Email-Sicherheit

Remote Bilder bringen E-Mail-Filter an ihre Grenzen

Sébastien Goutal

19. Januar 2021

3 min

Phishing-E-Mails, die sich als bekannte Marken wie Microsoft oder PayPal ausgeben, benötigen visuelle Inhalte, um erfolgreich zu sein. Von Markenlogos bis hin zu bunten Abbildungen bieten Bilder dem Empfänger einen visuellen Hinweis darauf, dass die E-Mail harmlos und echt ist.

Aber Bilder verleihen bösartigen E-Mails mithilfe ihres visuellen Elements nicht nur den Anschein von Echtheit, sie machen auch E-Mail-Filtern das Leben schwer. Bild-Spam war immer schon eine recht beliebte Methode, um die textuelle Inhaltsanalyse einer E-Mail zu umgehen, da es keinen relevanten Inhalt gibt, der aus den Textteilen der E-Mail extrahiert werden kann: Der textuelle Inhalt befindet sich ja im Bild. Unten sehen Sie ein Beispiel für eine SunTrust-Phishing-E-Mail: Die E-Mail enthält keinen Textinhalt, sondern ein einziges großes eingebettetes Bild, das legitimen HTML-Inhalt nachahmt.

Sun Trust

Während die Erkennung von identischen Bildern relativ einfach ist – dank Signaturen, die auf kryptographischen Hash-Algorithmen wie MD5 basieren –, erfordert die Erkennung von ähnlichen Bildern komplexe und kostspielige Algorithmen. Um die Erkennung zu vermeiden, manipulieren Phisher die Bilder ein wenig, indem sie den Komprimierungsgrad, die Farbgebung oder die Geometrie anpassen und E-Mail-Filter so umgehen. Ihr Ziel ist es, jedes Bild einzigartig zu machen, um signaturbasierte Technologien zu umgehen. Unten sehen Sie ein Beispiel für ein Alibaba-Logo, das verändert wurde, aber für den Endbenutzer weiterhin identifizierbar ist.

Alibaba

Da diese Technik bei Phishern immer beliebter wird, haben Anbieter von E-Mail-Sicherheitslösungen ihre Fähigkeiten verbessert, Inhalte aus Bildern zu extrahieren und zu analysieren. Als Folge davon haben Phisher einen neuen Weg gefunden, sie zu täuschen.

Remote Bilder

Remote Bilder sind als neueste Technik zur Umgehung von Filtern aufgetaucht, mit denen Hacker versuchen, die Schwäche der E-Mail-Sicherheitstechnologie auszunutzen. Im Gegensatz zu eingebetteten Bildern, die von E-Mail-Filtern in Echtzeit analysiert werden können, werden remote Bilder im Web gehostet und müssen daher erst abgerufen werden, bevor sie analysiert werden können. Im Jahr 2020 stieg der Einsatz von remoten bildbasierten Bedrohungen stark an. Allein im November 2020 analysierte Vade Secure 26,2 Millionen remote Bilder und blockierte 262 Millionen E-Mails, die bösartige remote Bilder enthielten. 

Um ein remotes Bild zu analysieren, muss es über ein Netzwerk abgerufen werden. Cyberkriminelle nutzen diese Schwäche und verwenden zusätzliche Techniken, um den Prozess für Sicherheitsscanner zu erschweren, wie z. B.: 

  • Mehrere Umleitungen
  • Verschleierungstechniken
  • Missbrauch von Domains mit guter Reputation

Durch die Verwendung mehrerer Umleitungen wird die Zeit zur Erkennung eines Phishing-Angriffs verlängert. Auch die Verwendung von JavaScript ist weit verbreitet, sodass es für Sicherheitsanbieter notwendig ist, moderne Web-Crawler einzusetzen, die teurer und schwieriger zu skalieren sind. 

Verschleierungstechniken können auch verwendet werden, um sicherzustellen, dass das Bild vom beabsichtigten Opfer und nicht von einem Sicherheitsanbieter abgerufen wird. So liefert beispielsweise eine Phishing-Kampagne, die auf Kunden einer kanadischen Bank abzielt, den bösartigen Inhalt nur an Web-Verbindungen, die aus Kanada stammen. 

Außerdem macht das Hosten von remoten Bildern auf Websites mit hoher Reputation die auf Domain-Reputation basierende Erkennung unwirksam. Von Wikipedia bis Github werden Websites mit hohen Domain- und Trust-Scores immer wieder von Cyberkriminellen missbraucht. 

Als Ergebnis bleiben viele dieser E-Mails unerkannt. Für Benutzer bedeutet dies oft, dass sie eine Phishing-E-Mail erhalten und melden, diese jedoch später, manchmal mehrfach, doch wieder in ihrem Posteingang finden. 

Blockieren remoter bildbasierter Bedrohungen

Der Prozess des Blockierens von bildbasierten Bedrohungen erfordert Computer Vision, ein wissenschaftliches Gebiet, das sich damit beschäftigt, wie Computer ein hochgradiges Verständnis von visuellen Inhalten erlangen können. Vade Secure hat Anfang 2020 eine erste Computer Vision-Technologie auf Grundlage von Deep-Learning-Modellen (VGG-16, ResNet) implementiert, um Markenlogos in E-Mails und Websites zu erkennen. 

Die Deep Learning-Modelle wurden mit einer Kombination aus gesammelten Bildern und künstlich erzeugten Bildern trainiert. Die Verwendung von künstlich erzeugten Bildern ist entscheidend, um sicherzustellen, dass unsere Technologie gegen die verschiedenen von Cyberkriminellen verwendeten Techniken und auch gegen unerwartete visuelle Konfigurationen (anderer Hintergrund, andere Größe und Position des Logos) resistent ist. Nachfolgend finden Sie ein Beispiel für ein solches Bild.


Seitdem nutzen wir OCR (Optical Character Recognition) in Kombination mit NLP-Modellen (Natural Language Processing), um bösartige Textinhalte in Bildern zu erkennen. Unten finden Sie einige Beispiele für bösartige remote Bilder, die von Vade Secure blockiert wurden.

Remote images

Es ist wichtig zu wissen, dass wir mehrere NLP-Modelle trainiert haben, um Bedrohungen in verschiedenen Sprachen zu erkennen, z. B. in Englisch, Deutsch oder Italienisch. Immer mehr Cyberbedrohungen werden lokalisiert, daher ist es notwendig, verschiedene NLP-Modelle zu entwickeln, um eine maximale Filtergenauigkeit zu erreichen. 

Vorbereitung auf neue Phishing-Techniken 

Mit der zunehmenden Bedeutung von KI und Computer Vision für die E-Mail-Sicherheit werden Cyberkriminelle zu Innovationen gezwungen, und genau das tun sie auch. Für jede Erkennungsmethode, die entwickelt wird, entwickeln Cyberkriminelle neue Phishing-Techniken, um die Erkennung zu umgehen. 

Bildmanipulation und remote Bilder werden sowohl an Bedeutung als auch an Komplexität zunehmen, da die meisten Lösungen nur begrenzt in der Lage sind, Bilder zu analysieren. Cyberkriminelle sind dafür bekannt, ihre Ziele zu untersuchen – eine schnelle Suche nach dem MX-Eintrag eines Unternehmens verrät, welche E-Mail-Sicherheitslösung die E-Mails des Unternehmens schützt. Mit diesen Informationen lernen sie, die Schutzwälle zu durchbrechen. 

Vade Secure for Microsoft 365 ist über eine API in Microsoft integriert und bei einer MX-Suche unsichtbar. Das verschafft uns einen Vorteil gegenüber Cyberkriminellen, die auf der Suche nach Sicherheitsschwachstellen sind. Zusammen mit unseren kontinuierlichen Forschungen und Investitionen in Computer Vision-Technologie ermöglicht uns dies, bösartige E-Mails zu identifizieren, die andere Lösungen übersehen würden, und uns auf neue, aufkommende Bildtechniken vorzubereiten.