Ein Impersonationsangriff ist ein Versuch, sich unbefugten Zugang zu Informationssystemen zu verschaffen, indem man sich als autorisierter Benutzer ausgibt.
Nach Angaben des Sicherheitsmagazingab es zwischen dem ersten Quartal 2020 und dem ersten Quartal 2021 einen atemberaubenden Anstieg von 131 % bei Whaling und der Nachahmung von Führungskräften. 55 % der Cybersicherheitsexperten gaben an, dass eine Führungskraft in ihrem Unternehmen gefälscht wurde. Diese Angriffe kosteten Unternehmen allein im letzten Jahr 1,8 Milliarden Dollar an Verlusten.
Das Problem ist so allgegenwärtig, dass 1 von 3.226 E-Mails, die eine Führungskraft erhält (einmal alle 24 Tage), ein Versuch ist, sich auszugeben.
In diesem Artikel erfahren Sie alles, was Sie über Imitationsangriffe, ihre Arten, ihre Erkennung und den Schutz Ihres Unternehmens vor ihnen wissen müssen.
Was ist ein Nachahmungsangriff?
Eine Impersonation Attack ist eine Form des Social Engineering, bei der ein Angreifer vorgibt, eine andere Person zu sein, oder sich als ein legitimer Benutzer (oder eine Gruppe von Benutzern) ausgibt, um Zugang zu Informationen zu erhalten, zu denen er nicht berechtigt ist.
Bei dieser Art von Angriffen verwendet der Angreifer häufig Social-Engineering-Techniken, um Informationen über das System und/oder das Ziel zu erlangen, z. B. indem er sich als Mitglied der IT-Abteilung ausgibt und nach Anmeldedaten fragt.
Angriffe durch Nachahmung können persönlich, per Telefon oder online erfolgen. Und sie können katastrophale Folgen haben, wenn sie nicht entdeckt werden.
Wie wird ein Impersonationsangriff durchgeführt?
Bei einem Impersonation-Angriff gibt sich ein böswilliger Akteur als rechtmäßiger Benutzer oder Dienst aus, um Zugang zu geschützten Informationen zu erhalten. Impersonationsangriffe sind einfach auszuführen und können je nach Art der Daten, die der Angreifer zu erlangen versucht, sehr schädlich sein.
Ein Angreifer muss nur genügend Informationen über einen legitimen Benutzer oder Dienst sammeln, um anderen vorzugaukeln, dass sie die sind, für die sie sich ausgeben. Der Angreifer wird dann versuchen, sein Ziel (oder seine Ziele) dazu zu bringen, sensible Informationen preiszugeben, die ansonsten durch Sicherheitsmaßnahmen geschützt wären.
In vielen Fällen nutzen Angreifer E-Mails oder andere Kommunikationsformen, um Angriffe mit falscher Identität zu starten. Sie verschicken E-Mails, in denen sie sich als eine andere Person ausgeben (Spoofing). Dazu gehören auch Phishing-E-Mails mit Links, die Malware auf das System eines ahnungslosen Benutzers herunterladen.
Eine weitere von Angreifern angewandte Methode ist das so genannte Whaling. Dabei wird die Identität eines Managers oder Eigentümers gestohlen und E-Mails verschickt, in denen die Mitarbeiter aufgefordert werden, Geld zu überweisen oder andere sensible Informationen bereitzustellen. Da die E-Mail scheinbar von einer einflussreichen Person stammt, befolgen viele Mitarbeiter die Anweisungen ohne zu fragen.
Wie werden Nachahmungsangriffe geplant?
Um einen Plan für einen Imitationsangriff zu erstellen, müssen die Hacker zunächst Informationen über ihr Ziel sammeln. Dabei werden sie häufig öffentlich zugängliche Informationen wie Profile in sozialen Medien und die öffentlich zugänglichen Informationen auf der Website des Unternehmens verwenden. Die Hacker können diese Informationen nutzen, um eine realistische Persona zu erstellen und mit Mitarbeitern des Zielunternehmens zu interagieren.
Der Hacker kontaktiert die Mitarbeiter mit Methoden, die mit den Erwartungen an diese Persona übereinstimmen. Der Hacker kann E-Mails, SMS oder Anrufe an die Mitarbeiter mit einer gefälschten geschäftlichen E-Mail-Adresse oder Telefonnummer senden, die so weit wie möglich mit der tatsächlichen E-Mail-Adresse oder Telefonnummer des Unternehmens übereinstimmt - der Unterschied ist zwar vorhanden, aber für das bloße Auge fast unsichtbar.
Dies gibt dem Mitarbeiter das Gefühl, dass er mit einer bekannten Person in seinem Unternehmen zu tun hat.
| Hier ist ein Beispiel für E-Mail-Imitation:
accessorystore@mnmail.com accessarystore@mnmail.com Wie Sie oben sehen können, sind die Unterschiede zwischen den beiden E-Mails gering und leicht zu übersehen, vor allem, wenn Sie Hunderte von E-Mails pro Tag erhalten. |
Sobald der Hacker das Vertrauen des Mitarbeiters gewonnen hat, sendet er ihm eine E-Mail, die scheinbar von einer authentischen Unternehmensquelle stammt. Diese E-Mails enthalten oft Links zu Websites, die nach persönlichen Daten fragen oder vom Mitarbeiter eine Aktion verlangen (z. B. das Herunterladen von Dateien). Diese Websites und Dateien sind mit Malware infiziert, die es den Hackern ermöglicht, auf Daten zuzugreifen, persönliche Informationen zu stehlen oder andere Cyberangriffe auf das Unternehmensnetzwerk durchzuführen.
Gefälschte Absenderadressen wie diese werden durch eine strenge DMARC-Richtliniezurückgewiesen, die Sie für Ihre E-Mails nutzen können, um vor Angriffen durch falsche Absender geschützt zu sein.
Einige gängige Angriffstaktiken für Nachahmung
Es gibt verschiedene Möglichkeiten, wie Angreifer versuchen können, sich als Sie oder eine Ihnen bekannte Person auszugeben. Hier sind einige gängige Taktiken:
1. Angriff auf das kostenlose E-Mail-Konto
Der Angreifer nutzt einen kostenlosen E-Mail-Dienst, um Nachrichten von einer E-Mail-Adresse zu versenden, die der des Ziels ähnelt. Diese Taktik kann genutzt werden, um Personen dazu zu bewegen, eine bösartige Website zu besuchen, Malware herunterzuladen oder Informationen wie Passwörter oder Kreditkartennummern zu übermitteln.
2. Angriff auf die Cousin-Domäne
Beim Cousin-Domain-Angriff erstellt der Angreifer eine Website, die nahezu identisch mit der Website Ihrer Bank aussieht, aber beispielsweise auf .com statt auf .org oder .net endet. Von dieser gefälschten Website aus werden dann E-Mails versendet. Wenn Personen auf Links in diesen E-Mails klicken, werden sie auf die gefälschte Website statt auf die Website ihrer echten Bank weitergeleitet.
3. Angriff mit gefälschten Umschlägen
Der Angreifer erstellt eine E-Mail mit einer Absenderadresse, die von einem bekannten Unternehmen zu stammen scheint, z. B. "payments@apple.com". Da diese Adresse legitim aussieht, umgeht sie die Filter der meisten Mailserver. Der Angreifer zielt dann mit seiner Nachricht auf die Opfer ab und verleitet sie dazu, auf Links zu klicken oder Anhänge zu öffnen, über die Malware ihren Computer infizieren kann.
4. Fälschungsangriff auf den Absender des Headers
Ein Header-Absender-Angriff ist eine Art von E-Mail-Spoofing, bei dem Personen vorgetäuscht wird, dass eine Nachricht von einer anderen Person als der tatsächlichen Quelle gesendet wurde. Bei dieser Art von Angriff wird das Feld "Absender" in der Kopfzeile einer E-Mail so verändert, dass es eine andere Adresse enthält als die, von der die Nachricht tatsächlich stammt. Dies kann entweder durch Änderung der Felder "Von:" oder "Rücksendepfad:" oder beider geschehen. Das Ziel dieser Angriffe ist es, den Anschein zu erwecken, dass eine E-Mail von einer anderen Person - z. B. einem Geschäftspartner oder Freund - gesendet wurde, um die Empfänger dazu zu bringen, Nachrichten von einer ihnen bekannten Person zu öffnen.
5. Angriff auf ein kompromittiertes E-Mail-Konto
Bei diesem Angriff verschafft sich ein Angreifer Zugang zu einem legitimen E-Mail-Konto und verwendet dieses Konto dann, um E-Mails und Nachrichten an andere Personen im Unternehmen zu senden. Der Angreifer kann vorgeben, ein Mitarbeiter mit besonderen Kenntnissen oder Befugnissen zu sein, oder er kann sich als eine andere Person ausgeben, die über besondere Kenntnisse oder Befugnisse verfügt.
6. CEO-Betrugsangriff
Bei diesem Angriff geben sich die Angreifer als Geschäftsführer eines Unternehmens aus und versuchen, Mitarbeiter oder Kunden davon zu überzeugen, dass sie Zugang zu vertraulichen Informationen benötigen. Die Angreifer verwenden häufig Social-Engineering-Techniken wie Phishing-E-Mails oder Telefonanrufe, die den Anschein erwecken, als ob sie von der IT-Abteilung Ihres Unternehmens anrufen würden. Sie verwenden oft eine branchen- oder unternehmensspezifische Sprache, um legitim und vertrauenswürdig zu wirken, während sie nach vertraulichen Informationen wie Passwörtern oder Kreditkartennummern fragen.
7. Man-in-the-Middle-Angriff (MITM)
Bei dieser Art von Angriff fängt der Angreifer Ihre Kommunikation mit einem legitimen Dienst ab und leitet sie dann an den legitimen Dienst weiter, als ob sie von Ihnen stammen würde. Auf diese Weise kann der Angreifer Ihre Kommunikation abhören, sie verändern oder ganz verhindern.
Wie erkenne ich einen Angriff durch Nachahmung?
Ein Gefühl der Dringlichkeit:Der Angreifer kann den Empfänger durch einen dringenden Ton in seinen E-Mails dazu drängen, sofort zu handeln (z. B. eine sofortige Überweisung zu veranlassen, da sonst sein Konto dauerhaft gesperrt wird). Dadurch werden die Opfer unter Druck gesetzt, ohne nachzudenken zu handeln.
Vertraulichkeit: Der Angreifer kann darauf hinweisen, dass die Informationen, um die er bittet, vertraulich behandelt werden sollten, und damit andeuten, dass ihre Offenlegung ernsthafte Folgen haben könnte.
Aufforderung zur Weitergabe vertraulicher Informationen: Der Angreifer kann Sie nach Informationen fragen, die nur Ihre Bank kennt, z. B. Ihre Kontonummer oder Ihr Passwort. Er kann Sie auch auffordern, Ihre Unternehmensdaten mitzuteilen, zu denen nur Sie Zugang haben. Dies würde es ihnen wiederum ermöglichen, auf die Datenbanken Ihres Unternehmens zuzugreifen und sensible Informationen preiszugeben.
Geänderte E-Mail-Adressen: Wenn Sie beispielsweise eine E-Mail von jemandem erhalten, der vorgibt, von "Amazon" zu sein, und Sie auffordert, sich anzumelden und Ihre Kontodaten zu aktualisieren, die E-Mail-Adresse aber in Wirklichkeit "amaz0n@gmail.com" lautet, könnte es sich um einen Identitätsdiebstahl handeln.
Schlecht geschriebene E-Mails: Phishing-E-Mails sind schlecht geschrieben und enthalten häufig Rechtschreib- und Grammatikfehler, da sie in der Regel massenhaft erstellt werden.
Vorhandensein von bösartigen Links oder Anhängen: Bösartige Links und Anhänge sind eine gängige Methode, um einen Imitationsangriff durchzuführen. Diese Art von Angriffen lässt sich durch das Vorhandensein von:
- Links, die in einer neuen Registerkarte statt in der aktuellen Registerkarte geöffnet werden.
- Anhänge mit seltsamen Titeln oder Dateierweiterungen (wie "attachment" oder ".zip").
- Anhänge, die eine ausführbare Datei (wie .exe) enthalten.
Schutz vor Nachahmung
1. Die Unternehmen müssen sich darüber im Klaren sein, dass Schulungen zur Cybersicherheit unerlässlich sind, um sich vor dieser Art von Angriffen zu schützen. Die Schulung sollte umfassen:
- Wie Angreifer sich als Benutzer ausgeben und Zugang zu Systemen erhalten können
- Wie Sie Anzeichen dafür erkennen, dass jemand versucht, sich als Sie auszugeben, damit Sie Maßnahmen ergreifen können, bevor ein Schaden entsteht
- Wie präventive Kontrollen wie die Zwei-Faktor-Authentifizierung dazu beitragen können, unbefugte Zugriffsversuche von Personen zu verhindern, die versuchen, sich als Sie auszugeben
2. Die E-Mail-Domäne des Unternehmens sollte auch gegen Imitationsangriffe geschützt werden. Dies bedeutet, dass strenge Richtlinien für die Registrierung neuer Domänen und Konten in Ihrem Unternehmen gelten und dass verfolgt werden muss, wer Zugang zu den einzelnen Konten hat, damit sie bei Bedarf entfernt werden können.
3. Wenn Sie ein E-Mail-Konto für Ihr Unternehmen einrichten, achten Sie darauf, dass es eine Domäne verwendet, die spezifisch für Ihr Unternehmen ist. Verwenden Sie nicht "@gmail" oder "@yahoo", da diese Domänen zu allgemein sind und von jedem verwendet werden könnten, der sich als Sie ausgeben möchte. Verwenden Sie stattdessen etwas wie "@IhrGeschäftsnamehier.com", wobei Ihr Firmenname anstelle von "IhrGeschäftsnamehier" steht. Wenn jemand versucht, sich als Sie auszugeben, indem er eine E-Mail von einer anderen E-Mail-Adresse sendet, wird ihm niemand glauben, weil er weiß, welcher Domänenname zu Ihrem Unternehmen gehört.
4. Unternehmen müssen die Implementierung von E-Mail-Sicherheitslösungen in Betracht ziehen, wie z. B. einen DMARC-Analysator in Erwägung ziehen, die verhindern, dass falsche Domänen E-Mails mit verdächtigen Anhängen oder Links (wie Phishing-E-Mails) durch Authentifizierung zustellen.
Möchten Sie rund um die Uhr Schutz vor Nachahmung? PowerDMARC ist ein Anbieter von E-Mail-Authentifizierungslösungen und bietet Dienstleistungen an, die es Unternehmen ermöglichen, ihre E-Mail-Kommunikation zu sichern. Wir helfen Ihnen, den Ruf Ihrer Domain zu verwalten, indem wir sicherstellen, dass nur E-Mails von autorisierten Absendern über gesicherte Gateways zugestellt werden, und schützen sie gleichzeitig vor Spoofing durch Cyberkriminelle und Phisher.
