Spear-Phishing nach Exchange-Einbruch
Nachdem die Exchange-Sicherheitslücken abgedichtet wurden, gingen Angriffe weiter. Mittels Spear-Phishing sollten die Opfer zu Überweisungen gedrängt werden.
(Bild: wk1003mike/Shutterstock.com)
Nachdem Sicherheitslücken im Exchange-Server geschlossen waren, durch die Cyberkriminelle zuvor eingebrochen sind, beobachteten Forscher vom IT-Sicherheitsunternehmen Sophos weitere E-Mail-Angriffe auf die Mitarbeiter einer betroffenen Organisation. Die E-Mails kamen dabei von einer der echten Mailserver-Adresse täuschend ähnlichen Domain, einer sogenannten Typo-Squatting-Domain – beispielsweise he1se.de anstatt heise.de. Bei den Mails handelt es sich um sogenanntes Spear-Phishing, also gezielte Angriffe auf einzelne Personen in der Organisation mittels Social Engineering. Üblicherweise enden Angriffe auf Mitarbeiter nach einer Exchange-Serverbereinigung.
Laut Sophos haben die Angreifer zunächst E-Mail-Verläufe vom Exchange-Server kopiert, in den sie zuvor durch Sicherheitslücken wie ProxyLogon eindringen konnten. Nachdem der Server abgesichert wurde, registrierten die Angreifer eine ähnlich aussehende Domain und erstellten E-Mails basierend auf den kopierten Verläufen. So wollten sie vortäuschen, dass es sich um einen befugten Mitarbeiter der Organisation handelt.
Überweisungen
In den E-Mails versuchten die Cyberkriminellen, die Opfer zum Anweisen von Geldbeträgen auf Konten der Betrüger zu bringen. Dazu sendeten sie Mails von der Typo-Squatting-Domain und hängten den bisherigen Mailverlauf an. Zudem ergänzten sie weitere Empfänger, um den Eindruck zu erwecken, tatsächlich aus der Organisation zu stammen.
In den ersten Mails kündigten die Angreifer neue Konto-Details an, um in Folgemails immer stärkeren Druck aufzubauen, dass es sich um einen dringenden Fall handele. Im konkreten Fall überzeugte das einen Mitarbeiter tatsächlich. Eines der beteiligten Finanzinstitute stoppte jedoch die Zahlung, da es Betrugsverdacht schöpfte.
Update reicht nicht
Sophos erläutert in der Meldung, dass zunächst das Patchen der Sicherheitslücken im lokalen Exchange-Server der wichtigste Ansatzpunkt ist, solche Angriffe zu vermeiden. Um Mails von Typo-Squatting-Domains leichter zu erkennen oder gar nicht erst an die Empfänger durchzulassen, biete sich die Sicherung der Maildomain mittels Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) oder Domain Message Authentication Reporting and Conformance (DMARC) an. Auch die Schulung der Mitarbeiter, um potenzielles (Spear-)Phishing zu erkennen, ergänzen die Forscher in der Maßnahmenliste.
Aus dem Fall lässt sich ableiten, dass die Absicherung von Mail-Servern mit Priorität erfolgen sollte. Den Schutz etwa mittels SPF und ähnlicher E-Mail-Server-Authentifizierung sollten Administratoren und IT-Verantwortliche einrichten. Gelangen Angreifer an Mailverläufe, könnte ihnen das sonst künftige Attacken auf das Unternehmen und seine Mitarbeiter unnötig erleichtern.
(dmk)