Technologie
Produkte
Branchen
Aktuelles
Infomaterial
Unternehmen
Deutsch
Technologie
Produkte
Branchen
Aktuelles
Blog
Infomaterial
Unternehmen

Darktrace deckt auf: Spoofing mit COVID-19-Hilfen

Dan Fein, Director of Email Security Products | Donnerstag, 13. August 2020

Im März 2020 beobachteten wir eine Zunahme von Fearware. Bei dieser Art von E-Mail-Angriffen wird mit Angst und Dringlichkeit gespielt, um die Empfänger zu verleiten, auf einen schädlichen Anhang oder Link zu klicken. In den darauffolgenden Wochen wurden über 130.000 E-Mail-Domains neu registriert und für COVID-19-Phishing missbraucht. Fünf Monate später gehört dies mittlerweile zum Standardrepertoire von Cyberkriminellen, die sich die Pandemie weiter für ihre Angriffe zunutze machen.

In den letzten Wochen hat die Darktrace KI beobachtet, dass Cyberkriminelle jetzt nicht mehr vorgeben, wichtige Gesundheitsinformationen oder standortsbezogene Infektionsdaten anzubieten, sondern die Identität von Soforthilfeprogrammen vortäuschen, um den ohnehin schon angeschlagenen Kleinunternehmen zu schaden.

100%
Mon Jul 27 2020, 16:04:11
Recipient:Anna Gumble <[email protected]>
SBA Application – Review and Proceed
Email Tags
Spam
Spoofing
Suspicious Link
Actions on Email
Double Lock Link
Hold Message
Move to Junk

Abbildung 1: Interaktiver Snapshot der Benutzeroberfläche von Antigena Email

Ein Kleinunternehmen, das Antigena Email bereits implementiert hatte, wurde vor kurzem mittels einer Serie von 10 Spoofing-E-Mails angegriffen, die vorgeblich von der SBA stammten und COVID-19-Soforthilfen betrafen.

Hier ist zu sehen, dass die Absender-Domain als sba.gov angezeigt wird, so wie sie auch im E-Mail-Client des Empfängers erscheinen würde. Möglich ist das vermutlich aufgrund bekannter und typischer Schwächen im Simple Mail Transfer Protocol (SMTP). In Wirklichkeit stammte die E-Mail von einem Mailserver in Japan und der Link leitet die Nutzer zu einer kompromittierten brasilianischen Domain weiter, die mit der SBA nichts zu tun hat.

Abbildung 2: Die gefälschte Anmeldeseite

Der Screenshot oben zeigt die gefälschte Anmeldeseite, auf die der Nutzer weitergeleitet wird, nachdem er den Link angeklickt hat. Die Seite verwendet das Logo der SBA und ist genauso formatiert wie die legitimen Seiten der echten SBA-Website, etwa die unten abgebildete Seite zum Zurücksetzen des Passworts.

Abbildung 3: Screenshot der legitimen SBA-Website

Dieser Darktrace Kunde war ein Kleinunternehmen und wollte möglicherweise Soforthilfen beantragen. In diesem Fall hätte er leicht Opfer dieses heimtückischen Angriffs werden können, der sich gezielt gegen ohnehin schon angeschlagene Unternehmen richtete. Dieser Angriff zeigt, wie kreativ und skrupellos Cyberkriminelle sind und wie schnell sie ihre Social-Engineering-Methoden an das aktuelle Geschehen anpassen.

Antigena Email ist hinter den Gateway-Tools angesiedelt. Das heißt, diese E-Mail und jede andere Bedrohung, die Antigena Email erkannt und unschädlich gemacht hat, wurde von den integrierten Sicherheits- und Gateway-Tools des E-Mail-Providers übersehen. Die Darktrace KI erkannte den ungewöhnlichen Link, weil sie die normalen Kommunikationsmuster in dem Unternehmen kennt, und stufte die E-Mail als Spoofing-Versuch ein. Sie verhinderte, dass die Nachricht in den Posteingang gelangte, und bewahrte das angeschlagene Unternehmen vor Schaden.

Die Analyse von 13 weiteren E-Mail-Angriffen finden Sie im Email Security Threat Report 2020

Dan Fein

Based in New York, Dan is the Director of Product. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s world-leading Cyber AI Platform and products. Dan has a particular focus on Antigena Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.