Threat-Spotlight: Phishing im Zusammenhang mit dem Coronavirus
Während große Teile der Welt mit dem neuen Coronavirus, COVID-19 und dem Umgang mit der Situation beschäftigt sind, machen Angreifer sich die flächendeckende Diskussion um das Thema COVID-19 in E-Mails und im Internet zunutze.
Barracuda-Experten haben seit Januar einen stetigen Zuwachs der mit dem Coronavirus COVID-19 in Zusammenhang stehenden Spear-Phishing-Angriffe festgestellt, aber sie haben auch in letzter Zeit einen rasanten Anstieg dieser Art von Angriffen beobachtet – um 667 % seit Ende Februar.
Zwischen dem 1. März und dem 23. März hat Barracuda Sentinel 467.825 Spear-Phishing-E-Mail-Angriffe entdeckt und 9.116 davon standen in Zusammenhang mit COVID-19, was etwa 2 Prozent der Angriffe entspricht. Im Vergleich dazu wurden im Februar insgesamt 1.188 Spear-Phishing-Angriffe im Zusammenhang mit dem Coronavirus entdeckt und im Januar waren es nur 137 Angriffe. Obwohl die Gesamtzahl dieser Angriffe im Vergleich zu anderen Bedrohungen immer noch gering ist, nimmt die Bedrohung rasch zu.
Bedrohung im Fokus
Phishing im Zusammenhang mit dem Coronavirus – Eine Vielzahl von Phishing-Kampagnen macht sich den verstärkten Fokus auf COVID-19 zunutze, um Malware zu verbreiten, Zugangsdaten zu stehlen und Benutzer um ihr Geld zu betrügen. Die Angriffe verwenden gängige Phishing-Taktiken, die regelmäßig zu beobachten sind. Eine wachsende Zahl von Kampagnen nutzt jedoch das Coronavirus als Köder, um abgelenkte Benutzer zu überlisten, die Angst und Unsicherheit ihrer ausgewählten Opfer ausnutzen. Das FBI hat kürzlich eine Warnung zu dieser Art von Angriffen herausgegeben.
Die Details
Barracuda-Experten haben drei Haupttypen von Phishing-Angriffen beobachtet, die COVID-19-Themen nutzen – Betrug, Brand Impersonation und Kompromittierung von Geschäfts-E-Mails. Von den Angriffen im Zusammenhang mit dem Coronavirus, die bis zum 23. März von Barracuda Sentinel entdeckt wurden, waren 54 % Betrug, 34 % Brand Impersonation-Angriffe, 11 % Erpressung und 1 % Kompromittierung von Geschäfts-E-Mails.
Phishing-Angriffe mit COVID-19 als Aufhänger werden schnell ausgeklügelter. In den vergangenen Tagen haben Researcher von Barracuda eine beträchtliche Anzahl von Erpressungsangriffen und einige wenige Fälle von Conversation-Hijacking beobachtet. Im Vergleich dazu haben wir bis vor wenigen Tagen vor allem Betrugsangriffe gesehen. Mit Stand vom 17. März handelte es sich bei den von Barracuda Sentinel entdeckten Phishing-Angriffen im Zusammenhang mit dem Coronavirus zu 77 % um Betrug, zu 22 % um Brand Impersonation und zu 1 % um Kompromittierung von Geschäfts-E-Mails. Wir gehen davon aus, dass sich dieser Trend zu immer ausgeklügelteren Angriffen fortsetzen wird.
Die Ziele der Angriffe reichten von der Verbreitung von Malware über den Diebstahl von Zugangsdaten bis hin zu finanzieller Bereicherung. Ein neuer Typ von Ransomware, den unsere Systeme erkannt haben, hat sich nach COVID-19 benannt und sich selbst als CoronaVirus bezeichnet.
Geschickte Angreifer sind gut darin, Emotionen zu nutzen, um Reaktionen auf ihre Phishing-Versuche hervorzurufen, wie die laufenden Erpressung-Kampagnen, die auf Verlegenheit und Angst beruhen, um Menschen um ihr Geld zu betrügen. Angesichts der Angst, Unsicherheit und sogar des Mitgefühls, die sich aus der Coronavirus COVID-19-Situation ergeben, haben die Angreifer einige wichtige Emotionen gefunden, die sie sich zunutze machen.
Wir sahen zum Beispiel einen Erpressungsangriff, bei dem behauptet wurde, Zugang zu persönlichen Informationen über das Opfer zu haben, seinen Aufenthaltsort zu kennen und dem Opfer und seiner Familie gedroht wurde, sie mit dem Coronavirus zu infizieren, sofern kein Lösegeld gezahlt würde Barracuda Sentinel erkannte diesen speziellen Angriff 1.008 Mal innerhalb von zwei Tagen.
Betrug
Viele der Betrugsversuche, die Barracuda Sentinel entdeckt hat, zielten darauf ab, Coronavirus-Heilmittel oder Gesichtsmasken zu verkaufen oder Anfragen zu Investitionen in Scheinfirmen zu stellen, die angeblich Impfstoffe entwickeln.
Betrugsversuchen in Form von Spendenanfragen für vermeintliche Wohltätigkeitsorganisationen sind eine weitere, von unseren Experten beobachtete, beliebte Phishing-Methode, die sich das Coronavirus zunutze macht.
So wird zum Beispiel in einem solchen Betrug, der von den Barracuda-Systemen erkannt wurde, behauptet, von der „World Health Community“ zu stammen (die nicht existiert, aber womöglich versucht, eine Ähnlichkeit mit der Weltgesundheitsorganisation auszunutzen), in der um Spenden an eine Bitcoin-Wallet gebeten wird, die in der E-Mail angegeben ist.
Malware
Eine Vielzahl gängiger Malware wird durch Pishing im Zusammenhang mit dem Coronavirus verbreitet, insbesondere modulare Varianten, die es Angreifern ermöglichen, verschiedene Nutzlast-Module über dieselbe Malware zu verbreiten. Die erste Malware, die sich das Coronavirus zunutze machte, war Emotet, ein beliebter Banking-Trojaner, der im vergangenen Jahr modular aufgebaut wurde. IBM X-Force entdeckte, dass Emotet in japanischen E-Mails verbreitet wurde, in denen behauptet wurde, sie stammten von einem Anbieter für Behindertenhilfe. Die Phishing-E-Mails enthielten ein Dokument, in dem Emotet heruntergeladen und installiert wurde, wenn Makros aktiviert waren, was heutzutage eine übliche Praxis bei der Verbreitung von Malware ist.
LokiBot ist eine weitere modulare Malware, die häufig darauf abzielt, Zugangsdaten und Daten zu stehlen. Sie wurde in mindestens zwei verschiedenen Phishing-Kampagnen im Zusammenhang mit dem Coronavirus verbreitet, die Comodo verfolgt hat. Eine Kampagne nutzte als Voraussetzung angehängte Rechnungen, die LokiBot enthielten, fügte aber eine Entschuldigung für die durch das Coronavirus verursachte Verzögerung beim Versenden der Rechnung hinzu. In der anderen Kampagne wurde behauptet, es handele sich um ein Nachrichten-Update und „Eine Sache, die Sie tun müssen“ (eine Anspielung auf den im Spam üblichen Aufhänger „ein seltsamer Trick“). Sie enthielt einen Link zu der Malware. Die Systeme von Barracuda haben mehrere Beispiele für E-Mails mit einer Rechnung als Voraussetzung gesehen, wie das Folgende, das über 3.700 Mal erkannt wurde.
Weitere nennenswerte Informationsdiebe, die sich COVID-19 zunutze machen, sind AzorUlt, das von einer Phishing-Website verbreitet wird, die vorgibt, eine Karte der Ausbrüche zu sein und TrickBot, der in italienischen Phishing-E-Mails zirkuliert.
Diebstahl von Anmeldedaten
Neben dem weit verbreiteten Sammeln von Zugangsdaten durch Malware, die Informationen stiehlt, nutzen Phishing-Angriffe mit Links zu gefälschten Anmeldeseiten auch das Coronavirus COVID-19 als Köder. In einer solchen Variante, die Barracuda-Systeme erkannt haben, wird behauptet von der CDC zu stammen und versucht, Microsoft Exchange-Zugangsdaten zu stehlen, wenn auf den bösartigen Link geklickt wird. Ein Beispiel für die E-Mail und die Phishing-Seite wird unten gezeigt.
Eine Vielzahl von E-Mail-Anmeldeseiten wird häufig von Angreifern gespooft, die auf das E-Mail-Portal abzielen, an das die Benutzer gewöhnt sind, wenn diese Mailserver-Informationen von Angreifern durchsucht werden können. Andere Anmeldeseiten sind allgemeiner oder bieten mehrere Anbieter-Optionen, mit Spoofing auf der Anmeldeseite jedes Anbieters. Angreifer wechseln einfach in die vorhandene E-Mail-Voraussetzung für das Phishing von Zugangsdaten, um von Coronavirus zu profitieren.
So schützen Sie sich
Während Phishing-E-Mails, die das Coronavirus nutzen, neu sind, gelten immer noch dieselben Vorsichtsmaßnahmen für die E-Mail-Sicherheit.
- Seien Sie vorsichtig bei allen E-Mails, die versuchen, Benutzer dazu zu bringen, Anhänge zu öffnen oder auf Links zu klicken. Anti-Malware- und Anti-Phishing-Lösungen können besonders hilfreich sein, um zu verhindern, dass bösartige E-Mails und Payloads die beabsichtigten Empfänger erreichen, aber selbst mit einem solchen Schutz ist stets Vorsicht geboten, da keine Lösung alles abfängt.
- Achten Sie auf jegliche Kommunikation, die angeblich von Quellen stammt, von denen Sie normalerweise keine E-Mails erhalten würden. Dabei handelt es sich wahrscheinlich um Phishing-Versuche. Während der Empfang von E-Mails mit Coronavirus-Bezug von legitimen Verteilerlisten, denen Sie angehören, immer üblicher wird, sollten E-Mails von Organisationen, von denen Sie nicht regelmäßig Nachrichten erhalten, genau unter die Lupe genommen werden. Zum Beispiel wird die CDC keine E-Mails an jemanden verschicken, der nicht bereits regelmäßig E-Mails von der Organisation erhält.
- Seien Sie vorsichtig bei E-Mails von Organisationen, mit denen Sie regelmäßig kommunizieren. Marken-Identitätsmissbrauch ist bei E-Mail-Angriffen im Zusammenhang mit dem Coronavirus recht häufig anzutreffen. Seien Sie also vorsichtig, wenn Sie E-Mails von Organisationen öffnen, von denen Sie Nachrichten erwarten. Dies gilt insbesondere für Beschäftigte im Gesundheitswesen. Diese sind im Visier von Cyberangriffen, die versuchen, aus dem Druck Kapital zu schlagen, der durch den Umgang mit einem Strom von Coronavirus-Fällen entsteht.
- Finden Sie glaubwürdige Wohltätigkeitsorganisationen und spenden Sie direkt. Eine übliche Taktik für Betrugsmaschen im Zusammenhang mit dem Coronavirus ist die Bitte um Spenden, um von der Pandemie betroffene Menschen zu unterstützen. Um nicht Opfer eines dieser Angriffe zu werden, reagieren Sie nicht auf E-Mail-Spendenanfragen. Finden Sie stattdessen glaubwürdige Wohltätigkeitsorganisationen, die bei den Coronavirus-Bemühungen helfen, und spenden Sie direkt über diese, um sicherzustellen, dass die Gelder dorthin gelangen, wo sie Gutes bewirken können – und nicht in die Hände von Betrügern. Es ist außerdem höchst unwahrscheinlich, dass legitime Wohltätigkeitsorganisationen Spenden über Bitcoin-Wallets entgegennehmen, weshalb es ein Warnsignal sein sollte, wenn Sie dies in einer E-Mail sehen.
Schützen Sie Ihre extern arbeitenden Mitarbeiter vor neu aufkommenden COVID-19-E-Mail-Bedrohungen
Dieses Threat Spotlight wurde von Fleming Shi mit Forschungsunterstützung von Senior Researcher Jonathan Tanner und dem Barracuda Sentinel-Team verfasst.
