Angreifer entwickeln ständig neue Taktiken


KnowBe4 Threat Lab: Reale Geschäftsdomäne für Phishing-Angriff missbraucht
Neue Phishing-Taktik, bei der reale Domänen für einen E-Mail-Angriff gekapert werden


Von Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Das Threat Lab von KnowBe4 hat in einem Blogbeitrag die Ergebnisse ihrer Analyse einer eher ungewöhnlichen Phishing-Kampagne vorgestellt. Deren Besonderheit: sie erfolgte über eine reale – aber kompromittierte – Geschäftsdomäne. Den Angreifern war es gelungen, in die DNS-Verwaltungskonsole einer legitimen Domäne einzudringen. Hier hatten sie dann eine Subdomäne und einen TXT-Eintrag erstellt, was es ihnen ermöglichte, den legitimen Mailgun-E-Mail-Dienst in ihren Angriff einzuspannen. Ausgestattet mit gültigen SPF-, DKIM- und DMARC-Authentifizierungsprotokollen des E-Mail-Dienstes konnten sie die Sicherheitsrichtlinien der E-Mail-Dienste ihrer Opfer problemlos überwinden.

Über die kompromittierte Domain versandten sie E-Mails an Mitarbeiter verschiedener Unternehmen, vornehmlich aber der US-amerikanischen Gesundheits- und Finanzbranche. Ihre Opfer erhielten dabei Links zugespielt, die sie auf eine als Fake-Microsoft-Anmeldeseite getarnte Phishing-Landingpage führten.

Um ihre Erfolgsquote zu erhöhen, nutzen die Angreifer die Schwachstelle CWE-601 (URL Redirection to Untrusted Site) in Verbindung mit

>> einer URL im E-Mail-Text,
>> einem HTML-Anhang,
>> einem PDF-Anhang mit QR-Code,
>> einem E-Mail-Text mit verstecktem JavaScript-Code oder auch
>> einer Fake-Microsoft-Benachrichtigung samt Link,

die ihre Opfer allesamt zur erwähnten Phishing-Landingpage führten. Unternehmen müssen damit rechnen, dass Cyberkriminelle diese Taktik in Zukunft häufiger zur Anwendung bringen werden. Das KnowBe4 Threat Lab-Team rät deshalb:

>>Endpoint Detection and Response (EDR) zu verwenden, um ungewöhnliches Verhalten und bösartige Software rechtzeitig zu erkennen,

>> eigene DNS-Einträge zu überwachen, um unerwartete Änderungen frühzeitig feststellen zu können,

>> den ausgehenden E-Mail-Verkehr auf Anomalien zu überwachen,

>> das Sicherheitsbewusstsein von Mitarbeitern durch effektive Trainings, Schulungen und Tests zu erhöhen und

>> eine Sicherheitskultur zu etablieren, die ein proaktives Sicherheitsverhalten aller Mitarbeiter unterstützt und fördert.

Angreifer entwickeln ständig neue Taktiken, Techniken und Verfahren, um die E-Mail-Sicherheitslösungen ihrer Opfer zu umgehen und erfolgreich in deren Posteingänge vorzustoßen. Unternehmen und Institutionen müssen hier stärker gegensteuern – mit Investitionen in ihr Human Risk Management (HRM). Trainings, Schulungen und Tests allein genügen nicht mehr. Dem wachsenden Risiko erfolgreicher Phishing-Angriffe muss in zunehmendem Maße auch technologisch begegnet werden. Mit modernen Anti-Phishing-Lösungen, die Technologien wie Crowdsourcing und KI nutzen, um selbst neueste Zero Day-Bedrohungen frühzeitig aufzuspüren. Dass Phishing auch in den kommenden Jahren das Sicherheitsrisiko Nr. 1 bleiben wird, davon ist auszugehen. Entsprechend wichtig wird es für Unternehmen sein, sich hier noch besser aufzustellen, schneller als bisher zu reagieren. Das wird jedoch nur möglich sein, wenn es ihnen gelingt, ihr HRM besser in den Griff zu bekommen. Anders werden sich Angreifer, die legitime Domains für ihre Phishing-Attacken nutzen, kaum rechtzeitig aufspüren und abwehren lassen. (KnowBe4: ra)

eingetragen: 18.02.25

KnowBe4: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Cyber-Angriffe

  • Signatur ist nicht gleich Signatur

    Geraten digitale Prozesse immer wieder ins Stocken, weil etwas unterzeichnet werden muss? Dann wird es Zeit, eine moderne Signaturlösung in die eigenen Abläufe zu integrieren. Bereits seit den 1970er Jahren wird immer wieder das papierlose Büro prognostiziert. Lange haben sich diese Prognosen eher als Papiertiger erwiesen, doch heute sind wir näher an der Umsetzung als je zuvor. In Zeiten von Tablets, 5G-Konnektivität und KI-Assistenten sind Ausdrucke für die meisten Büroangestellten eher zu einer Last geworden. Ganz verschwunden sind sie dennoch nicht und dafür sorgt nicht selten das Nadelöhr Unterschrift. Oft brechen an diesem Punkt Prozesse ab, die ansonsten vollständig digital ablaufen.

  • Identity Lifecycle Management

    Wirtschaftliche Veränderungen wirken sich auf nahezu alle Unternehmensbereiche aus. Immer betroffen ist die Belegschaft: Prosperiert ein Unternehmen, stellt es Leute ein, in Zeiten der Rezession versucht es durch Personalentlassungen Kosten einzusparen. In jedem Konjunkturzyklus, sei es Expansion, Rezession oder Erholung, entstehen durch personelle Fluktuation spezifische Herausforderungen für die Verwaltung von Mitarbeiter-, Kunden- und Partner-Identitäten - und somit auch für die IT-Sicherheit. Denn nicht mehr benötigten Nutzerkonten müssen Zugriffsrechte entzogen, neu angelegten solche gewährt werden und das alles in Einklang mit Unternehmens- und Compliance-Richtlinien. Den Lebenszyklus einer digitalen Identität zu verwalten, wird als Identity Lifecycle Management bezeichnet.

  • Datenklau als primäres Ziel

    Das Damoklesschwert Ransomware ist nicht neu, aber es schlägt immer etwas anders aus. Große Akteure wie LockBit und ALPHV/BlackCat sind scheinbar passé, doch in entstehende Lücken drängen neue, noch nicht etablierte Gruppen. Die Ransomware-as-a-Service (RaaS)-Gruppen revidieren zudem ihre interne Arbeitsaufteilung und -organisation. Selbst Staaten wie Russland und Nordkorea entdecken Ransomware als Einnahmequelle.

KI verändert Bedrohungslandschaft Vorgehen der Cyberkriminellen ist simpel

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen