Für das laufende Jahr 2023 stellen sich beim Thema E-Mail-Sicherheit viele Fragen. Dies gilt verschärft für kleine und mittlere Unternehmen. Mit einem internationalen Team von Threat-Analysten verarbeitet und analysiert VIPRE wöchentlich rund 150 Millionen E-Mails (zirka 7,8 Milliarden pro Jahr). Daraus ergeben sich Milliarden von Datenpunkten. Der analysierte Durchschnitt von E-Mail-Bedrohungen aus der zweiten Jahreshälfte des letzten Jahres spricht eine deutliche Sprache.

E-Mail-Bedrohungen im 3. und 4. Quartal 2022

Der übergreifende Trend ist nicht überraschend: Im Bereich von E-Mail-Bedrohungen gehen die Innovationen meist in Richtung Social Engineering und weniger in Richtung technische Funktionalität. Das ist auch der Grund, warum Cyberkriminelle im letzten Jahr deutlich mehr Einfallsreichtum, Kreativität und Anpassungsfähigkeit an den Tag gelegt haben als bislang – einschließlich der Fähigkeit, die Feinheiten der menschlichen Natur noch besser zu verstehen und auszunutzen.

1. Berufsbezogene Spam-Fallen
   E-Mail-Hacker sind in erster Linie Verkäufer, und die besonders Geschickten interessieren sich dafür, was Sie tun und wie. Im vergangenen Jahr ging es vor allem um die professionelle Arbeitswelt. Kunden erhielten eine Vielzahl von E-Mails, die sie dazu verleiten sollten, sich auf »Stellenausschreibungen« zu bewerben, in denen ihnen mitgeteilt wurde, dass eine Stelle gestrichen worden sei, oder in denen sie um Unterlagen von der »Personalabteilung« gebeten wurden. Was auch immer der Klick-Köder war, er hat funktioniert: Job-Spam hat im vierten Quartal deutlich zugenommen.
2. MFA-Hochstapler
   Diejenigen, die etwas zu schützen haben, werden das vermutlich auch tun. Das macht Multifaktor-Authentifizierung zu einem der bevorzugten Ziele: Hacker nutzen diesen Weg, um direkt in den Posteingang eines Mitarbeitenden zu gelangen. Angreifer geben sich dazu beispielsweise als MFA-Anbieter aus, um zunächst herauszufinden, welches Authentifizierungs-Tool verwendet wird – Google Authenticator, OKTA usw. – und um dann eine gefälschte E-Mail zu versenden, mit der ein Benutzer aufgefordert wird, »den Prozess abzuschließen«. Die Sicherheitsanalysten stellten beim Versand von QR-Codes anstelle von Links einen deutlichen Anstieg fest. Nicht ohne Grund: OR-Codes sind in der Lage, die Erkennungsfunktionen der meisten derzeit auf dem Markt befindlichen Tools zu unterlaufen.
3. Betrug beim Online-Banking
   Betrügerische Mails beim Online-Banking bleiben weiterhin aktuell. Sie machten im dritten und vierten Quartal 2022 28 % aller Scam-E-Mails aus. Von SMS zu »Kontoinformationsabfragen« über Passwortaufforderungen der örtlichen Bank bis hin zu den immer wieder ironischen Sicherheitswarnungen, die (ohne Aufforderung) von »Ihrer Bank« verschickt werden. Auch Banken und Finanzdienstleister selbst waren ein wichtiges Ziel: 48 % aller Malspam-E-Mails im 3. und 4. Quartal richteten sich gegen Unternehmen der Branche.
4. Ihr »Chef« wartet immer noch auf eine Überweisung
   Auf die gleiche Art und Weise hat »Business E-Mail Compromise« in der zweiten Hälfte des letzten Jahres ahnungslose und gerade gewissenhafte Nutzer um ihr Geld gebracht. 35 % der untersuchten Spam-Quellen stammten allein aus BEC-Ursprüngen.
5. Spoofing großer Marken
   Ihr Chef mag Ihren Namen nicht kennen, der lokale Paketdienstleister schon. Einigen Berichten zufolge ist DHL immer noch die am häufigsten gefälschte Domain. Laut der zitierten Untersuchung von VIPRE war die unter den eigenen Kunden am häufigsten gefälschte Marke tatsächlich Microsoft. Gefolgt von Spotify, DocuSign und Adobe. Es versteht sich von selbst, dass wir eher dazu neigen, eine E-Mail von einer uns bekannten Marke zu öffnen, als von einer unbekannten.
6. Domain Warming
   Das Gleiche gilt für Firewalls und Sicherheitsanwendungen. Viele E-Mails von frisch eingerichteten Domains landen nie im Posteingang, weil ihre IPs so neu sind, dass sie als Spam registriert werden. Und viele von ihnen sind es auch. Es gibt allerdings Firmen, die nur dazu da sind, Domains »aufzuwärmen«, indem sie eine saubere, legitime IP finden, unter der sie E-Mails versenden können. Sie fangen mit einigen wenigen an, und wenn sie nicht mehr Gefahr laufen, entdeckt zu werden, überschwemmen sie das Netz. Werden sie erwischt, ziehen sie einfach zur nächsten Domain weiter.
7. Abo-Verlängerung zum Jahresende
   Die Threat Researcher haben auch eine Zunahme bei gefälschten E-Mails von Spotify und Netflix beobachtet, insbesondere gegen Ende des Jahres. Viele Abos enden dann, und versierte Hacker wissen, wann sie am besten zuschlagen. Die E-Mails enthalten einen schädlichen Link oder QR-Code, mit dem sich die Erkennung umgehen lässt. Eine Umfrage von Google/Harris hat ergeben, dass immer noch 65 % aller Benutzer Passwörter immer wieder und 13 % von ihnen das gleiche Passwort für alle Konten verwenden.
8. Links besonders erfolgreich
   Wenn es um die bevorzugte Angriffsmethode geht, haben Links mit großem Abstand die Oberhand gewonnen. Zunächst hielten sich schädliche Links und Anhänge die Waage, aktuell sind sie aber für 75 % der E-Mail-Malware verantwortlich. Anhänge werden weiterhin häufig verwendet, vor allem von traditioneller Malware. Bei den Dokumenten handelt es sich hauptsächlich um Docs und Excel-Dateien – sowohl wegen der versteckten Makros als auch wegen ihres harmlosen Aussehens. QR-Codes werden als Malware-Vehikel aber immer beliebter. Hier prognostizieren die Sicherheitsexperten eine deutliche Zunahme im laufenden Jahr 2023.
9. Fast ALLE Spam-E-Mails kommen aus Nordamerika. Oder doch nicht?
   Wenn man lediglich einen Blick auf die Daten wirft, wirkt es, als kämen 78 % der Spam-E-Mails weltweit aus den USA und Kanada. Diese Nationen haben einen nicht unerheblichen Anteil, aber das Gesamtbild ist ungenau. Denn nicht nur Cyberkriminelle aus den Staaten, sondern auch Malware-Banden aus Russland, China und Nordkorea verwenden Rechenzentren in den USA und Kanada. In der ersten Hälfte des vergangenen Jahres ging die überwiegende Zahl der Angriffe allerdings von Russland aus.
10. HTML-Stuffing und manipulierte Websites
    Dies ist wahrscheinlich einer der aktuell wichtigsten Trends: Anstatt sich die Mühe zu machen, eine neue Domain zu registrieren, diese zu halten und darauf zu warten, dass sie legitimiert wird, umgehen Hacker diese Phase, indem sie bekannte Domains übernehmen und mit schädlichen Inhalten bestücken. Dieser Ansatz funktioniert wie ein trojanisches Pferd. Solche Seiten erreichen nicht nur Millionen von Nutzern, sie vermitteln auch ein trügerisches Gefühl der Sicherheit.
11. Die gefährliche As-a-Service-Wirtschaft
    Eine der wohl am schnellsten wachsenden E-Mail-Bedrohungen des vergangenen Jahres – und eine, die mit Sicherheit zulegen wird – ist der Boom der illegalen As-a-Service-Wirtschaft. Phishing-as-a-Service, SMishing-as-a-Service und Hacking-as-a-Service werden gegen eine geringe monatliche Gebühr angeboten. Der gesamte Prozess funktioniert wie am Fließband, und die Einstiegshürde sinkt. Es ist schwer zu sagen, wie viel vom Gesamtvolumen tatsächlich aus der As-a-Service-Wirtschaft stammt, aber eine aktuelle Studie der APWG konstatiert eine Rekordzahl von Phishing-Angriffen (einschließlich SMishing und Vishing) im dritten Quartal des vergangenen Jahres.

Nicht jeder ist ein Scripting-Genie und fortgeschrittene Angriffe tragen ihren Namen nicht umsonst. Aber jeder, der über ausreichend kriminelle Energie, Kreativität und Motivation verfügt, kann Social Engineering nutzen. Dies ist die Ursache für viele der Entwicklungen, die wir im vergangenen Jahr beobachten konnten und auch für das laufende Jahr erwarten. Die »Underground-as-a-Service« Wirtschaft produziert Kampagnen aller Art am Fließband und hat die Einstiegshürden nochmals erheblich gesenkt. Jetzt bieten Dark-Web-Toolkits Exploits für um die 15 US-Dollar an, inklusive vorgefertigter Phishing-E-Mails, vorgeschriebenem Codes und Zugriff auf gestohlene Zugangsdaten. Das schafft einen völlig neuen Markt für Cyberkriminalität. Mittlerweile werden Phishing-as-a-Service, SMishing-as-a-Service und Hacking-as-a-Service für eine geringe monatliche Gebühr angeboten, ganz zu schweigen von Reconnaissance-as-a-Service, Ransomware-as-a-Service und der allgegenwärtigen Malware-as-a-Service. Man muss wohl kein Hellseher sein, um beim Einfallsvektor E-Mail einen weiteren Anstieg im laufenden Jahr zu prognostizieren.

Steffen Friis, VIPRE Security Group