logo SOS Ransomware
Kontakt 24/7

Autopsie eines Phishing-Angriffs, Explosion der Versuche im Jahr 2024

Phishing-Angriffe sind heute eine der größten Bedrohungen für die Cybersicherheit. Die ständige Weiterentwicklung der von Cyberkriminellen verwendeten Techniken macht es immer schwieriger, diese Angriffe zu erkennen. Diejüngste Analyse des MDDR-Teams von Varonis verdeutlicht dies: Jedes Detail, vom Design der Nachrichten bis hin zur Verschleierung von Spuren, macht die Situation immer komplexer.

Erste Erkennung des Angriffs

Die Erkennung dieses Phishing-Angriffs begann mit einer Anomalie, die im E-Mail-Konto eines leitenden Angestellten eines in Großbritannien ansässigen Versicherungsunternehmens gefunden wurde. Eine ungewöhnliche Löschregel mit dem Titel „a“ war erstellt worden, um alle E-Mails, die ein bestimmtes Schlüsselwort enthielten, das mit der Domain des Absenders verknüpft war, dauerhaft zu löschen. Diese Regel war von einer IP-Adresse in den USA aus erstellt worden, einem Standort, der nicht zum normalen Geschäftsbetrieb des Unternehmens passte. Dieses erste Anzeichen erregte sofort den Verdacht der Sicherheitsteams.

Die Analyse ergab, dass das in der Löschregel anvisierte Schlüsselwort mit der Domäne des Phishing-Absenders übereinstimmte. Diese Einstellung ermöglichte es dem Angreifer, automatisch alle E-Mails zu löschen, die von oder an diese Domain gesendet wurden, und erschwerte so die Erkennung des Eindringlings. Die Tatsache, dass diese Aktion von einer mit Microsoft verbundenen IP-Adresse aus durchgeführt wurde, erschwerte die Ermittlungen zusätzlich und machte es schwieriger, den Täter schnell zu identifizieren. Diese Art von Technik unterstreicht, wie ausgeklügelte Methoden Angreifer verwenden, um ihre Spuren zu verwischen und gleichzeitig innerhalb der Grenzen der offensichtlichen Netzwerkaktivität zu bleiben.

Die ersten Schritte eines Phishing-Angriffs

Ein erfolgreicher Phishing-Angriff beruht auf sorgfältigem Social Engineering und komplexen technischen Mechanismen. In diesem Fall schickten die Cyberkriminellen eine betrügerische E-Mail mit dem Titel „ML Payment #05323“ an 26 Mitarbeiter eines Versicherungsunternehmens. Die E-Mail schien vom CEO eines großen internationalen Schifffahrtsunternehmens zu stammen, dessenE-Mail-Konto kompromittiert worden war. Dieser glaubwürdige Identitätsdiebstahl erhöhte die Wahrscheinlichkeit, dass die Empfänger die Nachricht ahnungslos öffneten.

Mail initial de l'attaque de phishing
Ursprüngliche Phishing-Mail mit Link zu einer PDF-Datei – Quelle Varonis.

Anstatt eine herkömmliche PDF-Datei anzuhängen, fügten die Angreifer einen Link zu einem auf einem AWS-Server gehosteten Dokument ein, der den Anschein einer offiziellen Microsoft OneDrive-Mail erweckte . Sobald der Link angeklickt wurde, leitete er zu einer gefälschten Microsoft-Authentifizierungsseite mit dem Titel „login.siffinance[.]com“ weiter. Opfer, die auf dieser Seite ihre Anmeldedaten eingaben, ermöglichten den Angreifern sofortigen Zugriff auf ihre Konten. Eine unauffällige Weiterleitung auf die offizielle Microsoft-Website verstärkte noch die Illusion, dass nichts Ungewöhnliches passiert war.

Die Kriminellen gingen sogar so weit, dass sie die legitime Plattform Render nutzten, um einige technische Elemente ihres Angriffs zu hosten, wodurch sie die Standardsicherheitssysteme umgehen konnten. Eine solche Nutzung vertrauenswürdiger Dienste ist ein Schlüsselmerkmal moderner Phishing-Angriffe, die darauf ausgelegt sind, dem Radar automatisierter Erkennungslösungen zu entgehen.

Shéma de l’attaque de phishing
Schema eines Phishing-Angriffs – Quelle: Varonis.

Fortgeschrittene Techniken, die von den Angreifern verwendet werden

Die Cyberkriminellen hinter diesem Angriff haben großen Einfallsreichtum bewiesen und verschiedene ausgeklügelte Techniken eingesetzt, um ihre Erfolgschancen zu maximieren und gleichzeitig unentdeckt zu bleiben.

Hier ein Überblick über die angewandten Methoden:

  • Vertrauenswürdige Absenderadresse: Die betrügerische E-Mail schien von einer vertrauten und glaubwürdigen Adresse zu stammen, was den Verdacht der Empfänger minderte.
  • Nutzung legitimer Plattformen: Das bösartige PDF wurde auf AWS gehostet, und Teile des Angriffs nutzten Render, vertrauenswürdige Dienste, mit denen man E-Mail-Sicherheitsfiltern entgehen kann.
  • Russische Puppen-Technik: Eine komplexe Kette von Weiterleitungen, bei der jeder Link zu einer scheinbar legitimen Seite führte, erschwerte die Erkennung durch Sicherheitssysteme.

Die Russische Puppen-Technik: eine gefürchtete Methode.

Im Zusammenhang mit Phishing besteht diese Methode darin, dass mehrere Umleitungsschritte über legitime Plattformen aneinandergereiht werden, bevor die endgültige Phishing-Seite erreicht wird. Sie funktioniert wie folgt:

  1. Erste Schicht: Die Phishing-E-Mail enthält einen Link, der legitim erscheint und zu einer anerkannten Plattform wie Google Drive oder Dropbox führt. Diese Plattformen werden häufig genutzt, um ein Dokument oder eine Datei zu hosten.
  2. Zweite Schicht: Dieses Dokument oder diese Datei enthält einen weiteren Link oder eine Anweisung, um auf eine andere Website oder einen anderen Dienst zuzugreifen. Beispielsweise kann das Dokument den Nutzer auffordern, auf einen Link zu klicken, um weitere Details einzusehen.
  3. Dritte Ebene und darüber hinaus: Jede weitere Umleitung führt zu einer anderen legitimen Website oder einem anderen legitimen Dienst und verstärkt den Eindruck der Sicherheit für den Nutzer.
  4. Abschließende Phishing-Seite: Nach mehreren Schritten gelangt der Nutzer auf eine Phishing-Seite, die so gestaltet ist, dass sie wie eine vertrauenswürdige Login-Schnittstelle oder ein vertrauenswürdiger Dienst aussieht.
Phising, technique des poupées russes

Diese Methode ist besonders effektiv, um :

  • Vermeidung der Entdeckung: Sicherheitsdienste haben Schwierigkeiten, Phishing zu erkennen, wenn jeder Schritt über anerkannte Plattformen läuft.
  • Vertrauen gewinnen: Mehrere Umleitungen verstärken den Eindruck der Legitimität für den Nutzer.
  • Die Analyse erschweren: Sicherheitsteams müssen jeden Umleitungspunkt untersuchen, um den gesamten Angriff zu verstehen.

Diese Strategie zeugt vom Einfallsreichtum der Cyberkriminellen, die Sicherheitssysteme zu umgehen und die Benutzer zu manipulieren, bis es zu spät ist. Phishing ist oft der erste Schritt eines Ransomware-Angriffs: Nachdem die Anmeldedaten gestohlen wurden, können die Angreifer das Unternehmensnetzwerk infiltrieren, Malware einsetzen und den Zugriff auf kritische Daten blockieren. In einer von Opinion Way für WatchGuard im Jahr 2024 durchgeführten Umfrage unter 300 französischen KMU gaben 49% an, mindestens einmal Opfer eines Cyberangriffs geworden zu sein. Phishing und die Korruption von Geschäfts-E-Mails sind weiterhin einer der Hauptvektoren für Cyberangriffe.

PME touchées par cyberattaques en 2024
Prozentualer Anteil der französischen KMU, die 2024 von einem Cyberangriff betroffen sind – Quelle: WatchGuard.

Phishing-Angriffe nehmen im Jahr 2024 zu.

Phishing-Angriffe erleben 2024 einen alarmierenden Aufschwung. Laut einem Bericht des E-Mail-Sicherheitsspezialisten Egress gaben 76 % der befragten Unternehmen an, in diesem Jahr mindestens einen Phishing-Angriff erlitten zu haben. Dieser sprunghafte Anstieg wird auf die ständige Weiterentwicklung der von Cyberkriminellen verwendeten Techniken zurückgeführt, insbesondere auf die immer ausgefeilteren Social-Engineering-Techniken. Mittlerweile stammen 44% der Phishing-E-Mails von kompromittierten Konten, was den Nachrichten einen legitimen Anschein verleiht, der nur schwer zu erkennen ist.

Gleichzeitig bevorzugen Cyberkriminelle Hyperlinks anstelle von Anhängen. Diese Links werden in den Inhalt der E-Mails integriert und sind für Schutzsysteme viel schwieriger zu erkennen . Meist leiten sie auf betrügerische Websites weiter, die sorgfältig gestaltet sind, um bekannte Plattformen zu imitieren und die Opfer zu täuschen. Diese Strategie ermöglicht es den Angreifern, den Sicherheitsvorkehrungen zu entgehen und ihre Kampagnen effektiver zu gestalten.

Graphique de l’évolution des emails de phishing
Graphische Darstellung der Entwicklung von Phishing-E-Mails – Quelle: Egress.

Die oben erwähnte Fallstudie von Varonis ist ein gutes Beispiel dafür, wie effektiv die Kombination aus kompromittierten Konten und bösartigen Hyperlinks ist. Diese Kombination ermöglicht es Cyberkriminellen, besonders überzeugende Phishing-Kampagnen durchzuführen, die selbst für fortschrittliche Sicherheitssysteme schwer zu erkennen sind.

Warnsignale und zu ergreifende Maßnahmen

Um einen Phishing-Angriff zu erkennen, gibt es folgende Hinweise, denen wir unsere Aufmerksamkeit schenken sollten:

  • Unerwartete E-Mails mit unbekannten Anhängen oder Links.
  • Absender, die vorgeben, vertrauenswürdige Personen oder Organisationen zu sein.
  • Vorhandensein von unbekannten Regeln zum Löschen von E-Mails in der Mailbox.
  • Verdächtige Weiterleitungen nach einem Anmeldeversuch.

Unternehmen sollten schnell handeln, wenn ein Angriff vermutet wird: kompromittierte Konten deaktivieren, Passwörter zurücksetzen und Zugriffsprotokolle auf ungewöhnliche Aktivitäten hin untersuchen.

Wesentliche vorbeugende Maßnahmen

  • Schulen Sie Ihre Mitarbeiter regelmäßig in der Erkennung von Bedrohungen.
  • Führen Sie erweiterte Sicherheitsfilter ein.
  • Führen Sie regelmäßige Sicherheitsprüfungen durch.
  • Multi-Faktor-Authentifizierung für alle sensiblen Konten einsetzen.

Unternehmen sollten ihre Cybersicherheitsstrategien regelmäßig überprüfen. Phishing-Angriffe können simuliert werden, um die Reaktionsfähigkeit der Teams zu testen und die Erkennungs- und Reaktionsprozesse zu verbessern.

Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2025 SOS RANSOMWARE & RECOVEO TECHNOLOGY GROUP | Made by Tell It