Das Stoppen von E-Mail-Spionage-Trackern kann die Kill Chain von Cyberangriffen durchbrechen

In einem kürzlich erschienenen Artikel der BBC News wurde darauf hingewiesen, dass E-Mail-Tracker, die zum Ausspionieren von Empfängern verwendet werden, mittlerweile allgegenwärtig sind. [1] Das stimmt, und es ist wichtig: Diese so genannten "Spy-Tracker" werden täglich in zig Milliarden E-Mails eingebettet, oft von Marketingfirmen. Aber es gibt noch eine andere dringende Geschichte über E-Mail-Tracker zu erzählen. Cyberkriminelle nutzen sie ebenfalls als Teil einer ausgeklügelten Strategie, um hochrangige Ziele zu betrügen und Unternehmen zu gefährden. Sicherheitsteams müssen dies verstehen - und wissen, wie sie es verhindern können.

E-Mail-Tracker helfen Cyberangreifern bei der Erkundung

In der "Kill Chain" eines Cyberangriffs beginnen die Angreifer mit der Aufklärung, gehen zur Bewaffnung über und stellen dann die Bedrohung bereit. Wenn Sie einen Angriff in den frühen Phasen der Kill Chain unterbrechen können, können Sie die späteren Phasen entweder verhindern oder weniger effektiv gestalten.

Cyberkriminelle nutzen E-Mail-Tracker, um ihre Erkundungstätigkeit zu verstärken, und das ist die beste Phase, um sie zu stoppen. Sobald Cyberkriminelle ein Unternehmen ins Visier genommen haben, wollen sie einzelne potenzielle Opfer identifizieren und ihre Botschaften so persönlich und spezifisch wie möglich gestalten. Sie senden also eine potenziell relevante E-Mail mit einem Tracker an mögliche Opfer und beobachten, was passiert.

Wird er geöffnet? Das deutet auf Interesse hin. Lässt sich der Empfänger darauf ein? 1x1 GIF-"Spionagepixel" verraten das nicht, aber einige Cyberkriminelle betten jetzt Links zu .WAV-Dateien ein, die im Hintergrund unbemerkt übertragen werden und verfolgen, wie lange die Nachricht geöffnet bleibt. Der Tracker überträgt auch eine IP-Adresse, die den Standort des Empfängers preisgibt.

Bewaffnung und Eindringen, in großem Maßstab

All dies ist von unschätzbarem Wert, um einen hochgradig personalisierten BEC-Angriff (Business Email Compromise) zu starten. Der Bösewicht kann z. B. herausfinden, ob die Zielperson auf Geschäftsreise ist und ob sie sich für den Betreff der Aufklärungs-E-Mail interessiert. In Kombination mit anderen Recherchen - in der Regel in sozialen Medien - kann der Cyberkriminelle dann erschreckend überzeugende, sozial manipulierte Nachrichten versenden, die vom Empfänger nicht erkannt werden. Auch E-Mail-Sicherheitstechnologien können sie nur schwer erkennen, da sie keine bösartige Nutzlast enthalten. Die E-Mail-Sicherheit muss sich auf lexikalische Analysen und Techniken zur Erkennung von Nachahmungen verlassen, die zwar sehr gut, aber nicht zu 100 % effektiv sind und zu Fehlalarmen führen können. Aus diesem Grund fügen Web-E-Mail-Gateways diesen Nachrichten manchmal ein Banner hinzu, anstatt sie ganz zu blockieren.

Bei der Rückmeldung an den Ursprungsserver sendet der E-Mail-Tracker auch eine User-Agent-Zeichenkette mit Informationen über das Gerät und die Umgebung des Empfängers. Verwendet die Person ein ungepatchtes Betriebssystem oder einen alten E-Mail-Client mit einer bestimmten Schwachstelle? Heutzutage kann ein großer E-Mail-Versand, der diese User-Agent-Strings zurücksendet, ein effizienter Weg sein, um technische Schwachstellen zu entdecken, die ausgenutzt werden können, um ein ganzes Unternehmen zu gefährden.

Wie groß ist das Problem wirklich? Laut einer Analyse des Threat Intelligence Center von Mimecast enthalten 33 % der E-Mails Bilder, 66 % dieser Bilder enthalten Tracker und etwa 1 % dieser Tracker versuchen, riskante Verhaltensweisen wie den Standort des Nutzers zu ermitteln. Im Jahr 2020 wurden an einem durchschnittlichen Tag etwa 306,4 Milliarden E-Mails gesendet und empfangen. [2] Das bedeutet, dass etwa 667 Millionen E-Mails jeden Tag aufdringliche oder sogar gefährliche Tracker enthalten könnten. Das sind sehr viel mehr E-Mails als mit Malware infizierte Anhänge enthalten.

Spionagetracker in die Schranken weisen

Es gibt eine Möglichkeit, diese Zahl sehr nahe an Null heranzuführen. Verhindern Sie, dass der E-Mail-Tracker eine Verbindung zum Ziel herstellt und zurück zu seinem Ursprungsserver kommuniziert. Dazu muss eine E-Mail mit einem Tracker-Link identifiziert, der mit dem Tracker verknüpfte Zielinhalt heruntergeladen und gehostet und der Link so ersetzt werden, dass er auf den heruntergeladenen Inhalt verweist. Wenn die Nutzer die E-Mails öffnen, sind sie also vollständig vom Ursprungsserver abgeschirmt. Der Tracker kommuniziert nur mit sicheren Kopien der Inhalte.

Die einzige Kommunikation, die der Angreifer sieht, ist der erste Download, und der kommt in der Regel von einer öffentlichen Cloud-IP-Adresse, die nicht einmal als Sicherheitsunternehmen erkennbar ist. Alles, was der Angreifer weiß, ist, dass es keine weitere Kommunikation gegeben hat.

Standardmäßig stoppt Mimecast praktisch alle Tracking-Tracker, einschließlich Marketing-Tracker. Unternehmen können jedoch Tracker von Partnern, Kunden oder anderen Personen auf die Whitelist setzen, wenn sie dies wünschen.

Die Identifizierung von E-Mail-Trackern ist nicht immer einfach. Das Threat Intelligence-Team von Mimecast hat beispielsweise beobachtet, dass böswillige Akteure ihre eigenen DNS-Dienstanbieter hosten und für jeden Tracker ein eigenes DNS-Hosting erstellen. Um Tracking zu verhindern, ist also ein ausgeklügeltes maschinelles Lernen erforderlich, das URLs, Attribute und die Art der Abrufe interpretieren kann.

Andere Ansätze zum Blockieren von E-Mail-Trackern sind in der Regel weniger wirksam. Bei einigen müssen die Unternehmen neue Client-Software installieren. Andere beschränken sich auf die Blockierung von Bildern und ignorieren neuere Tracker, wie die stillen WAVs, oder können Umgehungstechniken wie DNS-Anpassungen nicht erkennen. Darüber hinaus sind sie möglicherweise nicht für mobile Geräte geeignet - eine ziemlich große Lücke. Der BBC-Artikel verweist auf eine Lösung für Verbraucher, bei der die Kunden ihre E-Mail-Adressen ändern müssen, was für Unternehmen nicht praktikabel ist - und in jedem Fall konzentriert sich diese Lösung auf Marketing-Tracker und nicht auf das Problem, böse Akteure an der Aufklärung zu hindern.

Der Ansatz von Mimecast identifiziert und verhindert auch Angriffe in der Aufklärungsphase und generiert so wertvolle Sicherheitsdaten - oft lässt sich feststellen, wer einen Tracker besitzt, wer eine proprietäre Tracking-Technologie entwickelt hat und wer Sie gerade überwacht. Im Laufe der Zeit können diese Informationen über offene APIs mit Sicherheitssystemen von Drittanbietern ausgetauscht werden, so dass Sie mehr Angriffe vorhersehen und schneller reagieren können.

Die Quintessenz

E-Mail-Tracker sind in den Händen von Marketingfachleuten relativ harmlos, werden aber auch häufig von Cyberkriminellen in den frühen Aufklärungsphasen eines Cyberangriffs eingesetzt. Die E-Mail-Sicherheitslösungen von Mimecast stoppen Spy-Tracker standardmäßig und ermöglichen es Unternehmen, die Kill-Chain von Cyberangriffen zu durchbrechen, die sie nutzen.

[1] " Spionagepixel in E-Mails sind endemisch geworden ," BBC News

[2] " Anzahl der gesendeten und empfangenen E-Mails pro Tag weltweit von 2017 bis 2025 ," Statista