0361 / 775 195 00 info@asoftnet.de

Spear-Phishing-Analyse beleuchtet E-Mail-Account-Übernahme

Spear-Phishing-Analyse beleuchtet E-Mail-Account-Übernahme
Mehr als ein Drittel der Angreifer treiben einer Studie zufolge länger als eine Woche ihr Unwesen in von ihnen gehackten E-Mail-Accounts.

 

 

159 E-Mail-Konten von 111 Organisationen haben Sicherheitsforscher von Barracuda und der Universität von Berkeley untersucht, um mehr über den Lebenszyklus gehackter E-Mail-Accounts herauszufinden. Die Forscher wollten wissen, wie die Konten übernommen wurden, wie lange die Hacker im gehackten Account verweilten und welche Informationen zu welchen Zwecken sie dort erbeuten konnten. Unter anderem entdeckte das Forschungsteam eine Aufgabenspezialisierung, wie man sie auch aus anderen Bereichen der kriminellen Internetwirtschaft kennt.

So machten die Forscher zwei Kategorien von Angreifern aus: In ungefähr der Hälfte der Fälle sind die Angreifer auch die Nutzer der erbeuteten Konten. Bei 31 Prozent jedoch handelt es sich dabei um verschiedene Personen. In diesen Fällen sind die Angreifer auf das Erbeuten der E-Mail-Accounts spezialisiert. Sie verkaufen diese Zugriffe an eine zweite Gruppe von Kriminellen, die mit dem kompromittierten Account dann Geld verdient.

 

Gefahr durch belauschte Konversation

Von sieben Prozent der untersuchten Konten wurden Phishing-Mails abgesetzt, bei den restlichen 93 Prozent schien das nicht der angestrebte Zweck zu sein. Mit den Informationen der kompromittierten Konten ist es allerdings möglich, eine Domain zu imitieren und Conversation-Hijacking-Angriffe zu starten. Bei solchen Angriffen können sich die Hacker in bestehende Mail-Konversationen einklinken oder auch neue Mailwechsel auf der Grundlage der ausgespähten Informationen beginnen.

Häufig ist Conversation-Hijacking Teil der Übernahme eines Mailkontos (“Account Takeover”). Damit sind die Kriminellen in der Lage, bekannte Firmenmarken zu imitieren oder via Social Engineering und Phishing Anmeldedaten zu stehlen und dauerhaft auf den Account zuzugreifen. Durch Überwachen und Verfolgen der Aktivitäten erbeuten sie unternehmenskritische Informationen beispielsweise zu verwendeten Signaturen, Geschäftsabläufen, Handhabung von Finanztransaktionen et cetera. Die so erbeuteten Informationen lassen sich verkaufen oder selbst missbrauchen.

Dass ein Teil der Angreifer es auf ein längeres Ausspähen abgesehen hat, belegt auch die Dauer der Angriffe auf die untersuchten Accounts: Bei ungefähr der Hälfte (49 Prozent) zogen sich die Angreifer nach weniger als 24 Stunden zurück. Jedoch verweilte mehr als ein Drittel von ihnen (37 Prozent) mindestens eine Woche und trieb sein Unwesen. Der zusammenfassende Bericht zu den Bedrohungen durch kompromittierte E-Mailkonten ist gegen Abgabe von Daten auf der Webseite von Barracuda erhältlich, der ausführliche Bericht der Uniforscher ist auf den Seiten der UC Berkeley verlinkt.

 

https://www.heise.de/news/Spear-Phishing-Analyse-beleuchtet-E-Mail-Account-Uebernahme-4855988.html