Brand Protection

    Stärkung des Markenschutzes im Zeitalter des Domain-Spoofing

    Cyberkriminelle nutzen das Vertrauen und den digitalen Ruf, den Online-Marken aufgebaut haben, um ihre bösartigen E-Mail-Spoofing- und Domain-Spoofing-Aktivitäten voranzutreiben.

    by Matthew Gardiner
    getty-laptops-on-table.jpg

    Welches sind die am häufigsten imitierten Marken im Internet? Die Antwort schwankt zwar von Monat zu Monat ein wenig, aber es würde Sie wahrscheinlich nicht überraschen, dass PayPal, Facebook, Microsoft, Apple und Amazon regelmäßig unter den Top 10 zu finden sind. Diese Unternehmen sind weithin bekannt und vertrauenswürdig, und Cyberkriminelle wissen, dass die Nachahmung dieser Unternehmen die Erfolgswahrscheinlichkeit einer Phishing-E-Mail erhöht. Aber, Markenausbeutung kann jeden treffen.

    Wenn Cyberkriminelle massenhaft Phishing-Angriffe versenden, macht es nur Sinn, die Wahrscheinlichkeit auszunutzen und Marken zu verwenden, die einen großen Kundenstamm haben. Der innere Monolog vieler Nutzer geht oft in diese Richtung:

    "Ja, ich habe ein PayPal-Konto [Facebook, Microsoft, Apple, Amazon...]. Ich sollte mich besser anmelden und mein Konto 'reaktivieren', wie es in dieser offiziell aussehenden E-Mail heißt. Und da die verlinkte Anmeldeseite genauso aussieht wie die, bei der ich mich schon viele Male auf PayPal.com [Facebook.com, Microsoft.com, Apple.com, Amazon.com] angemeldet habe, muss sie korrekt sein.

    Aber es gibt Tausende anderer Unternehmen, für die sich Cyberkriminelle ausgeben können. Wenn Ihr Unternehmen nicht zu diesen Top-Internetmarken gehört, sind Sie dann vor dieser Art von Angriffen sicher? Leider ist dies nicht der Fall. Während die Angriffe auf die bekanntesten Internet-Marken unvermindert weitergehen, haben sich die raffinierteren Cyberkriminellen - mit Hilfe von Cybercrime-Toolkits und einer Vielzahl von gehackten Websites und DNS-Einträgen - darauf verlegt, sich als Online-Marken weniger bekannter Unternehmen auszugeben.

    Gezielte E-Mail-Spoofing und Domain-Spoofing Angriffstechniken werden täglich eingesetzt, um das Markenvertrauen von Tausenden von Unternehmen auszunutzen, von denen keines als besonders bekannte Internet-Marke gelten würde. Wenn Sie eine Website haben - insbesondere eine mit einem Login - sind Sie ein Ziel.

    Und das gilt auch für Mimecasts eigene Marke.

    Um zu demonstrieren, dass jede Organisation mit einer Online-Präsenz ein Ziel für Marken-Imitationen ist, wird dieser Artikel Beispiele für Phishing-E-Mails und Websites zeigen, die Cyberkriminelle unter Ausnutzung der Marke Mimecast verwendet haben. Und wenn nicht genau klar ist, wie wir diese Angriffe abfangen, so ist das kein Zufall. Wir wollen den Black Hats auf keinen Fall Einblicke gewähren!

    Versuche, die Marke Mimecast auszunutzen

    In Abbildung 1 hat der Angreifer eine .com-Domain registriert und eine personalisierte E-Mail verschickt, die wie eine Mimecast-E-Mail-Digest-Nachricht aussieht, in der aber weder im Text noch in einem Logo "Mimecast" erwähnt wird. Alle enthaltenen Links zeigten auf dieselbe Webseite (lesen Sie weiter unten in diesem Artikel, um mehr über die Web-Seite des Angriffs zu erfahren).

    mimecast-exploit-figure-1.png
    Abbildung 1. Phishing-E-Mail, die wie eine Mimecast-Digest-E-Mail aussieht, ohne Mimecast zu erwähnen.

    In dem in Abbildung 2 gezeigten Beispiel verwendete der Angreifer die Marke Mimecast und Versionen des Logos in einer E-Mail, die den Anschein erweckte, der Mimecast E-Mail-Digest zu sein. In diesem Beispiel verwendete der Angreifer die relativ seltene und kostengünstige Top-Level-Domain (TLD) ".live". Die E-Mail war außerdem für den Empfänger personalisiert und verwendete den Anzeigenamen "postmaster", um die Glaubwürdigkeit zu erhöhen. Alle Links in dieser E-Mail verweisen auf dieselbe Website.

    mimecast-exploit-abbildung-2.png
    Abbildung 2. Phishing-E-Mail, die wie eine Mimecast-Digest-E-Mail aussieht und mehrfach die Marke und das Logo von Mimecast verwendet.

    In Abbildung 3 wählte der Angreifer einen ganz anderen Ansatz. Aus visueller Sicht ahmt die E-Mail keine Standard-Mimecast-E-Mail nach und verwendet ein altes Mimecast-Logo. Aus inhaltlicher Sicht hat der Angreifer den E-Mail-Text personalisiert, aber Formulierungen wie "temporäre Aussetzung" würden wahrscheinlich von einem Nicht-Engländer stammen. Und der Aspekt des Domain-Spoofing ist fortgeschrittener: Es wurde ein Anzeigename von noreply@mimecast.com verwendet, um eine legitime E-Mail-Adresse zu simulieren. Die E-Mail wurde von einer in Vietnam registrierten Domäne und von einem legitimen, nicht mit Mimecast in Verbindung stehenden Support-Konto gesendet, das wahrscheinlich gehackt wurde. Der Link führt zu derselben Website, die in den Abbildungen 1 und 2 zu sehen ist.

    mimecast-exploit-figure-3.png
    Abbildung 3. Phishing-E-Mail, die nicht wie eine gewöhnliche Mimecast-E-Mail aussieht, personalisiert ist, schlechtes Englisch verwendet und wahrscheinlich von einer gehackten, legitimen E-Mail-Adresse stammt.

    Abbildung 4 ist ein weiterer fortgeschrittener Domain-Spoofing-Versuch. Sie scheint von der Domäne Mimecast.com zu stammen, aber dieser Absender wird eine DMARC Prüfung nicht bestehen, da wir ihm sicherlich nicht unseren privaten DKIM-Schlüssel zur Verfügung stellen oder ihn in unsere SPF-Liste für zugelassene Absender in unserem DNS-Eintrag eintragen werden! Der primäre Link im E-Mail-Text sieht so aus, als würde er zum Webmail-Dienst des empfangenden Unternehmens führen, führt aber in Wirklichkeit auf dieselbe Website wie in den ersten drei Beispielen. Der E-Mail-Text ist auf den beabsichtigten Empfänger zugeschnitten.

    mimecast-exploit-figure-4.png
    Abbildung 4. Phishing-E-Mail, die vorgibt, von Mimecast.com zu stammen und keine legitimen Mimecast-Standard-E-Mails imitiert. Beide Links führen auf dieselbe Webseite.

    Diese vier Beispiele für Phishing-E-Mails verdeutlichen die subtile Vielfalt der Techniken, die Cyberkriminelle bei ihren Phishing-Kampagnen einsetzen können und werden.

    Die Notwendigkeit des Markenschutzes: Gestohlene Anmeldedaten

    Was ist mit der Ziel-Webseite, auf die in jeder E-Mail verlinkt wurde? In allen oben gezeigten Fällen bestand das Ziel der Angreifer darin, das anvisierte Opfer auf dieselbe Webseite zu bringen, wie in Abbildung 5 dargestellt, was zeigt, dass das ultimative Ziel der Angreifergruppe darin besteht, die Mimecast-Anmeldedaten zu stehlen, um sie für weitere Angriffe innerhalb oder außerhalb des Zielunternehmens zu verwenden. Dies wird noch dadurch unterstrichen, wie die Angreifer die Anmeldeseite personalisieren, indem sie hello.me@why.com durch die tatsächliche E-Mail-Adresse des Empfängers ersetzen, indem sie diese in eine angepasste URL in der E-Mail laden.

    mimecast-exploit-figure-5.png
    Abbildung 5. Gefälschte Mimecast-Anmeldeseite

    Auch bei der Auswahl der URLs, unter denen die Seiten gehostet wurden, waren sie sehr vorsichtig. In diesem Fall wird durch das Hacken des DNS-Eintrags einer legitimen Organisation und die Registrierung einer Subdomäne - bekannt als Domain Shadowing - eine IP-Adresse im Besitz von Cyberkriminellen ermittelt.

    mimecast-exploit-figure-6.png
    Abbildung 6. Beispiel für eine Subdomäne einer legitimen Domäne, deren DNS-Eintrag gehackt wurde, damit der Cyberkriminelle eine URL-Auflösung eingeben kann, die auf seinen Webhost verweist.

    Beachten Sie auch, dass diese Angreifergruppe auch regelmäßig die Website-Hosting-URL verschiebt, indem sie sowohl viele DNS-Einträge als auch die Websites legitimer Organisationen hackt und dort die nach Mimecast aussehenden Anmeldeseiten platziert.

    mimecast-exploit-abbildung-7.2.png
    Abbildung 7. Eine kleine Auswahl der URLs, die in der jüngsten Vergangenheit die gefälschte Mimecast-Anmeldeseite gehostet haben.

    Je nach Ziel des Angreifers können sie natürlich auch eine vertrauenswürdige Marke - wie Mimecast - in einer Phishing-E-Mail verwenden, um die Zielperson auf eine Anmeldeseite zu bringen, die die Online-Marke eines anderen Unternehmens simuliert, jedoch mit dem ähnlichen Ziel, die Anmeldedaten der Mitarbeiter zu erhalten.

    mimecast-exploit-figure-8.png
    Abbildung 8. Webseite, die die Anmeldeseite einer anderen Organisation simuliert

    Die Quintessenz

    Sie sollten diesen Artikel nicht in dem Glauben verlassen, dass Mimecast eine stark imitierte Marke ist. Das ist nicht der Fall, auch wenn wir sicherlich unseren Anteil daran haben. Stattdessen gibt es spezielle Technologien und Teams, die Angriffe auf Mimecast mit Hilfe von E-Mail- und webbasierten Markenangriffen aufspüren, erfassen, verfolgen und blockieren.

    Cyberkriminelle gehen mit großer Raffinesse und Konzentration vor, um Online-Marken böswillig auszunutzen. Sind Sie sicher, dass Ihre Online-Marke derzeit nicht auf dieselbe Weise ausgenutzt wird? Welche Schutzmaßnahmen haben Sie für Ihre Marke ergriffen?

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang