Threat Spotlight: Köder-Angriffe

Themen:

10. Nov.. 2021

Um noch gezieltere und effektivere Phishing-Angriffe durchführen zu können, stellen Angreifer jetzt Nachforschungen über potenzielle Opfer an, um Informationen zu sammeln, mit denen sie die Wahrscheinlichkeit eines erfolgreichen Angriffs erhöhen. Köder-Angriffe sind eine Methode, mit der Angreifer E-Mail-Adressen austesten, um herauszufinden, wer bereit ist zu antworten.

Einer Analyse von Forschern bei Barracuda zufolge waren im September 2021 knapp über 35 % der 10.500 analysierten Unternehmen von mindestens einem Köder-Angriff betroffen. Dabei wurden im Durchschnitt drei separate Posteingänge pro Unternehmen mit einer derartigen Nachricht attackiert.

An dieser Stelle folgt ein genauerer Blick auf die Art und Weise, wie Angreifer Köder-Angriffe einsetzen, und auf die Techniken, mit denen Angreifer sicherstellen, dass sie unentdeckt agieren können. Darüber hinaus werden Ihnen Lösungen gezeigt, mit denen Sie diese Angriffe erkennen, blockieren und beheben können.

Bedrohung im Fokus

Köder-Angriffe – Köder-Angriffe sind eine Art von Bedrohung, bei denen Angreifer versuchen, an bestimmte Informationen zu gelangen, um daraufhin gezielte Angriffe vorzubereiten.

Bei den Köder-Angriffen, die mitunter auch als Aufklärungsangriffe bezeichnet werden, handelt es sich in der Regel um E-Mails mit sehr kurzem oder sogar leerem Inhalt. Diese Angriffe verfolgen in der Regel die folgenden Ziele: Entweder die Existenz des E-Mail-Kontos des Opfers zu verifizieren (es wird überprüft, dass die E-Mail nicht als „unzustellbar“ zurückkommt). Oder das Opfer in eine Konversation zu verwickeln, die potenziell zu unrechtmäßigen Geldüberweisungen oder durchgesickerten Zugangsdaten führt.

Da diese Art von E-Mail-Bedrohungen kaum Text und keine Phishing-Links oder bösartigen Anhänge enthalten, ist es für herkömmliche Phishing-Detektoren schwierig, diese Angriffe abzuwehren.

Köder-Angriff – Beispiel

Darüber hinaus verwenden Angreifer in der Regel neue E-Mail-Konten bei kostenlosen Anbietern wie Gmail, Yahoo oder Hotmail, um unentdeckt agieren zu können. Zudem achten sie auf ein geringes Sendevolumen, um Detektoren zu umgehen, die Massen- oder Anomalie-basierte Auffälligkeiten erkennen.

Zwar ist die Anzahl der Köder-Angriffe insgesamt noch gering, jedoch sind diese Angriffe durchaus nichts Ungewöhnliches. Einer Analyse von Forschern bei Barracuda zufolge waren im September 2021 knapp über 35 % der 10.500 analysierten Unternehmen von mindestens einem Köder-Angriff betroffen. Dabei wurden im Durchschnitt drei separate Posteingänge pro Unternehmen mit einer derartigen Nachricht attackiert.

Die Details

Es ist allgemein bekannt, dass Köder-Angriffe in der Regel einem gezielten Phishing-Angriff vorausgehen. Unser Forschungsteam führte deshalb das folgende Experiment durch: Es antwortete auf einen der Köder-Angriffe, der im privaten E-Mail-Postfach von einem unserer Mitarbeiter landete.

Bei dem ursprünglichen Angriff vom 10. August 2021 handelte es sich um eine E-Mail mit der Betreffzeile „HI“ sowie einem leeren Textfeld.

Köder-Angriff – Beispiel

Im Rahmen des Experiments antwortete der Barracuda-Mitarbeiter dann am 15. August 2021 mit einer E-Mail, die den Inhalt hatte: "Hallo, wie kann ich Ihnen helfen?" Am 17. August 2021 – innerhalb von nur 48 Stunden – wurde der Mitarbeiter Ziel eines gezielten Phishing-Angriffs. Die ursprüngliche E-Mail sollte die Existenz des Postfachs und die Bereitschaft des Opfers, auf E-Mail-Nachrichten zu antworten, überprüfen.

Köder-Angriff – Beispiel

So schützen Sie sich vor Köder-Angriffen

Nutzen Sie KI, um Köder-Angriffe zu erkennen und zu blockieren. Herkömmliche Filtertechnologien sind weitgehend wirkungslos, wenn es um die Abwehr von Köder-Angriffen geht. Die Nachrichten enthalten keine schädliche Payload und stammen in der Regel von dem als äußerst seriös geltenden E-Mail-Anbieter Google Mail. Eine KI-basierte Abwehr ist in diesen Fällen wesentlich effektiver. Zum Schutz vor derartigen Angriffen werden Daten aus verschiedenen Quellen genutzt, darunter Kommunikationsgraphen, Reputationssysteme und Analysen auf Netzwerkebene.

Schulen Sie Ihre Benutzer in der Erkennung und Meldung von Köder-Angriffen. Da einige dieser Angriffe trotz aller Abwehrmaßnahmen ihren Weg in die Posteingänge der Benutzer finden können, sollten Sie Ihre Benutzer dahingehend schulen, derartige Angriffe zu erkennen und nicht zu beantworten. Beispiele für Köder-Angriffe sollten ein Bestandteil Ihrer Schulungen zur Stärkung des Risikobewusstseins und Simulationskampagnen sein. Ermutigen Sie Benutzer, diese Angriffe an Ihre IT- und Sicherheitsteams zu melden.

Köder-Angriffe dürfen nicht in den Posteingängen der Benutzer verbleiben. Sobald Köder-Angriffe erkannt werden, ist es wichtig, sie so schnell wie möglich aus den Posteingängen der Benutzer zu entfernen, bevor diese die Nachricht öffnen oder darauf antworten. Eine automatisierte Reaktion auf Vorfälle kann dazu beitragen, Köder-Angriffe innerhalb von Minuten zu identifizieren und zu beseitigen, um eine weitere Verbreitung des Angriffs zu verhindern oder das Unternehmen zu einem künftigen Ziel zu machen.

KI-basierter Schutz vor Phishing und Account Takeover

Dieses Threat Spotlight wurde von Olesia Klevchuk mit Forschungsunterstützung von Mohamed Ibrahim, Leitender Ingenieur für maschinelles Lernen, verfasst.

Olesia Klevchuk

Olesia Klevchuk ist Principal Product Marketing Manager für E-Mail-Sicherheit bei Barracuda Networks. In ihrer Rolle definiert sie, wie Unternehmen sich vor fortschrittlichen E-Mail-Bedrohungen, Spear Phishing und Account Takeover schützen können. Vor Barracuda arbeitete Olesia in den Bereichen E-Mail-Sicherheit, Markenschutz und IT-Forschung.

Vernetzen Sie sich auf LinkedIn mit Olesia.