Dr. Martin J. Krämer, CISO Advisor bei KnowBe4 ©KnowBe4

Sicherheitsforscher von Kaseya haben vor kurzem einen Blogbeitrag veröffentlicht, in dem sie berichten, dass Cyberkriminelle für ihre Machenschaften zunehmend auf die Online-Formulare großer Dienste, wie PayPal, Apple, DocuSign und HelloSign, zurückgreifen. Unter Zuhilfenahme der DKIM-Replay-Angriffstechnik leiten sie von ihnen manipulierten Dokumente an ihre Opfer, deren E-Mail-Authentifizierungssysteme den Social-Engineering-Angriff nicht erkennen.

Um solch einen Angriff starten zu können, nehmen die Angreifer zunächst Kontakt mit einem der Dienste auf und fordern online ein Dokument an – etwa ein Rechnungsformular oder ein Dokument zur Beilegung eines Streitfalls. Viele Dienste bieten ihren Kunden hier mittlerweile die Möglichkeit, im Dokument an spezifischen Stellen Daten in Kommentarfeldern einzugeben. Die Angreifer erhalten so die Möglichkeit, im Dokument selbst etwas einzutragen – beispielsweise den Hinweis, dass man sich bei Fragen an folgende Telefonnummer oder Website wenden solle. Anschließend lassen sie den Dienst das fertige Dokument an ihre E-Mail-Adresse senden. Kommt die E-Mail nun in ihrem Posteingang an, leiten sie sie einfach weiter – an eine zuvor von ihnen zusammengestellte Liste ihrer Opfer.

Da der Header und der Inhalt der E-Mail unverändert bleiben, diese kryptografisch signiert sind, durchlaufen die E-Mails problemlos die DKIM- und DMARC-Prüfungen (DomainKeys Identified Mail und Domain-based Message Authentication, Reporting & Conformance) der E-Mail-Sicherheitslösungen ihrer Opfer. Für die Lösungen kommen die Emails direkt vom Anbieter des Dienstes – nicht vom Angreifer. Wie das funktioniert? Ganz einfach. DKIM fügt eine kryptografische Signatur an die Header und den Textkörper einer E-Mail an. Der empfangende Mailserver verwendet dann den öffentlichen Schlüssel der sendenden Domain, um zu bestätigen, dass der signierte Inhalt während der Übertragung nicht verändert worden ist. DMARC überprüft dann, ob die authentifizierte Domain und die sichtbare Von:-Adresse übereinstimmen. Ein Sicherheitsmechanismus, der sich mit DKIM-Replay-Angriffen leicht überwinden lässt.

Trifft die weitergeleitete E-Mail nun im Postfach des Opfers ein, wird diesem suggeriert, dass die Nachricht tatsächlich vom offiziellen Absender, also dem entsprechenden großen Dienst, stammt. Im ‚offiziellen‘ Dokument findet es dann eine Telefonnummer, die es anrufen oder einen Link zu einer Website, den es anklicken soll. Ziel der Angreifer ist in aller Regel das Abgreifen persönlicher oder finanzieller Informationen oder die Installation von Malware oder einer Fernzugriffssoftware auf dem Rechner des Opfers.

Dass solch ein Angriff allein Privatanwender ins Visier nimmt, ist wenig wahrscheinlich. Leicht können auch Mitarbeiter von Unternehmen in den Fokus geraten. Unternehmen kann deshalb nur geraten werden, ihre Mitarbeiter über solche und ähnliche Angriffe – die sie zu Hause wie am Arbeitsplatz jederzeit ereilen können – auf dem Laufenden zu halten. Sämtliche Mitarbeiter können und müssen zur ersten Verteidigungslinie ausgebaut werden, wenn es darum geht, Unternehmen vor den immer komplexer werdenden Social Engineering-Angriffen der cyberkriminellen Szene abzusichern.

Am effektivsten – da umfassendsten – hilft hier der Einsatz eines modernen Human Risk Management-Systems. Seine Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen, um Mitarbeiter zu stärken. Seine modernen Anti-Phishing-E-Mail-Technologien kombinieren KI mit Crowdsourcing, um neueste Zero Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, ihre Risiken signifikant zurückzufahren und Mitarbeiter zur besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen.

Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“