromittierten Konto generiert wurde und eine Benachrichtigung über eine Nachricht anzeigt. Der Phisher hat Microsoft 365 wahrscheinlich durch eine bisher unentdeckte Phishing-Kampagne gehackt:

SharePoint-Phishing

[Bericht] Phishers' Favorites 2019 – Jahresrückblick

Anhänge

Die meisten E-Mail-Filter suchen nur im Hauptteil der E-Mail nach bekannten Phishing-URLs. Um dies zu umgehen, verstecken Hacker die URL oft in einem Anhang. In der E-Mail selbst wird der Benutzer darauf hingewiesen, dass er eine Rechnung oder ein wichtiges Dokument erhalten hat, das geprüft oder genehmigt werden muss. Die Phishing-URL befindet sich im Fließtext des Dokuments, in der Regel ein Word-Dokument oder eine PDF-Datei.

Anhänge

Obwohl mit Sandboxing – einer Technologie, die eine E-Mail vor der Zustellung unter Quarantäne stellt und untersucht – Anhänge gescannt werden können, suchen die meisten Sandboxing-Technologien nach Malware innerhalb des Dokuments und nicht nach Phishing-URLs.

In letzter Zeit sehen wir Anhänge, die keine Anhänge sind, sondern Phishing-Links, die wie Anhänge aussehen. Wenn ein Benutzer auf den Anhang klickt, um ihn in der Vorschau anzuzeigen oder herunterzuladen, wird er automatisch zu einer Phishing-Seite weitergeleitet, alternativ wird Malware/Ransomware automatisch auf den Computer heruntergeladen.

ZIP-Dateien mit versteckten URLs und Viren entwickeln sich zu einer effektiven – und problematischen – Methode, um gefährliche Payloads zuzustellen. Vor allem Emotet-Gangs haben eine Vorliebe für .ZIP-Dateien. Ende 2020 verschickten cyberkriminelle Gangs riesigen Wellen von Malspam mit Emotet-Malware , die in kennwortgeschützten .ZIP-Dateien versteckt war.

Links

Phishing-Links

Ein Phishing-Link ist eine URL, die einen Benutzer zu einer Webseite führt, die vorgibt, eine beliebte Marke zu sein. URLs werden hinter Anker-Text mit Handlungsaufforderungen wie „Anmelden“, „Hier anzeigen“, „Hier klicken“, „Dokumentenvorschau“ und „Kontoeinstellungen aktualisieren“ verborgen. Wenn Sie den Mauszeiger über den Anker-Text bewegen, wird eine Phishing-URL angezeigt, und viele versierte E-Mail-Benutzer wissen dies und überprüfen die Links. Um nicht entdeckt zu werden, verschleiern Phisher die URL mit diesen Techniken:

  • URL-Abkürzungen: URL-Abkürzungen verschleiern URLs, indem sie Aliase – verkürzte Versionen – erstellen, die dem Original in keiner Weise ähneln. Mithilfe beliebter und kostenloser Tools wie TinyURL und Bit.ly verkürzen Phisher Phishing-URLs, um sowohl Benutzer, die nach verdächtigen URLs suchen, als auch E-Mailfilter, die nach unbekannten Signaturen Ausschau halten, zu täuschen.
  • URL-Umleitungen: Mit einer Technik, die als „Zeitbombe“ bekannt ist, verwenden Phisher saubere, legitime URLs in den E-Mails und erstellen dann Umleitungen auf Phishing-Seiten, nachdem die E-Mails die Filter umgangen haben und erfolgreich zugestellt wurden.
  • Textbasierte Bild-Verschleierung: Die in Sextortion-E-Mails beliebte Bild-als-Text-Verschleierung ist eine E-Mail mit nur einem Bild, das als Link fungiert. Für einen Benutzer sieht der E-Mail-Body wie Text aus, es handelt sich jedoch um ein anklickbares Bild, das auf einer Website gehostet wird (Beispiel unten).

Phishing-Links

Legitime Links

Filter, die nach böswilligen Links suchen, übersehen diese oft, wenn die E-Mail auch saubere Links zu legitimen Webseiten enthält. Die Einbeziehung legitimer URLs ist eine Praxis, die immer häufiger vorkommt und die in den neuesten von Vade Secure erkannten Bedrohungen eine wichtige Rolle spielt.

Eine Phishing-E-Mail, die legitime Links enthält, täuscht Benutzer ebenso wie Filter. Je mehr Links die E-Mail enthält, desto weniger wahrscheinlich ist es, dass der Benutzer jeden einzelnen Link prüft. Wenn eine E-Mail außerdem Links zu hilfreichen Ressourcen enthält, wie z. B. eine Support-E-Mail-Adresse, erscheint die E-Mail in den Augen eines Benutzers sogar noch vertrauenswürdiger.

Legitime Links

Markenbilder, Logos und QR-Codes

Markenbilder sind über Google Images leicht zugänglich, und Phisher fügen sie in E-Mails ein, um Nutzer davon zu überzeugen, dass die E-Mail von einer echten Marke stammt. Qualitativ hochwertige betrügerische E-Mails sind von den echten kaum zu unterscheiden, hauptsächlich aufgrund des Aussehens der E-Mail, die eine direkte Folge des Brandings ist. Aber es geht um mehr als das, was mit dem bloßen Auge erkennbar ist.

Eine bekannte Phishing-E-Mail hat eine Signatur, einschließlich des zugrundeliegenden Codes, sowie eine URL. Anstatt für jede Kampagne eine neue E-Mail zu erstellen, verschleiern Phisher die Signatur in der Regel durch zufälligen Code, aber auch durch die Veränderung von Bildern, einschließlich Logos und anderer Branding-Elemente.

Mit nur einer geringfügigen Änderung des Bildes, sei es eine Änderung des Tons, der Farbe oder der Größe, ändert sich auch die Signatur. Für die Benutzer sieht die E-Mail genau gleich aus, aber tatsächlich hat sie sich komplett verändert – genug, um E-Mail-Filter zu täuschen, die den Code statt das Bildrendering analysieren.

QR-Codes sind eine gängige Methode, um die URL-Analyse in Sextorsion-E-Mails zu umgehen. Wie im obigen Beispiel reicht das einfache Einfügen eines neuen QR-Codes in eine bekannte Sextorsion-E-Mail aus, um einen Filter auf der Suche nach einer Signatur oder einer bekannten Phishing-URL zu täuschen. In ähnlicher Weise gehören textbasierte Bilder, bei denen es sich im Wesentlichen um Screenshots von E-Mails und nicht um HTML-Text handelt, zu der Klasse von Bildern, die zur Verschleierung von Signaturen verwendet werden. 

Schützen Sie sich vor Phishing-E-Mails

Training ist entscheidend für den Schutz, aber Anti-Phishing-Technologie ist eindeutig. Im Folgenden sind nur einige Schritte aufgeführt, die Sie unternehmen können, um Phishing zu vermeiden:

  • Mit der Maus über Links fahren:  Fahren Sie immer mit der Maus über die URL in einer E-Mail, um sicherzustellen, dass sie zu einer sicheren Seite führt. Verschleierungstechniken können die tatsächliche URL verdecken. Wenn Sie sich also bei einem Link nicht sicher sind, klicken Sie nicht darauf.
  • Melden Sie sich nicht per E-Mail bei kritischen Anwendungen an: Jede Benachrichtigung, die per E-Mail verschickt wird, ist auch in der Anwendung selbst enthalten. Wenn Sie aufgrund einer E-Mail-Benachrichtigung misstrauisch sind, melden Sie sich in Ihrem Browser in der Anwendung an, um sicherzustellen, dass die Anfrage/Anforderung rechtmäßig ist.
  • Investieren Sie in Schulungen zur E-Mail-Phishing-Sensibilisierung: Die Anwender sollten regelmäßig trainiert werden, um die neuesten Angriffe und Techniken zu erkennen. Im optimalen Fall sollten die Benutzer neu geschult werden, wenn sie auf gefährliche E-Mails klicken, um sicherzustellen, dass das Training frisch im Gedächtnis bleibt.