foto freepik
Insgesamt ist es keine Überraschung, dass Cyberkriminelle immer besser darin werden, E-Mail-basierte Angriffe zu lancieren und erfolgreich große Mengen von Daten abzuziehen. Bei einer Untersuchung der Daten für das dritte Quartal 2023 von der VIPRE Security Group sind einige Trends besonders auffällig [1]. Nach der Analyse von annähernd zwei Milliarden E-Mails kommt der Bericht zu dem Ergebnis, dass Cyberkriminelle ihre Methoden erneut an die sich verändernden Gewohnheiten von Verbrauchern angepasst haben. Und nicht nur das. Angreifer machen sich neuartige Technologien zunutze, um ihre Opfer noch besser zu täuschen und sich selbst dem Zugriff zu entziehen. PDFs erfreuen sich wachsender Beliebtheit, um Malspam zu verbreiten. Aber bösartige Links verbergen sich zunehmend auch in Google Drive und anderen Cloud-Speichern. Gleichzeitig setzen Cyberkriminelle auf Low-Tech-Optionen wie Callback-Phishing und die benutzerfreundliche Redline-Malware. ChatGPT verbessert parallel die Fähigkeiten von Phishern und Linkedin Slink hat sich als unvorhergesehen bösartiger Workaround erwiesen.
Aus Sicht der Verteidiger allerdings erweisen sich manche Links erst dann als bösartig, wenn sie in der Sandbox landen und genauer untersucht werden. Außerdem leistet die Heuristik Schwerstarbeit, wenn es darum geht, Spam-E-Mails in Masse zu erkennen. Kombinierte heuristische Ansätze (sogenannte Yara Rules) identifizieren dabei etwa zehnmal mehr Spam-Instanzen als ein vergleichbarer signaturbasierter Erkennungsansatz, der Zeichenfolgen oder Phrasen bekannter Spam-E-Mails verwendet.
Was die Methoden der Cyberkriminellen anbelangt, so versuchen sie ganz offensichtlich mit weniger Aufwand mehr zu erreichen. Die aktuellen Q3-Zahlen legen die Vermutung nahe, dass das funktioniert und das auch ohne tiefgehende technische Raffinesse. Clevere Callback-Phishing- und Business-E-Mail-Comprise-Methoden richten sich schließlich direkt gegen den Nutzer und brauchen keine aufwendigen Täuschungsmanöver, um fortschrittliche Cybersicherheits-Tools zu umgehen. Nicht zuletzt der jährlich erscheinende Verizon Data Breach Investigations Report erinnert uns zuverlässig daran, dass menschliche Fehlerquoten immer noch in einem Bereich von 74 % liegen.
10 Prozent schädliche E-Mails
Von den rund 2 Milliarden analysierten E-Mails haben sich über 200 Millionen als bösartig erwiesen. Ein Befund, der sich im Wesentlichen mit den Ergebnissen aus den ersten beiden Quartalen dieses Jahres deckt. Bei der Untersuchung dieser E-Mails wurden 110 Millionen aufgrund des Inhalts und 118 Millionen aufgrund von Links als schädlich identifiziert – eine ziemlich ausgeglichene Verteilung. Gefolgt von E-Mails mit bösartigen Attachments mit 5,44 Millionen und 150.000 E-Mails mit bislang noch nicht beobachteten Verhaltensweisen. Diese letzte Zahl wirkt auf den ersten Blick niedrig. Man sollte aber nicht unterschätzen, dass ohne ein entsprechendes Sandboxing für Anhänge, diese E-Mails ungefiltert in einem Unternehmen ankommen, ohne Kontext und ohne eine sofort verfügbare Methode, sie abzuwehren. Das Einfallstor zu schließen ist meist schneller, einfacher und kostengünstiger als die Büchse der Pandora zu öffnen.
Auch scheinbar harmlose Links entpuppen sich nicht selten als schädlich. Im Fall der vorliegenden Untersuchung wurden 11,2 Millionen Klicks durch Link Isolation geschützt, annähernd 70.000 wurden bereits zum Zeitpunkt des Klicks als schädlich identifiziert. Im Umkehrschluss bedeutet das allerdings, dass die restliche Zahl unerkannt blieb. Nur in der Sandbox offenbart der Link nach dem Anklicken seine wahre Natur. Man kann mit wenig Fantasie ermessen, dass sich ohne die Kombination dieser beiden Methoden eine große Zahl von Nutzern hätte täuschen lassen. Zusätzliche Gewissheit versprechen Funktionen, die ein tiefes, cloudbasiertes Scannen erlauben, um URLs weiter zu analysieren und sogar Screenshots und Vorschauansichten von bösartigen URLs zu erstellen.
Spam und kein Ende….
Mithilfe von Heuristiken konnten die Yara-Regeln von AV Labs über eine Million Spam-Vorfälle in zwei unterschiedlichen Teilmengen identifizieren. Traditionelle heuristische Regeln haben dabei 810.000, die neuen heuristischen Regeln zusätzlich 72.000 Spam-E-Mails abgefangen. Im Vergleich dazu wurden mit traditionellen signaturbasierten Ansätzen nur etwas mehr als 150.000 Mails gefiltert. Angesichts der inzwischen ausufernden Phishing-as-a-Service- und neuer Malware-Modelle, die in Rekordzahlen auftauchen, sind signaturbasierte Erkennungstools längst ins Hintertreffen geraten. Verglichen mit den beiden vorausgegangenen Quartalen sind die Zahlen bei Spam-E-Mails zwar insgesamt rückläufig. Man kann aber sicherlich davon ausgehen, dass sich das in der Vorweihnachtssaison wieder ändert. Und schließlich wurden auch in Q3 93 % aller für diesen Bericht erfassten E-Mails als bösartig eingestuft. Nicht schlecht für die Nebensaison.
Eine besondere Gattung beim Phishing ist das sogenannte Call-Back-Phishing, das ebenfalls ohne hohe technische Einstiegshürden auskommt. Hier senden Cyberkriminelle eine E-Mail an einen ahnungslosen Mitarbeiter und geben sich als Dienstleistungs- oder Produktanbieter aus. Sie fordern den Kunden unter Angabe einer Telefonnummer auf, dringend »zurückzurufen«. Sobald sich der Benutzer meldet, werden ihm entweder wichtige Informationen gleich am Telefon entlockt, oder er erhält einen Anmelde-Link, angeblich um die Informationen zu verifizieren. Bösartige Dateien fehlen und manchmal sogar die Links. Das erleichtert es Cyberkriminellen, unter dem Radar von Sicherheitslösungen zu agieren.
Inhaltlich handelte es sich bei den Spam-E-Mails in diesem Quartal hauptsächlich um Betrugsversuche, von denen die Hälfte als Business Email Compromise (BEC) eingestuft wurde. Laut dem Internet Crime Report 2022 (IC3) des FBI übertrafen die bereinigten Gesamtverluste durch BEC (2,7 Milliarden Dollar) den durch Ransomware (34,3 Millionen Dollar) verursachten Schaden um das 78-fache.
Kein Wunder also, dass Cyberkriminelle hier weiterhin Ressourcen bereitstellen. Speziell entwickelte Phishing-E-Mails dienen dabei als Köder und werden mit Hilfe von KI immer raffinierter. Laut den Ergebnissen des Berichts setzen Cyberkriminelle zunehmend KI-Tools ein, damit ihre E-Mails glaubwürdiger wirken. Noch bis vor nicht allzu langer Zeit ließen sich viele, wenn nicht sogar die überwiegende Zahl gefälschter E-Mails anhand von schlechter Grammatik, von Rechtschreibfehlern oder irritierenden Formatierungen enttarnen. Generative KI-Tools wie ChatGPT und andere sorgen jetzt dafür, dass Cyberkriminelle mit einem Mausklick wortgewandte, korrekt formatierte E-Mails verfassen können, die sich nur noch minimal von legitimer Kommunikation unterscheiden.
Auch die Zahl von manipulierten PDF-Anhängen ist im dritten Quartal stark gestiegen: Die Anzahl der in Spam-E-Mails angehängten PDF-Dateien hat sich seit dem ersten Quartal dieses Jahres mehr als verfünffacht, und das Muster ist unverkennbar. Einmal geöffnet, enthält die PDF-Datei beispielsweise einen Link zu einer manipulierten Website oder setzt selbst eine Malware frei. Was die technische Seite betrifft, so verfügen die meisten Geräte und Betriebssysteme über einen integrierten PDF-Reader. Diese universelle Kompatibilität über alle Plattformen hinweg macht sie zu einer idealen Methode für breit gestreute Angriffe. In der Regel werden PDFs auf eine der drei folgenden Arten verwendet:
- als Transportvehikel für QR-Codes
- als Methode, um bösartige Links weitgehend unbemerkt zu übermitteln und
- schließlich als Anhang beim Call-Back-Phishing.
Gerade QR-Codes sind auf dem Vormarsch und wurden im vorliegenden Q3-Bericht zum ersten Mal in die Liste aufgenommen. Auf QR-Code-basierte Phishing-E-Mails entfielen immerhin stolze zehn Prozent der gesamten Zahl an Phishing-E-Mails. Es ist offensichtlich, dass Cyberkriminelle im Zuge des technologischen Wandels dieses Potenzial nicht ungenutzt lassen.
Linkedin Slink als Workaround und Malware
Um ihren Nutzern die Möglichkeit zu geben, eigene Anzeigen oder Websites besser zu bewerben, hat Linkedin den Linkedin Slink (»Smart Link«) eingeführt.
Diese »saubere« Linkedin-URL (formatiert als »https://www.linkedin.com/slink?code=« plus eine alphanumerische Zeichenfolge) ermöglicht es, den Datenverkehr direkt auf externe Websites umzuleiten und gleichzeitig Werbekampagnen einfacher nachzuverfolgen. Diese Art von Links ist durchaus nützlich, schlüpft aber durch das Netz vieler Sicherheitsprotokolle und ist daher ein favorisiertes Tool bei Social-Engineering-basierten Angriffen.
Bei Malspam bevorzugt die Mehrheit der Cyberkriminellen nach wie vor eine linkbasierte Verbreitung (58 %) gegenüber Anhängen (42 %). Darüber hinaus gibt es zwei Hauptmethoden der Wahl, nämlich eine Verbreitung über Google Drive oder als Malspam-Anhang. Google Drive ist ein bequemer, zentraler Ort zum Verstecken von Malware und ein großartiges Einfallstor, um ahnungslose Nutzer zu erreichen. Cyberkriminelle können Dokumente mit bösartigen Links nur so vollstopfen und per Mausklick Malware herunterladen.
Die Top-Malware-Familie im dritten Quartal ist Redline (gegenüber Qakbot/Qbot in Q2). Redline ist auf dem Höhepunkt der Pandemie entstanden und besonders benutzerfreundlich. Gleichzeitig bietet die Malware umfangreiche Funktionen, die für Windows-Systeme zu einer ernsthaften Bedrohung werden können. Redline ist in der Lage, einen kompromittierten Computer vollständig zu kontrollieren und sensible Daten wie Bankdaten, Passwörter und sogar Informationen über Kryptowährungen abzuziehen. Redline verbreitet sich über harmlose Phishing-E-Mails und in verschiedenen Formaten wie PDF, ausführbare Dateien und Dokumente der Office Suite, um nur drei zu nennen.
Fazit
E-Mail bleibt auch weiterhin die erste Verteidigungslinie bei vielen aktuellen Bedrohungen – und manchmal auch die letzte. Der Q3 2023 Email Threat Trends Report von VIPRE bietet praxisnahe Einblicke in die E-Mail-Sicherheitslandschaft, um auf neuartige Trends schnell reagieren zu können. Gerade weil Cyberkriminelle sich sofort an veränderte technische Voraussetzungen und Nutzungsgewohnheiten anpassen.
Jörn Koch, Senior Channel Development Manager, VIPRE Security Group
[1] https://www.vipre.com/email-threats-latest-trends-q3-2023