Geographie des Phishings

Threat Spotlight: Die Geographie und Netzwerkeigenschaften von Phishing-Angriffen

Druckfreundlich, PDF & E-Mail

Das Land, aus dem E-Mails stammen, und die Anzahl der Länder, durch die sie auf dem Weg zu ihrem endgültigen Ziel geleitet werden, sind wichtige Warnhinweise auf Phishing-Angriffe.

Barracuda hat sich kürzlich mit Forschern der Columbia University zusammengetan, um die Geographie von Phishing-E-Mails und deren Weiterleitung zu analysieren. Bei der Untersuchung der Geolokalisierung und Netzwerkinfrastruktur von mehr als 2 Milliarden E-Mails, darunter 218.000 Phishing-E-Mails, die im Januar 2020 versendet wurden, haben wir festgestellt, dass Phishing-E-Mails mit größerer Wahrscheinlichkeit aus bestimmten Ländern in Teilen Osteuropas, Mittelamerikas, des Nahen Ostens und Afrikas stammen. Zudem werden sie mit größerer Wahrscheinlichkeit durch eine höhere Anzahl von Gebieten geleitet als E-Mails, die harmlos sind.

Geographie von Phishing-Angriffen

Weiterhin haben wir festgestellt, dass eine überraschend große Anzahl von Angriffen von großen, legitimen Cloud-Anbietern ausgeht. Wir vermuten, dass dies darauf zurückzuführen ist, dass Angreifer in der Lage sind, legitime Server und/oder E-Mail-Konten zu kompromittieren, die von diesen Anbietern gehostet werden.

Im Folgenden werden die Auswirkungen von Geographie und Netzwerkinfrastrukturen auf Phishing-Angriffe sowie Lösungen zur Erkennung, Abwehr und Behebung dieser Angriffe näher betrachtet.

Bedrohung im Fokus

Geolokalisierung und Netzwerkcharakteristika von Phishing-Angriffen – Bei Phishing-Angriffen verwenden Angreifer Social-Engineering-Taktiken, um Opfer zur Angabe persönlicher Daten wie Benutzernamen, Kennwörter, Kreditkartennummern oder Bankdaten zu verleiten. Die Phishing-Erkennung konzentriert sich weitgehend auf den Inhalt von Phishing-E-Mails und das Verhalten der Angreifer. Da die Phishing-Angriffe jedoch immer komplexer werden, müssen diejenigen, die sich gegen diese Angriffe schützen wollen, immer ausgefeiltere Methoden anwenden.

Unser Forschungsteam untersuchte die Merkmale von Phishing-E-Mails auf Netzwerkebene, da diese beständiger und für Angreifer schwieriger zu manipulieren sind. Im Zuge dessen extrahierten wir IP-Adressen aus den „Empfangen“-Feldern der E-Mail-Header, die Informationen über die Server aufzeichnen, die bei der Übertragung durchlaufen werden. Die Untersuchung dieser Daten lieferte Einblicke in den Weg, den eine Phishing-E-Mail zwischen ihrem Absender und den Empfängern zurücklegt.

Die Details

Unsere Analyse hat drei wesentliche Erkenntnisse zutage gefördert:

1. Phishing-E-Mails zeichnen sich mit größerer Wahrscheinlichkeit durch Routen aus, die mehrere Länder passieren.

Über 80% der gutartigen E-Mails werden durch zwei oder weniger Länder geleitet. Bei Phishing-E-Mails trifft dies auf lediglich etwas über 60% zu. So könnte ein gutes Merkmal für einen Phishing-Erkennungs-Klassifikator darin bestehen, die Anzahl der verschiedenen Länder zu betrachten, die eine E-Mail durchläuft.

Geographie von Phishing-Angriffen

2. Länder, die eine höhere Wahrscheinlichkeit für Phishing aufweisen, befinden sich in Teilen Osteuropas, Mittelamerikas, des Nahen Ostens und Afrikas.

Wir haben die Phishing-Wahrscheinlichkeit für das Land des Absenders ermittelt, indem wir das Land des Absenders mit den Geolokalisierungsdaten identifiziert und die Phishing-Wahrscheinlichkeit für jedes Land wie folgt berechnet haben:

Phishing-Geographie

Einige Länder, von denen ein hohes Phishing-Aufkommen ausgeht, haben eine extrem niedrige Phishing-Wahrscheinlichkeit. So wurden z. B. 129.369 Phishing-E-Mails im Datensatz aus den USA versendet. Die USA haben jedoch nur eine Phishing-Wahrscheinlichkeit von 0,02%. Im Allgemeinen hatten die meisten Länder eine Phishing-Wahrscheinlichkeit von 10% oder weniger.

Absender, die ein höheres Volumen an Phishing-E-Mails (mehr als 1.000 E-Mails im Datensatz) mit einer höheren Phishing-Wahrscheinlichkeit produzieren, stammen unter anderem aus folgenden Ländern oder Gebieten (in absteigender Reihenfolge):  

  • Litauen
  • Lettland
  • Serbien
  • Ukraine
  • Russland
  • Bahamas
  • Puerto Rico
  • Kolumbien
  • Iran
  • Palästina
  • Kasachstan

Es ist sicher nicht zielführend, den gesamten E-Mail-Verkehr aus Ländern mit hoher Phishing-Wahrscheinlichkeit zu blockieren. Es kann jedoch durchaus sinnvoll sein, E-Mails aus diesen Ländern für eine weitere Analyse zu markieren.

3. Viele der Netzwerke, von denen aus die Angreifer ihre Angriffe senden, sind überraschend große, legitime Cloud-Anbieter.

Die Netzwerke mit der höchsten Anzahl an Phishing-Angriffen gehören überraschenderweise großen Cloud-Anbietern. Dies ist zu erwarten, da sie auch das höchste Gesamtvolumen an versendeten E-Mails haben. Bei solchen Netzwerken ist die Wahrscheinlichkeit, dass eine bestimmte E-Mail eine Phishing-E-Mail ist, sehr gering (Abbildung 3). Es ist wahrscheinlich, dass die meisten Angriffe, die von diesen Netzwerken ausgehen, von kompromittierten E-Mail-Konten oder -Servern stammen, für welche die Angreifer die Zugangsdaten erlangen konnten.

Rang des Phishing-E-Mail-Volumens Netzwerk-Eigentümer Wahrscheinlichkeit einer Phishing-E-Mail
1 Amazon 0,000224
2 Microsoft 0,000429
3 Amazon 0,000124
4 Twitter 0,00212

Abbildung 3: Top 4 Netzwerke nach Sendevolumen und deren Eigentümerinformationen, Klassifizierung und Wahrscheinlichkeit, dass eine bestimmte E-Mail aus dem Netzwerk eine Phishing-E-Mail ist.

Wir haben auch festgestellt, dass einige der Phishing-Angreifer mit dem höchsten Volumen (nach Netzwerk), die auch eine hohe Phishing-Wahrscheinlichkeit haben, immer noch aus Netzwerken stammen, die zu Cloud-Service-Anbietern gehören (Rackspace, Salesforce). Diese Netzwerke generieren insgesamt weitaus weniger E-Mail-Traffic als die beiden führenden Netzwerke, versenden aber dennoch eine erhebliche Menge an Phishing-E-Mails. Daher haben sie eine viel höhere Wahrscheinlichkeit, dass von ihnen stammende E-Mails bösartig sind (Abbildung 4).

Rang des Phishing-E-Mail-Volumens Netzwerk-Eigentümer Wahrscheinlichkeit einer Phishing-E-Mail
9 LayerHost 0,277
13 UnrealServers 0,334
17 REG.RU 0,836
18 Cherry Servers 0,760
20 Rackspace 0,328

Abbildung 4: Einige Beispiele für Netzwerke mit hohem Volumen an Phishing-E-Mails und hoher Phishing-Wahrscheinlichkeit sowie deren Eigentümerinformationen, Klassifizierung und Wahrscheinlichkeit, dass eine bestimmte E-Mail aus dem Netzwerk eine Phishing-E-Mail ist.

Schutz vor Phishing-Angriffen

Suche nach Lösungen, die künstliche Intelligenz nutzen
Cyberkriminelle passen ihre Taktiken laufend an, damit ihre E-Mails Gateways und Spam-Filter umgehen. Daher sollte unbedingt eine Lösung eingesetzt werden, die Spear-Phishing-Angriffe wie Brand Impersonation, Business Email Compromise und Email Account Takeover zuverlässig erkennt und abwehrt. Insbesondere empfiehlt sich der Einsatz einer Lösung, die über die Suche nach schädlichen Links oder Anhängen hinausgeht. Eine Lösung, die mithilfe von maschinellem Lernen normale Kommunikationsmuster innerhalb Ihres Unternehmens analysiert, kann Anomalien erkennen, die auf einen Angriff hindeuten könnten.

Schutz vor Account Takeover implementieren
Denken Sie über externe E-Mail-Nachrichten hinaus. Einige der schädlichsten und überzeugendsten Spear-Phishing-Angriffe werden von kompromittierten internen Konten gesendet. Verhindern Sie, dass Angreifer Ihr Unternehmen als Basislager für Spear-Phishing-Kampagnen nutzen. Stellen Sie Technologie bereit, die künstliche Intelligenz einsetzt, um zu erkennen, wenn Konten kompromittiert wurden, und derartige Situationen in Echtzeit behebt, indem sie Benutzer warnt und bösartige E-Mails entfernt, die von kompromittierten Konten gesendet wurden.

Verbesserung des Sicherheitsbewusstseins durch Schulungen
Informieren Sie Ihre Benutzer über die neuesten Spear-Phishing-Angriffe und -Taktiken. Bieten Sie aktuelle Schulungen zur Sensibilisierung der Benutzer an und stellen Sie sicher, dass die Mitarbeiter Angriffe erkennen können und wissen, wie sie diese sofort an die IT-Abteilung melden können. Verwenden Sie Phishing-Simulationen für E-Mails, Voicemail und SMS, um Benutzer darin zu schulen, Cyberangriffe zu erkennen, die Wirksamkeit Ihrer Schulungen zu testen und die anfälligsten Benutzer zu identifizieren.

Kostenloser Bericht: Spear Phishing: Top-Bedrohungen und Trends

Dieses Threat Spotlight wurde von Liane Young mit Unterstützung von Elisa Luo, den Professoren Asaf Cidon und Ethan Katz-Bassett sowie dem Berater Grant Ho verfasst.

Nach oben scrollen
Twittern
Teilen
Teilen