Köder-Angriffe: Hacker werfen ihre Phishing-Netze aus

Dr. Klaus Gheri benennt Best Practices zum Schutz vor Köder-Angriffen

[datensicherheit.de, 10.11.2021] Vor Phishing-Attacken sondieren Cyber-Kriminelle offensichtlich immer häufiger das „E-Mail-Terrain“ mittels Köder-Angriffen – so können sie feststellen, ob das Account real ist und auch genutzt wird. In seiner aktuellen Stellungnahme beschreibt Dr. Klaus Gheri, „General Manager Network Security“ bei Barracuda Networks, die Abläufe solcher Köder-Angriffe und gibt Tipps für Unternehmen, um sich davor besser schützen zu können.

Abbildung: Barracuda Networks

Dr. Klaus Gheri: Cyber-Kriminelle nutzen für Angriffe neue E-Mail-Konten bei kostenlosen Anbietern wie Gmail…

Beide Seiten nutzen Köder…

Angesichts einer fortschreitenden Professionalisierung Cyber-Krimineller müssten Unternehmen in der Lage sein, Angriffe verschiedenster Art abwehren zu können. Dennoch bestehe bei überaus elaborierten Attacken die Gefahr, „dass es Hackern gelingt, das Netzwerk zu infiltrieren und sich dort unbemerkt fortzubewegen“, warnt Dr. Gheri.

Um einen derartigen Ernstfall für die Aufklärung über die Gegenseite zu nutzen, existierten bekanntlich mittlerweile Technologien, welche – mittels Köder in Web-Applikationen oder „Endpoints“ hinterlegt – ausschließlich von Akteuren mit böswilligen Absichten gefunden werden könnten.

„Soweit die gute Nachricht. Doch umgekehrt nutzen auch Cyber-Kriminelle verstärkt Köder, mit denen sie Informationen sammeln, die sie zur Planung künftiger gezielter Phishing-Angriffe verwenden können.“

Köder-Angriffe – E-Mails mit sehr kurzem oder leerem Inhalt

Bei Köder-Angriffen, auch als „Aufklärungs-Angriffe“ bezeichnet, handele es sich in der Regel um E-Mails mit sehr kurzem oder leerem Inhalt. Ziel sei es, entweder die Existenz des E-Mail-Kontos des Opfers zu überprüfen, indem keine „unzustellbaren“ E-Mails zurückkämen, oder das Opfer in eine Konversation zu verwickeln, welche möglicherweise böswillig mit Geldüberweisungen oder durchgesickerten Anmeldedaten ende.

Um unentdeckt agieren zu können, verwendeten die Kriminellen für den Versand ihrer Angriffe in der Regel neue E-Mail-Konten bei kostenlosen Anbietern wie Gmail, Yahoo oder Hotmail. Dabei achteten sie auf ein geringes Sendevolumen, um massen- oder anomalie-basierte Auffälligkeiten zu vermeiden.

Im September 2021 gut 35% der 10.500 analysierten Unternehmen von mindestens einem Köder-Angriff betroffen

Zwar ist die Anzahl der Köder-Angriffe insgesamt noch gering, aber nicht ungewöhnlich oder weniger gefährlich: Barracuda-Analysten fanden demnach heraus, dass im September 2021 etwas mehr als 35 Prozent der 10.500 analysierten Unternehmen von mindestens einem Köder-Angriff betroffen gewesen seien, „wobei im Durchschnitt drei verschiedene Mailboxen je Unternehmen eine dieser Nachrichten erhielten“.

Funktionsweise der Köder-Angriffe
„Es ist im Wesen der Sache begründet, dass Köder-Angriffe einer gezielten Phishing-Attacke vorausgehen.“ Barracudas Security-Analysten hätten ein Experiment durchgeführt, „indem sie auf einen der versendeten Köder antworteten, der sich im Postfach eines Mitarbeiters befand“.
Bei dem ursprünglichen Angriff – datiert auf den 10. August 2021 – habe es sich um eine E-Mail mit der Betreffzeile „HI“ gehandelt, welcher ein leeres Textfeld gefolgt sei. Am 15. August 2021 habe der Mitarbeiter mit dem E-Mail-Inhalt „Hallo, wie kann ich Ihnen helfen?“ geantwortet. 48 Stunden später sei ein gezielter Phishing-Angriff auf das E-Mail-Konto dieses Mitarbeiters erfolgt. Dr. Gheri berichtet: „Die ursprüngliche E-Mail war so gestaltet, dass sie die Existenz des Postfachs und die Bereitschaft des Opfers, auf E-Mail-Nachrichten zu antworten, verifizieren sollte.“

Tipps zum Schutz vor Köder-Angriffen:

Eine automatisierte Reaktion auf Vorfälle könne dazu beitragen, Köder-Angriffe innerhalb von Minuten zu identifizieren und zu beseitigen, um eine weitere Verbreitung des Angriffs zu verhindern oder das Unternehmen zu einem künftigen Ziel zu machen.

Einsatz Künstlicher Intelligenz
Künstliche Intelligenz (KI) könne Köder-Angriffe erkennen und blockieren. Herkömmliche Filtertechnologien seien weitgehend hilflos, „wenn es um die Abwehr von Köder-Angriffen geht“. Sie trügen keine bösartige Nutzlast und stammten in der Regel von seriösen E-Mail-Anbietern. Eine KI-basierte Abwehr helfe da wesentlicher besser: „Sie nutzt Daten, die aus verschiedenen Quellen wie Kommunikationsgraphen, Reputationssystemen und Analysen auf Netzwerkebene gewonnen werden, um potenzielle Opfer vor derartigen Angriffen zu schützen.“

Schulungen, um Köderangriffe zu erkennen und zu melden
Schulungen könnten helfen, Mitarbeiter dahingehend zu sensibilisieren, Köder-Angriffe zu erkennen und nicht zu beantworten, sie aber unbedingt den IT- und Sicherheitsteams zu melden. Beispiele für Köder-Angriffe sollten Bestandteil in Schulungen zum Sicherheitsbewusstsein und in Simulationskampagnen sein.

Köder-Angriffe dürfen nicht in den Posteingängen der Benutzer verschwinden
„Wenn Köder-Angriffe erkannt werden, ist es wichtig, sie so schnell wie möglich aus den Posteingängen der Benutzer zu entfernen, bevor diese die Nachricht öffnen oder darauf antworten.“

Weitere Informationen zum Thema:

datensicherheit.de, 27.09.2020
Deception: Ransomware-Hackern Köder auslegen und damit ablenken / Mit Deception- und Verschleierungs-Technologien Angreifer daran hindern, die IT-Infrastruktur spürbar zu beeinträchtigen

datensicherheit.de, 26.06.2020
Ransomware „Philadelphia“ – Angebliche E-Mail der Bundesregierung als Köder / Serie von Cyberangriffen in Deutschland