Cybersecurity : Corona-Phishing explodiert
Cyber-Kriminelle nutzen gerne Standard-Phishing-Vorlagen. Diese werden jetzt an die aktuelle Lage angepasst, beobachtet der Security-Anbieter KnowBe4: "Wir beobachten eine massive Kampagne von Coronavirus-bezogenen Phishing-Mails", sagt Eric Howes, leitender Sicherheitsforscher bei KnowBe4.
COVID-19 Phishing-Mails sind demnach bisher in drei aufeinander folgenden Wellen versendet worden. Die erste Welle brachte Phishing-Angriffe mit grundlegenden Informationen über die Pandemie sowie Spam-/Schwindel-E-Mails, die fragwürdige Produkte und Dienstleistungen anpreisen. Viele davon schienen von Organisationen wie der Weltgesundheitsorganisation (WHO) und den US-amerikanischen Centers for Disease Control zu kommen. Diese erste Welle begann bereits im Februar und lief nach Beobachtungen von KnowBe4 bis Anfang März und lief nach bekannten Mustern ab: Auf den geklickten Links wartete manchmal Malware, meist aber "nur" der Versuch, Daten von unvorsichtigen Usern abzugreifen, die bereit waren persönliche Informationen preiszugeben oder gar Fake-Produkte zu kaufen.
Die zweite Welle brachte neuartige Phishing-Angriffe mit sich, bei denen Cyberkriminelle versuchten, Nutzer dazu zu bringen, sich zu schadhaften Inhalten durchzuklicken. Hier beobachtete Eric Howes bereits ein deutlich engagierteres und experimentierfreudigeres Vorgehen der Angreifer. Eine Vielzahl an verschiedenen Szenarien, in die die Angreifer bereits deutlich mehr Informationen über COVID-19 verpackt hatten, wurde entwickelt. Doch diese Welle hielt nur wenige Tage an, bereits Mitte der Vorwoche, ab dem 18. März, kam eine weitere Kampagne in die Mailboxes.
Diese dritte dritten Welle, so berichten die KnowBe4-Sicherheitsforscher, entwickelte die bisher verwendeten Phishing-Standardvorlagen nun zu Coronavirus-bezogene Phishing-Betrügereien. Neben gefälschten Informationen die angeblich von Gesundheitsorganisationen stammen, täuschen die Cyberkriminellen ihre Opfer auch mit Informationen über angebliche Bankenschließungen. Eric Howe: "Die Angreifer haben ihr Repertoire nochmal erweitert und greifen dabei auf alte Phishing-Muster zurück. Es zeigt sich, dass der Coronavirus sich nahezu perfekt an fast jede seit Jahrzehnten bekannte Phising-Kampagne anpassen lässt, die erfahrene IT-Experten schon überwunden glaubten."
Dabei geht es zum Beispiel um Filesharing-Dienst, die von Mitarbeitern im Home-Office notgedrungen viel genutzt werden und über die angeblich brandaktuelle "Corona-News" an die Mitarbeiter daheim verteilt werden. Fake-Login-Sites im Design bekannter Filesharing-Plattformen sind hier die beliebteste Methode, sich Zugang zu den Computern der Betroffenen zu verschaffen.
Ein andere Angriffsstrategie geht sogar noch einen Schritt weiter und nutzt die Angebote zu sicherem Dokumentenaustausch, die in vielen Unternehmen üblich sind. User werden gebeten, einen "Sicherheitscode" einzugeben um Zugangn zu den "Secure Docs" zu bekommen. Auch gefakte Bestellungen und Rechnungen, die von Kunden oder Lieferanten kommen, werden genutzt. Sogar gefälschte Einladungen zu Online-Meetings oder Videokonferenzen sind im Umlauf, per Mail verschickte Voicemails von angeblichen Kollegen, dringende Informationen aus der Personalabteilung und sogar der Klassiker CEO-Fraud wurde von KnowBe4 unter dem Deckmantel der Coronavirus-Ausnahmesituation entdeckt.
Die Vorgangsweise der letzten Tage ist selbst für den Anbieter der weltweit größten integrierten Plattform für Security Awareness Training und Phishing Simulationen neu: „So etwas habe ich noch nie gesehen“, sagt Eric Howes: „Die Cyberkriminellen, die zuvor keine Coronavirus-bezogenen Phishing-Betrügereien betrieben, haben sich jetzt auf diese Art von Betrug regelrecht eingeschossen. Da die Mehrheit der Mitarbeiter weltweit nun von zu Hause aus arbeitet, sollten sie alle besonders wachsam sein, wenn sie auf Links klicken und Anhänge von E-Mails herunterladen. Vor allem sollten sie auf der Hut sein, wenn die E-Mail-Betreffzeile mit dem Coronavirus in Verbindung steht."
Mehr und detailliertere Informationen über die Angriffe auf dem KnowBe4-Blog hier.