Barracuda full logo

Threat Spotlight: „Conversation Hijacking“

Themen:
16. Jan.. 2020
|
Don MacLennan

Hüten Sie sich vor Cyberkriminellen, die Konversations-Hijacking nutzen, um Geld und sensible persönliche Daten zu stehlen.

In den letzten Monaten haben die Wissenschaftler bei Barracuda einen starken Anstieg von Domain-Imitationsangriffen festgestellt, die für Konversations-Hijacking verwendet werden. Eine Analyse von etwa 500.000 monatlichen E-Mail-Angriffen zeigt eine 400-prozentige Zunahme von Domain-Imitationsangriffen, die für Conversation Hijacking genutzt werden. Im Juli 2019 gab es etwa 500 dieser Art von Domain-Imitationsangriffen in den analysierten E-Mails, und diese Zahl stieg im November auf mehr als 2.000.

In recent months, Barracuda researchers have seen a 400% increase in #DomainImpersonation attacks used to facilitate #ConversationHijacking
Click To Tweet





Während das Ausmaß des Conversation Hijacking bei Domain-Impersonation-Angriffen im Vergleich zu anderen Arten von Phishing-Angriffen äußerst gering ist, sind diese ausgeklügelten Angriffe stark personalisiert und damit effektiv, schwer zu erkennen und kostspielig.

Hier ein genauerer Blick auf die wachsende Bedrohung durch Conversation Hijacking bei Domain-Imitationsangriffen sowie Tipps zum Schutz Ihres Unternehmens.

Bedrohung im Fokus


Konversations-Hijacking  Cyberkriminelle mischen sich in bestehende Geschäftsgespräche ein oder initiieren neue Konversationen auf der Grundlage von Informationen, die sie von kompromittierten E-Mail-Konten oder anderen Quellen gesammelt haben. Conversation Hijacking ist in der Regel, aber nicht immer, Teil eines Angriffs auf die Kontoübernahme. Angreifer verbringen Zeit damit, E-Mails zu lesen und das kompromittierte Konto zu überwachen, um die Geschäftsabläufe zu verstehen und sich über laufende Geschäfte, Zahlungsvorgänge und andere Details zu informieren.

Cyberkriminelle nutzen die kompromittierten Konten nur selten für das Hijacking von Unterhaltungen. Stattdessen nutzen Angreifer die Nachahmung von E-Mail-Domains. Sie nutzen Informationen aus den kompromittierten Konten, einschließlich interner und externer Gespräche zwischen Mitarbeitern, Partnern und Kunden, um überzeugende Nachrichten zu verfassen, sie von nachgeahmten Domains zu senden und die Opfer dazu zu verleiten, Geld zu überweisen oder Zahlungsinformationen zu aktualisieren.

To execute #ConversationHijacking attacks, cybercriminals use domain impersonation, including #typosquatting techniques
Click To Tweet

 

Die Details


Cyberkriminelle planen Gesprächs-Hijacking sorgfältig, bevor sie Angriffe starten. Sie nutzen Kontoübernahmen oder erforschen das Zielunternehmen, um Geschäftstransaktionen zu verstehen und Angriffe vorzubereiten.

Um Conversation-Hijacking-Angriffe auszuführen, verwenden Cyberkriminelle Domain-Impersonation, einschließlich Tippfehler-Squatting-Techniken, wie das Ersetzen eines Buchstabens in einer legitimen URL durch einen ähnlichen Buchstaben oder das Hinzufügen eines unauffälligen Buchstabens zur legitimen URL. Zur Vorbereitung des Angriffs registrieren oder kaufen die Cyberkriminellen die falsche Domain.

Die Domain-Imitation ist ein Angriff mit weitreichenden Auswirkungen. Es kann leicht passieren, dass man die feinen Unterschiede zwischen der legitimen URL und der gefälschten URL übersieht.

Ein Angreifer, der versucht, sich als barracudanetworks.com auszugeben, würde zum Beispiel eine sehr ähnliche URL verwenden:

  • barracudanetwork.com 
  • barracadanetworks.com 
  • Barracudaneteworks.com
  • Barrracudanetetworks.com

Manchmal ändert ein Angreifer die Top-Level-Domain (TLD), indem er .net oder auf .co Statt .com, um die Opfer zu täuschen:

  • barracudaNetwork.net
  • barracudanetworks.co

Hier ein Beispiel für Cyberkriminelle, die sich als interne Domäne ausgeben:



In anderen Fällen geben sich Angreifer als externe Domäne eines Kunden, Partners oder Lieferanten aus:



Cyberkriminelle investieren viel Zeit, Mühe und Geld, um eine gefälschte Domain zu registrieren und eine Konversation zu kapern. Die Angreifer verwenden jedoch nicht immer die kompromittierten E-Mail-Konten, um die Imitationsangriffe auszuführen, da der Besitzer des kompromittierten Kontos die betrügerische Kommunikation eher bemerkt. Außerdem bleiben Konten in der Regel nicht über einen langen Zeitraum hinweg kompromittiert, aber Conversation Hijacking kann wochenlange, ununterbrochene Kommunikation zwischen dem Angreifer und dem Opfer beinhalten. Infolgedessen verlagern Angreifer bei Verwendung von Domain-Imitation die Korrespondenz in ein System außerhalb der eigentlichen Organisation. Dies ermöglicht die Fortsetzung der Angriffe, auch wenn die zuvor übernommenen Konten neu gesichert und wiederhergestellt wurden.

Letztlich zielen diese Angriffe darauf ab, die Opfer dazu zu bringen, Geld zu überweisen, irgendeine Zahlung zu leisten oder Zahlungsdaten zu ändern. Domain-Impersonation und Conversation Hijacking erfordern vom Angreifer eine Investition von Zeit und Geld. Aus Sicht des Angreifers sind die Kosten es jedoch wert, da diese personalisierten Angriffe oft erfolgreicher darin sind, Opfer auszutricksen als andere, weniger ausgeklügelte Phishing-Angriffe.

Schutz vor Conversation Hijacking


Nutzen Sie eine Vielzahl von Cybersecurity-Technologien und -Techniken, um Ihr Unternehmen vor Konversationsmissbrauch zu schützen:

Schulen Sie Ihre Mitarbeiter darin, Angriffe zu erkennen und zu melden
Klären Sie die Benutzer im Rahmen von Sicherheitsschulungen über E-Mail-Angriffe auf, einschließlich Conversation Hijacking und Domain-Impersonation. Stellen Sie sicher, dass die Mitarbeiter Angriffe erkennen können, ihre betrügerische Natur verstehen und wissen, wie sie sie melden können. Verwenden Sie Phishing-Simulationen, um Benutzer im Erkennen von Cyberangriffen zu schulen, die Wirksamkeit Ihrer Schulungen zu testen und die Benutzer zu identifizieren, die am anfälligsten für Angriffe sind.

Implementieren Sie einen Schutz vor der Kontoübernahme
Viele Conversation-Hijacking-Angriffe beginnen mit der Übernahme eines Kontos. Stellen Sie daher sicher, dass Betrüger Ihre Organisation nicht für den Start dieser Angriffe ausnutzen. Verwenden Sie die Multifaktor-Authentifizierung, um eine zusätzliche Sicherheitsebene über Benutzername und Passwort hinaus zu schaffen. Stellen Sie Technologie bereit, die erkennt, wenn Konten kompromittiert wurden, und derartige Situationen in Echtzeit behebt, indem sie Benutzer warnt und von kompromittierten Konten gesendete E-Mails entfernt.

Überwachen Sie Posteingangsregeln, Kontoanmeldungen und Domainregistrierungen
Nutzen Sie die Technologie, um verdächtige Aktivitäten zu erkennen, z. B. Anmeldungen von ungewöhnlichen Orten und IP-Adressen, ein mögliches Anzeichen für ein kompromittiertes Konto. Überwachen Sie E-Mail-Konten auch auf böswillige Posteingangsregeln, da diese häufig für die Übernahme von Konten verwendet werden. Kriminelle loggen sich in das kompromittierte Konto ein, erstellen Weiterleitungsregeln und verbergen oder löschen alle E-Mails, die sie von diesem Konto aus versenden, um ihre Spuren zu verwischen. Behalten Sie neue Domainregistrierungen im Auge, die möglicherweise durch Tippfehler-Squatting-Techniken zur Nachahmung verwendet werden könnten. Viele Unternehmen entscheiden sich für den Kauf von Domains, die eng mit ihren eigenen verwandt sind, um eine mögliche betrügerische Nutzung durch Cyberkriminelle zu vermeiden.

Künstliche Intelligenz nutzen
Betrüger passen E-Mail-Taktiken an, um Gateways und Spam-Filter zu umgehen, daher ist es wichtig, eine Lösung zu haben, die künstliche Intelligenz nutzt, um Angriffe zu erkennen und zu blockieren, einschließlich Kontoübernahme und Domain-Imitation. Stellen Sie speziell entwickelte Technologien bereit, die sich nicht ausschließlich auf die Suche nach bösartigen Links oder Anhängen verlassen. Mithilfe von maschinellem Lernen zur Analyse normaler Kommunikationsmuster innerhalb Ihrer Organisation können Anomalien erkannt werden, die möglicherweise auf einen Angriff hindeuten.

Stärken Sie Ihre internen
Richtlinien, indem Sie Richtlinien und Verfahren implementieren, die vorsehen, dass alle E-Mail-Anfragen bezüglich Überweisungen und Zahlungsänderungen vorschriftsmäßig bestätigt werden. So unterstützen Sie Ihre Mitarbeitenden dabei, kostspielige Fehler zu vermeiden. Fordern Sie persönliche oder telefonische Bestätigungen und/oder Genehmigungen von mehreren Personen für alle Finanztransaktionen.

KI-basierter Schutz vor Phishing und Account Takeover

Don MacLennan

Als Senior Vice President, Engineering & Product, Email Protection bei Barracuda leitet Don MacLennan eine Gruppe von engagierten Fachleuten, die Produkte und Cloud-Services für den globalen Kundenstamm von Barracuda und für strategische Partner entwickeln. Sein Team umfasst die Bereiche User Experience Design, Produktmanagement und Engineering. Dons Erfahrung im Bereich Cybersecurity erstreckt sich auf mehrere Anbieter von Cybersicherheitslösungen für Unternehmen und Verbraucher, und er ist ein häufiger Blogger zu Technologietrends und Führungsqualitäten.

Verwandte Beiträge:
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 Die SOC-Fallakten: Die Akira-Ransomware nutzt das Remote-Management-Tool des Opfers gegen sich selbst
Die SOC-Fallakten: Die Akira-Ransomware nutzt das Remote-Management-Tool des Opfers gegen sich selbst
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Vorteile für einen frühen Anwender
BarracudaONE: Vorteile für einen frühen Anwender
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.