Darktrace deckt auf: Spoofing mit COVID-19-Hilfen

Im März 2020 beobachteten wir eine Zunahme von Fearware. Bei dieser Art von E-Mail-Angriffen wird mit Angst und Dringlichkeit gespielt, um die Empfänger zu verleiten, auf einen schädlichen Anhang oder Link zu klicken. In den darauffolgenden Wochen wurden über 130.000 E-Mail-Domains neu registriert und für COVID-19-Phishing missbraucht. Fünf Monate später gehört dies mittlerweile zum Standardrepertoire von Cyberkriminellen, die sich die Pandemie weiter für ihre Angriffe zunutze machen.
In den letzten Wochen hat die Darktrace KI beobachtet, dass Cyberkriminelle jetzt nicht mehr vorgeben, wichtige Gesundheitsinformationen oder standortsbezogene Infektionsdaten anzubieten, sondern die Identität von Soforthilfeprogrammen vortäuschen, um den ohnehin schon angeschlagenen Kleinunternehmen zu schaden.
Abbildung 1: Interaktiver Snapshot der Benutzeroberfläche von Antigena Email
Ein Kleinunternehmen, das Antigena Email bereits implementiert hatte, wurde vor kurzem mittels einer Serie von 10 Spoofing-E-Mails angegriffen, die vorgeblich von der SBA stammten und COVID-19-Soforthilfen betrafen.
Hier ist zu sehen, dass die Absender-Domain als sba.gov angezeigt wird, so wie sie auch im E-Mail-Client des Empfängers erscheinen würde. Möglich ist das vermutlich aufgrund bekannter und typischer Schwächen im Simple Mail Transfer Protocol (SMTP). In Wirklichkeit stammte die E-Mail von einem Mailserver in Japan und der Link leitet die Nutzer zu einer kompromittierten brasilianischen Domain weiter, die mit der SBA nichts zu tun hat.

Abbildung 2: Die gefälschte Anmeldeseite
Der Screenshot oben zeigt die gefälschte Anmeldeseite, auf die der Nutzer weitergeleitet wird, nachdem er den Link angeklickt hat. Die Seite verwendet das Logo der SBA und ist genauso formatiert wie die legitimen Seiten der echten SBA-Website, etwa die unten abgebildete Seite zum Zurücksetzen des Passworts.

Abbildung 3: Screenshot der legitimen SBA-Website
Dieser Darktrace Kunde war ein Kleinunternehmen und wollte möglicherweise Soforthilfen beantragen. In diesem Fall hätte er leicht Opfer dieses heimtückischen Angriffs werden können, der sich gezielt gegen ohnehin schon angeschlagene Unternehmen richtete. Dieser Angriff zeigt, wie kreativ und skrupellos Cyberkriminelle sind und wie schnell sie ihre Social-Engineering-Methoden an das aktuelle Geschehen anpassen.
Antigena Email ist hinter den Gateway-Tools angesiedelt. Das heißt, diese E-Mail und jede andere Bedrohung, die Antigena Email erkannt und unschädlich gemacht hat, wurde von den integrierten Sicherheits- und Gateway-Tools des E-Mail-Providers übersehen. Die Darktrace KI erkannte den ungewöhnlichen Link, weil sie die normalen Kommunikationsmuster in dem Unternehmen kennt, und stufte die E-Mail als Spoofing-Versuch ein. Sie verhinderte, dass die Nachricht in den Posteingang gelangte, und bewahrte das angeschlagene Unternehmen vor Schaden.