Ständiger Kontakt

Lehren aus dem Kompromiss von USAID mit Constant Contact

Druckfreundlich, PDF & E-Mail

Over 3,000 email accounts were sent phishing email through a compromised Constant Contact account belonging to the U.S. Agency for International Development (USAID). Constant Contact is an email marketing platform enabling organizations to more easily reach a large number of recipients via email. By compromising the account belonging to USAID, attackers were not only able to reach everyone already receiving emails from USAID, but also leverage a trusted sender and format for the subsequent phishing attack to add credibility to the emails.

Die Phishing-E-Mail selbst war nicht sonderlich raffiniert. Es handelte sich um eine ganz gewöhnliche Betrugsmasche, bei der Empfänger aufgefordert wurden, eine Schaltfläche anzuklicken, um Dokumente herunterzuladen. Wenn jemand darauf geklickt hat, wurde eine Malware auf dem jeweiligen Gerät installiert. Indem der Angreifer Constant Contact nutzte, um diese Payloads zu versenden, umging er zweifellos einige Spam- und Phishing-Schutzmaßnahmen, die Ausnahmeregeln für legitime Massenmarketingdienste wie Constant Contact anwenden. Der vertraute Absender und das vertraute Format sorgten zusätzlich dafür, dass bei vielen Empfängern kein Misstrauen aufkam. Zudem ist es durchaus möglich, dass einige Empfänger routinemäßig E-Mails mit Dokumentenanhängen von diesem Absender erhalten, was die Effektivität des Angriffs bei diesen Personen weiter erhöht hätte.

Phishing-Techniken werden immer ausgefeilter

As protections for phishing increase, mass phishing has had to become more sophisticated in its techniques—often borrowing techniques commonly used by spear phishing such as typosquatting and account takeover or impersonation. Attackers are also making attacks somewhat more targeted by tailoring phishing campaigns to particular markets or job titles by scraping publicly available information on potential targets. As such levels of targeting become easier and more automated, the gap in sophistication is closing between mass phishing—which targets numerous recipients in an attempt to play the odds that some percentage will fall for the phish—and spear phishing—which is completely tailored to the individual being targeted and thus requires significantly more effort but generally has a higher payoff if successful.

Account Compromise ist nichts Neues bei Phishing-Angriffen. Für diese Art des Betrugs werden sowohl kompromittierte private E-Mail-Konten genutzt – bei denen Empfänger beispielsweise Hilfegesuche von „Bekannten“ erhalten, die ohne Pass in einem fremden Land festsitzen –, als auch kompromittierte geschäftliche E-Mail-Konten, von denen aus Personen in dem Unternehmen angeschrieben werden, zu dem das kompromittierte Konto gehört. Die Kompromittierung von Konten weiter oben in der E-Mail-„Lieferkette“ ist jedoch neu und wurde wahrscheinlich durch den Erfolg des SolarWinds-Angriffs angetrieben, der angeblich von derselben Bedrohungsgruppe wie den Autoren des USAID-Angriffs durchgeführt wurde.

Aufgrund schwacher und wiederverwendeter Kennwörter, die Nichtverwendung von Multi-Faktor-Authentifizierung, einer erhöhten Rechengeschwindigkeit sowie neuen Techniken zum Knacken von Kennwörtern sind nun immer mehr Account-Compromise-Angriffe zu beobachten. Auch werden sie öfter in den Angriffsketten größerer Offensiven genutzt. Es gibt mittlerweile sogar eine Reihe von Tools, mit denen man auf Websites ganze Listen kompromittierter Benutzerkennwortkombinationen ausprobieren kann, um nach Konten zu suchen, bei denen ein Kennwort wiederverwendet wurde. Diese Hilfsmittel ermöglichen es Angreifern, mit einer einzigen Datenschutzverletzung eine Vielzahl von Konten zu kompromittieren. Dieser Trend wird sich wahrscheinlich nur noch verstärken, bis die Multi-Faktor-Authentifizierung weit genug verbreitet ist, um die Gefahr durch diese Angriffe abzumildern. Die Kombination aus starken Passwörtern und der Aktivierung von MFA – wenn sie denn unterstützt wird – ist für den Schutz von Konten entscheidend.

Aktuelles über Spear-Phishing-Bedrohungen und -Trends erfahren Sie in diesem kostenlosen Bericht

Nach oben scrollen
Twittern
Teilen
Teilen