Cyberkriminelle missbrauchen laut Forschern von Kaseya INKY legitime Rechnungen und Streitfallbenachrichtigungen beliebter Dienste, um Betrugs-E-Mails zu versenden, die Sicherheitsfilter umgehen. Die Angreifer haben diese Technik genutzt, um sich als PayPal, Apple, DocuSign, HelloSign und andere auszugeben.
„Diese Plattformen ermöglichen es Benutzern oft, bei der Erstellung einer Rechnung oder Benachrichtigung einen „Verkäufernamen“ einzugeben oder eine benutzerdefinierte Notiz hinzuzufügen“, schreiben die Forscher. „Angreifer missbrauchen diese Funktion, indem sie betrügerische Anweisungen und eine Telefonnummer in diese benutzergesteuerten Felder einfügen. Anschließend senden sie die resultierende Rechnung oder Streitfallmitteilung an eine von ihnen kontrollierte E-Mail-Adresse, um sicherzustellen, dass der bösartige Inhalt in eine legitime, vom Anbieter generierte Nachricht eingebettet ist.“
Da die E-Mails selbst von legitimen Absendern stammen, landen sie mit größerer Wahrscheinlichkeit im Posteingang der Benutzer. Menschen fallen auch eher auf den Betrug herein, wenn sie sehen, dass die Nachrichten von vertrauenswürdigen Anbietern stammen.
„Da die Nachricht direkt vom Anbieter, beispielsweise PayPal, stammt und kryptografisch signiert ist, durchläuft sie problemlos die DKIM- und DMARC-Prüfungen (DomainKeys Identified Mail und Domain-based Message Authentication, Reporting & Conformance)“, so INKY.
„Nachdem der Angreifer die legitime E-Mail erhalten hat, leitet er sie einfach an seine beabsichtigten Ziele weiter. Das Ergebnis ist eine Nachricht, die authentisch aussieht, die E-Mail-Authentifizierung passiert und ohne oder mit nur wenigen Warnungen im Posteingang landet.“
Diese Technik ist als „DKIM-Replay-Angriff“ bekannt und ermöglicht es den E-Mails, Sicherheitskontrollen zu umgehen.
„Ein DKIM-Replay-Angriff findet statt, wenn ein Angreifer eine legitime, mit DKIM signierte E-Mail abfängt und dieselbe Nachricht dann an weitere Empfänger ‚wiederholt‘“, erklären die Forscher. „Da die ursprünglichen Kopfzeilen und der Nachrichtentext unverändert bleiben, wird die DKIM-Signatur weiterhin als gültig anerkannt. Infolgedessen durchläuft die E-Mail die DMARC-Authentifizierung, obwohl sie von einem Angreifer weitergeleitet und nicht vom ursprünglichen Absender zugestellt wurde. Um eine Umgehung von DKIM zu vermeiden, nehmen Angreifer nach der Signierung bewusst keine Änderungen an der Nachricht vor.“
Schulungen zum Sicherheitsbewusstsein mit realistischen Phishing-Simulationen kann den Mitarbeitern helfen, wachsam zu sein, auch wenn sie beschäftigt sind. Wenn die Mitarbeiter wissen, dass sie simulierte Phishing-E-Mails erhalten werden, werden sie die echten eher erkennen.
Kaseya hat die story.