Technologie
Produkte
Infomaterial
Unternehmen
Deutsch
Technologie
Produkte
Blog
Infomaterial
Unternehmen

Darktrace deckt auf: Impersonation-Angriff auf Gmail-Konto, bei dem die Identität von Führungskräften vorgetäuscht wurde

Mariana Pereira, Director of Email Security Products

E-Mail- und andere Kommunikationsplattformen beruhen auf Vertrauen. Dadurch, dass diese Kommunikationsplattformen während der Pandemie verstärkt genutzt werden, ist ein genaues Hinsehen nötig. E-Mails sind nur deshalb so effizient, weil die Mitarbeiter der Quelle der Nachricht und den Informationen, die Tag für Tag in ihrem Posteingang landen, vertrauen. Das gilt insbesondere dann, wenn E-Mails von einer bekannten Person stammen, z.B. einem Lieferanten, Berater, Partner oder einer Führungskraft, selbst wenn mit manchen von ihnen nicht häufig kommuniziert wird.

Aus diesem Grund sind Impersonation-Angriffe so gefährlich und werden aufgrund der hohen Erfolgsquote immer häufiger von Cyberkriminellen eingesetzt. Vor kurzem beobachtete Darktrace, dass drei zusammenhängende E-Mail-Angriffe auf Führungskräfte bei einem Finanzdienstleister gestartet wurden. Jede E-Mail wurde von einem anderen E-Mail-Konto gesendet und stammte vorgeblich vom CEO, CFO und einem Vorstandsmitglied.

Es ist nicht ungewöhnlich, dass Vorstandsmitglieder E-Mails von einer anderen Adresse als derjenigen des Unternehmens, in dessen Vorstand sie sitzen, verschicken. Ein Investor zum Beispiel könnte sein Firmenkonto oder seine private E-Mail-Adresse verwenden. Viele Unternehmen haben die Biografie ihrer Vorstandsmitglieder und Führungskräfte auf ihrer Website veröffentlicht, auch Angaben zu weiteren Aktivitäten und Mandaten. Das können für potenzielle Angreifer wertvolle Kontextinformationen sein. Impersonation-Angriffe sind daher in hohem Maße auf die Empfänger zugeschnitten und besonders effektiv.

Diese Phishing-Angriffe blieben unter dem Radar

Dieser Angriff wurde in der Gmail-Umgebung eines Antigena Email Kunden erkannt. In nur einer Woche umgingen drei schädliche E-Mails die vorhandenen E-Mail-Sicherheitstools, um von drei Führungskräften sensible Informationen zu erschleichen. Jede E-Mail wurde an einem anderen Tag, zu einer anderen Uhrzeit und von einer anderen Adresse geschickt, aber die ASN-Adresse wies darauf hin, dass alle drei offensichtlich von derselben Quelle stammten. Dies ist ein Hinweis darauf, dass die drei E-Mails von demselben Angreifer gesendet wurden, der versuchte, die Identität wichtiger Benutzer vorzutäuschen, um sich Zugang zu Firmendaten zu verschaffen.

Abbildung 1: Übersicht der drei anormalen E-Mails, die alle in derselben Woche verschickt wurden

Für die letzte E-Mail sehen wir die Bedrohungsanalyse von Antigena Email. Diese E-Mail scheint ein gezielter Spoofing- oder Solicitation-Angriff zu sein, bei dem die Identität eines Vorstandsmitglieds vorgetäuscht wird und der sich an eine Führungskraft in der Finanzabteilung richtet.

Der Anomaliewert von 86% sagt uns, dass Antigena Email diese E-Mail als sehr ungewöhnlich einstuft. Die Tags spiegeln die wichtigsten Erkenntnisse wider: Die E-Mail wies Merkmale von Solicitation (Aufforderung zur Ausführung einer bestimmten Handlung) auf, enthielt interessanterweise aber keine Anhänge oder Links. Das ist eine gängige Methode, die Angreifer nutzen, um herkömmliche Tools zu umgehen, die auf Freigabe- und Sperrlisten, bekannten Angriffen, Regeln und Signaturen für die Erkennung und Abwehr von E-Mail-Angriffen basieren. Da diese Angriffe keine Schad-Links enthalten, werden sie von traditionellen Sicherheitslösungen leicht übersehen.

86%
Fri Jul 03 2020, 17:24:05
From:David Smith <[email protected]>
Recipient:Vanessa Milanez <[email protected]>
[no subject]
Email Tags
Solicitation
No Association
Freemail
New Contact
Actions on Email
Move to Junk

Abbildung 2: E-Mail-Tags, mit denen eine der schädlichen E-Mails versehen wurde, und ergriffene Maßnahmen

KI entdeckt subtile und getarnte Bedrohungen

Der Angriff war gut durchdacht. Die verschiedenen Absender, die Inkonsistenz der E-Mails und der zeitliche Abstand zwischen den Nachrichten weisen darauf hin, dass sich der Angreifer Zeit gelassen hat. Statt es mit der „Spray & Pray“-Methode zu versuchen, bei der Tausende von E-Mails versendet werden, in der Hoffnung, dass wenigstens ein oder zwei Benutzer reagieren, recherchierte der Angreifer gründlich über das Unternehmen und verfasste individuell zugeschnittene, gut geschriebene Nachrichten, um sich Zugang zu verschaffen.

Der Angreifer ging wohl davon aus, dass sich diese langsame und unauffällige Vorgehensweise bezahlt machen würde, und nahm damit gezielt wichtige Personen ins Visier. Er wäre damit vielleicht auch durchgekommen, hätte die selbstlernende E-Mail-Sicherheitstechnologie von Darktrace nicht aktiv jede E-Mail in Echtzeit analysiert.

Diese sorgfältig und mit Hintergrundwissen verfassten E-Mails wären für die Sicherheitsteams mit herkömmlichen Tools kaum als schädlich zu erkennen gewesen. Zum Glück können Unternehmen ihre E-Mail-Systeme mit Cyber-KI schützen und solche getarnten Angriffe abwehren, die sich häufig in der Masse der E-Mails verstecken. Dafür lernt die KI die normalen Kommunikationsmuster und Verhaltensweisen sämtlicher Mitarbeiter im Unternehmen und greift bei Abweichungen ein.

Die Analyse von 13 weiteren E-Mail-Angriffen finden Sie im Email Security Threat Report 2020

Mariana Pereira

Mariana is the Director of Email Security Products at Darktrace, with a primary focus on the capabilities of AI cyber defenses against email-borne attacks. Mariana works closely with the development, analyst, and marketing teams to advise technical and non-technical audiences on how best to augment cyber resilience within the email domain, and how to implement AI technology as a means of defense. She speaks regularly at international events, with a specialism in presenting on sophisticated, AI-powered email attacks. She holds an MBA from the University of Chicago, and speaks several languages including French, Italian, and Portuguese.