Spear-Phishing nach Exchange-Einbrüchen
Nachdem die Exchange-Sicherheitslücken durch Microsoft geschlossen wurden, gingen die Angriffe weiter. Mit Spear-Phishing Angriffen sollen die Opfer zu Überweisungen gedrängt werden.
Durch die zuvor entdeckten Sicherheitslücken in MS Exchange-Servern in die Cyberkriminelle eingebrochen sind, entdeckten Forscher vom Sicherheitsunternehmen Sophos weitere E-Mail Angriffe auf Mitarbeiter einer betroffenen Organisation.
Die erhaltenen E-Mails kamen dabei von einer täuschend ähnlichen Domain, einer sogenannten Typosquatting-Domain z.B. i-s-thein.de, anstatt i-t-shein.de. Bei den erhaltenen E-Mails handelt es sich um sogenanntes Spear-Phishing, also gezielte Angriffe auf Einzelpersonen einer Organisation mit Hilfe von Social Engineering. Solche Angriffe enden üblicherweise nach einer Exchange Serverbereinigung.
Laut dem Sicherheitsunternehmen wurden zunächst am Exchange Server E-Mail Verläufe kopiert, in welchen Sie durch die davor offenen Sicherheitslücken (ProxyLogon) eingedrungen sind. Danach wurde eine ähnlich aussehende Domain erstellt und E-Mails basierend auf den kopierten Verläufen generiert. Mit diesem Trick wollten die Angreifer vortäuschen ein befugter Mitarbeiter des Entsprechenden Unternehmens zu sein.
Falsche Überweisungen
In den E-Mails versuchten die Angreifer, die Mitarbeiter zu Überweisung von Geldbeträgen zu bringen. Hierzu versendeten Sie E-Mails von der Typosquatting-Domain und hängten die kopierten Mailverläufe an. Um den Eindruck weiter zu stärken ergänzten die Angreifer oft weitere Empfänger des Unternehmens.
Hierbei wurde in den ersten E-Mails jeweils neue Konto-Details angegeben, um dann in Folgemails den Druck immer stärker aufzubauen. In einem konkreten Fall wurde so ein Mitarbeiter überzeugt und führte die Überweisung durch, welche durch ein beteiligtes Finanzinstitut gestoppt werden konnte.
Exchange Update ist nicht ausreichend
Das Sicherheitsunternehmen weist darauf hin, dass das Patchen der Sicherheitslücken im lokalen Exchange Server der erste und wichtigste Ansatzpunkt ist. Jedoch sollten durch den IT-Administrator des Server diverse Sicherheitsmechanismen umgesetzt werden (z.B. SPF Sender Policy Framework) um E-Mails von Typosquatting Domains leichter zu erkennen oder erst gar nicht an die Empfänger durchzulassen.
Fazit
Die Schulung der Mitarbeit sollte hier für den Verantwortlichen nach der Absicherung der Exchange Infrastruktur im Fokus stehen. Überweisungen welche per E-Mail ankommen, sollten immer als verdächtig eingestuft werden. Zahlungen von großen Summen sollten grundsätzlich durch mehrere Mitarbeiter geprüft und durch einen Verantwortlichen abgezeichnet werden.
Den Schutz der Exchange Infrastruktur mittels SPF und ähnlichen E-Mail Server Authentifizierungen sollten Exchange-Administratoren umgehend einrichten.
