Ständiger Kontakt

Lehren aus dem Kompromiss von USAID mit Constant Contact

Druckfreundlich, PDF & E-Mail

Über 3.000 E-Mail-Konten erhielten Phishing-E-Mails von einem kompromittierten Constant-Contact-Konto der U.S. Agency for International Development (USAID). Constant Contact ist eine E-Mail-Marketing-Plattform, die es Unternehmen ermöglicht, eine große Anzahl von Empfängern leichter per E-Mail zu erreichen. Durch die Kompromittierung des USAID-Kontos konnten die Angreifer nicht nur alle Personen erreichen, die in der Vergangenheit schon einmal E-Mails von USAID erhalten hatten, sondern sie konnten sich für ihren Phishing-Angriff auch eines vertrauenswürdigen Absenders und Formats bedienen, um die Glaubwürdigkeit der E-Mails zu erhöhen.

Die Phishing-E-Mail selbst war nicht sonderlich raffiniert. Es handelte sich um eine ganz gewöhnliche Betrugsmasche, bei der Empfänger aufgefordert wurden, eine Schaltfläche anzuklicken, um Dokumente herunterzuladen. Wenn jemand darauf geklickt hat, wurde eine Malware auf dem jeweiligen Gerät installiert. Indem der Angreifer Constant Contact nutzte, um diese Payloads zu versenden, umging er zweifellos einige Spam- und Phishing-Schutzmaßnahmen, die Ausnahmeregeln für legitime Massenmarketingdienste wie Constant Contact anwenden. Der vertraute Absender und das vertraute Format sorgten zusätzlich dafür, dass bei vielen Empfängern kein Misstrauen aufkam. Zudem ist es durchaus möglich, dass einige Empfänger routinemäßig E-Mails mit Dokumentenanhängen von diesem Absender erhalten, was die Effektivität des Angriffs bei diesen Personen weiter erhöht hätte.

Phishing-Techniken werden immer ausgefeilter

Da es heutzutage immer mehr Schutzvorkehrungen gegen Phishing gibt, wurde auch das Massenphishing in seinen Techniken immer ausgefeilter. Oftmals werden heute Methoden verwendet, wie man sie von Spear-Phishing-Angriffen kennt – wie Typosquatting und Account Takeover oder Identitätsmissbrauch. Auch die Angriffe werden zielgerichteter. Phishing-Kampagnen werden an bestimmte Märkte oder Jobtitel angepasst, nachdem öffentlich verfügbare Informationen zu potenziellen Zielen gesammelt wurden. Da diese Art des Targeting immer leichter und automatisierter wird, schließt sich die Lücke zwischen Massen-Phishing – bei dem eine Vielzahl von Empfängern angesprochen wird, da man davon ausgeht, dass ein gewisser Prozentsatz auf den Angriff hereinfällt – und Spear-Phishing, das individuell auf die angesprochene Person zugeschnitten ist und daher deutlich mehr Aufwand erfordert, aber im Allgemeinen einen höheren Gewinn bringt.

Account Compromise ist nichts Neues bei Phishing-Angriffen. Für diese Art des Betrugs werden sowohl kompromittierte private E-Mail-Konten genutzt – bei denen Empfänger beispielsweise Hilfegesuche von „Bekannten“ erhalten, die ohne Pass in einem fremden Land festsitzen –, als auch kompromittierte geschäftliche E-Mail-Konten, von denen aus Personen in dem Unternehmen angeschrieben werden, zu dem das kompromittierte Konto gehört. Die Kompromittierung von Konten weiter oben in der E-Mail-„Lieferkette“ ist jedoch neu und wurde wahrscheinlich durch den Erfolg des SolarWinds-Angriffs angetrieben, der angeblich von derselben Bedrohungsgruppe wie den Autoren des USAID-Angriffs durchgeführt wurde.

Aufgrund schwacher und wiederverwendeter Kennwörter, die Nichtverwendung von Multi-Faktor-Authentifizierung, einer erhöhten Rechengeschwindigkeit sowie neuen Techniken zum Knacken von Kennwörtern sind nun immer mehr Account-Compromise-Angriffe zu beobachten. Auch werden sie öfter in den Angriffsketten größerer Offensiven genutzt. Es gibt mittlerweile sogar eine Reihe von Tools, mit denen man auf Websites ganze Listen kompromittierter Benutzerkennwortkombinationen ausprobieren kann, um nach Konten zu suchen, bei denen ein Kennwort wiederverwendet wurde. Diese Hilfsmittel ermöglichen es Angreifern, mit einer einzigen Datenschutzverletzung eine Vielzahl von Konten zu kompromittieren. Dieser Trend wird sich wahrscheinlich nur noch verstärken, bis die Multi-Faktor-Authentifizierung weit genug verbreitet ist, um die Gefahr durch diese Angriffe abzumildern. Die Kombination aus starken Passwörtern und der Aktivierung von MFA – wenn sie denn unterstützt wird – ist für den Schutz von Konten entscheidend.

Aktuelles über Spear-Phishing-Bedrohungen und -Trends erfahren Sie in diesem kostenlosen Bericht

Leave a Reply

Your email address will not be published. Required fields are marked *

Nach oben scrollen
Twittern
Teilen
Teilen