Mail Spoofing mit inaktiven Domains Mit alten Domains auf gefälschte Websites gelockt!

Anbieter zum Thema

Infoblox Germany GmbH

FTAPI Software GmbH

Nur ein falscher Klick auf eine bösartige Website kann katastrophale Folgen haben. Security-Forscher von Infoblox haben jetzt entdeckt, wie Cyber­krimi­nelle inaktive Websites nutzen, um bösartigen Spam und schädliche Inhalte zu verteilen.

Phishing Mails, die ahnungslose Nutzer dazu verleiten, betrügerische Websites zu besuchen, sind nichts Neues. Allerdings verursachen sie nach wie vor großen Schaden und zählen weiterhin zu den meistgenutzten Einfallstoren für Cyberkriminelle. Laut der Universität Würzburg beginnen 92 Prozent aller Cyberattacken auf diese Weise. Infoblox Threat Intel hat nun aufgedeckt, wie inaktive Websites von Bedrohungsakteuren genutzt werden, um bösartigen Spam und schädliche Inhalte zu versenden. Auf den ersten Blick erscheinen Cyberattacken, die diese Methode nutzen, wie ganz normale Phishing-Angriffe. Die gefälschten Mails sind so gestaltet, dass sie von legitimen Absendern zu stammen scheinen. Sie enthalten einen Link zu einer bösartigen Website, auf der nichtsahnende Nutzer dazu verleitet werden, ihre Daten einzugeben oder Zahlungen zu tätigen. So weit, so bekannt.

Mail Spoofing: Inaktive Domains im Fokus

Diese Untersuchung zeigt, wie überzeugend Mail-Spoofing sein kann und dass es trotz zahlreicher Sicherheitssysteme nach wie vor weit verbreitet und ein lukrativer Angriffsvektor ist. Manche der von den Angreifern verwendeten Domains haben seit mehr als 20 Jahren keine Inhalte mehr gehostet. Dies macht sie besonders attraktiv für Cyberkriminelle, da sie auf diese Weise viele traditionelle Sicherheitssysteme umgehen können, die Spam anhand des Alters der Domain herausfiltern. In der Regel sind verdächtige Domains erst seit kurzem aktiv und ältere Domains gelten daher als weniger bedenklich.

Ein weiterer Vorteil: Mail-Server prüfen normalerweise im DNS, ob die IP-Adresse des Absenders autorisiert ist, E-Mails von dieser Domain zu versenden, um die Legitimität des Absenders zu prüfen. Für ältere Domains existieren diese Einträge in den dafür vorgesehenen Datenbanken wie dem Sender Policy Framework (SPF) jedoch oft nicht. Dies resultiert in einem leichten Versagen der Sicherheitsüberprüfung. In manchen Fällen wird die Mail daraufhin gestoppt, oft genug jedoch auch nicht. Die Drahtzieher hinter diesen Malspam-Nachrichten hoffen, dass so möglichst viele ihrer Spam-Mails in den Postfächern landen und die Opfer auf gefälschte Websites locken.

Bekannte Varianten

Infoblox Threat Intel hat eine Vielzahl von Varianten identifiziert, die von verschiedenen kriminellen Gruppen verwendet werden. Im Folgenden werden drei davon vorgestellt. Alle diese Varianten wurden in der Regel von chinesischen IP-Adressen aus versendet:

• 1. QR-Code-Phishing: Die erste Variante enthält QR-Codes, die Nutzer auf gefälschte Websites locken. Mit dieser Variante wurden in erster Linie chinesische User behelligt. Die Methode birgt für Angreifer den Vorteil, dass sie die Opfer zunächst auf eine verschlüsselte Chat-App lockt und so viele Sicherheitsmechanismen umgehen kann. Meist enthalten die Mails Nachrichten über angebliche Steuernachzahlungen und geben an, von chinesischen Behörden zu stammen. Die Nutzer werden dazu gedrängt, die Beträge über AliPay oder WeChat zu bezahlen.

• 2. Japanische Phishing-Kampagnen: Die zweite Variante nahm gezielt japanische User ins Visier. In diesem Fall täuscht die Mail vor, von bekannten Marken wie Amazon, Mastercard oder SMBC, einer der größten japanischen Banken, zu stammen. Mit einem Call-to-Action und einem dazugehörigen Button werden die Opfer in ein Traffic Distribution System (TDS) und anschließend auf eine gefälschte Landingpage gelockt. Auf dieser sollen sie dann ihre Login-Daten eingeben. Dieser Umweg verhindert, dass die Hacker von Sicherheitsmaßnahmen entdeckt werden. Schlussendlich werden die Zugangsdaten von den Cyberkriminellen gestohlen.

• 3. Erpressungs-Kampagnen: Die letzte Variante bediente sich ebenfalls einer klassischen Phishing-Methode: der Erpressung von Nutzern. Dabei wird den Opfern vorgetäuscht, dass Malware auf ihrem Gerät installiert wurde und sich sensible Daten wie Webcam-Aufnahmen in den Händen der Hacker befinden. Wenn der Nutzer nicht einen bestimmten Betrag in Bitcoin an eine spezifische Adresse schicke, würden die Informationen an Freunde und Familie weitergeleitet. Diese Variante ist bereits seit Jahrzehnten bekannt. Doch auch in diesem Fall wurden veraltete Domains von den Angreifern missbraucht.

Das DNS ist für Angreifer weiterhin attraktiv

Trotz jahrelanger Bemühungen, bösartige Phishing-Mails zu bekämpfen, scheint sich das Geschäft für Cyberkriminelle weiterhin zu lohnen. Die Untersuchungen zeigen, dass Bedrohungsakteure Spoofing als lukrative Einnahmequelle betrachten und ihre Aktivitäten in diesem Bereich fortsetzen. Die neuen Erkenntnisse ermöglichen es allerdings auch den Verteidigern, diese Art von Angriffen besser zu verstehen und sich effektiver dagegen zu schützen. Einmal mehr zeigt sich, dass das DNS ein unverzichtbarer Bestandteil einer umfassenden Sicherheitsstrategie sein muss, um den falschen Klick auf den schädlichen Link zu verhindern.

Über die Autorin: Dr. Renée Burton ist die Leiterin der Abteilung Threat Intel bei Infoblox. Sie ist Expertin für DNS-basierte Bedrohungen und leitet die Algorithmenentwicklung und Forschung im Bereich DNS-Intelligence.

(ID:50352169)