Blog

Clone Phishing - Die kaum erkennbare Kopie einer legitimen E-Mail

/ Kategorie: Security Awareness

Die Anzahl der Clone Phishing Attacken nimmt zu. Diese perfide Angriffsart ist häufig erfolgreich, weil Nutzer eine E-Mail von einem Absender erhalten, den sie kennen und dem sie vertrauen. Ein Klick auf die bösartigen Anhänge genügt, um im Worst Case massiven Schaden anzurichten. Unternehmen sollten Massnahmen setzen, um sich vor dieser Social-Engineering-Methode zu schützen.

ISPIN Blog - Clone Phishing

Clone Phishing ist eine Betrugsmasche, bei der Cyberkriminelle eine legitim erscheinende E-Mail oder Nachricht duplizieren (klonen) und diese dann mit gefälschten Absenderinformationen versenden. Die Cyberkriminellen nutzen in der Regel eine E-Mail-Adresse oder einen Social-Media-Account, der dem Opfer bereits bekannt ist. Sie kopieren die Originalnachricht und fügen ihr einen gefälschten Link oder Anhang hinzu. Die Zielperson wird durch die Ähnlichkeit der Nachricht getäuscht und glaubt, dass die Nachricht von einer vertrauenswürdigen Person oder Organisation stammt. Wenn sie den gefälschten Link anklickt oder die angehängte Datei öffnet, erhalten die Cyberkriminellen Zugang.

Hohe Glaubwürdigkeit, kein Verdacht

Clone Phishing ist eine besonders effektive Art des Phishings, weil sie ein bereits bewährtes und vertrauenswürdiges E-Mail-Template ohne unmittelbar erkennbare Veränderungen kopiert. Dadurch erscheint die gefälschte E-Mail dem Opfer sehr vertraut und es schöpft keinen Verdacht. Ein klassisches, sehr häufiges Beispiel: Clone Phishing Mails versuchen, die Mitteilungen einer seriösen Bank oder eines anderen Finanzinstituts zu imitieren. Diese Mails sehen oftmals genauso aus wie eine echte Mail von der betreffenden Bank, mit dem gleichen Logo und demselben Layout. Häufig wird sogar in der Betreffzeile der Name der Bank erwähnt. Die Absenderadresse dieser Mails sieht dann zudem so aus, als wäre sie tatsächlich von der angegebenen Bank.

Benutzer mit hohen Rechten bevorzugt

Clone Phishing ist für die Angreifer relativ einfach umzusetzen. Sie müssen lediglich eine beliebige E-Mail-Kommunikation abfangen und dann eine Kopie dieser Nachricht erstellen. Die Kopie kann dann mit gefälschten Absenderinformationen versehen werden, sodass sie dem Opfer so erscheint, als stamme sie von einer vertrauenswürdigen Quelle. Wenn das Opfer die gefälschte E-Mail öffnet und auf den enthaltenen Link oder Anhänge klickt, gelangt es auf eine gefälschte Website oder wird dazu aufgefordert, etwas herunterzuladen. Häufig sind es Benutzer mit hohen Rechten, die bei diesen Angriffen zur Zielscheibe werden. Sie sind attraktive Opfer für Cyberkriminelle, da sie aufgrund ihrer umfassenden Berechtigungen Zugang zu mehr sensiblen Informationen haben.

Wie unterscheidet sich Clone Phishing von Spear Phishing?

Beide Phishing-Arten sind sich sehr ähnlich. Beide zielen häufig auf Benutzer mit hohen Rechten, z. B. Führungskräfte, den Leiter der Buchhaltung oder der Personalabteilung oder einen Netzwerkadministrator, ab. Spear Phishing Angriffe erfolgen in der Regel sehr gezielt und die Nachrichten enthalten oft persönliche oder unternehmensspezifische Informationen, die die Empfänger dazu verleiten sollen, auf die Anfrage oder die gefälschte Website zu reagieren. Eingesetzt werden dafür aber beliebe Mails, nicht geklonte. Im Unterschied dazu werden beim Clone Phishing bekannte Mails von bekannten Unternehmen bzw. Absendern genutzt und verändert.

Wie kann man geklonte Phishing Mails erkennen?

Gut gemachte Clone Phishing Mails sind schwer zu erkennen. Es gibt jedoch einige Anzeichen, auf die Sie achten können:

  1. Die E-Mail sieht genau wie eine E-Mail von einem vertrauten Absender aus, aber etwas an der E-Mail ist merkwürdig. Zum Beispiel kann der Absender-Name falsch geschrieben sein oder die Betreffzeile der E-Mail ist ungewöhnlich.
  2. Die E-Mail enthält einen Link zu einer Website, die nicht mit dem legitimen Absender der E-Mail übereinstimmt. Oder der Link in der E-Mail führt zu einer gefälschten Website, die der des legitimen Absenders sehr ähnlichsieht.
  3. In der E-Mail wird dazu aufgefordert, persönliche oder sensitive Informationen wie Login-Daten oder Kreditkarteninformationen einzugeben. Legitime Unternehmen bitten Sie niemals per E-Mail darum, solche Informationen preiszugeben.
  4. Seien Sie vorsichtig mit Aufforderungen zur dringenden Handlung: In vielen Fällen versuchen Phishing-Angriffe, Sie dazu zu bringen, ohne nachzudenken zu handeln. Seien Sie also misstrauisch gegenüber Nachrichten mit dramatischen Betreffzeilen oder Inhalten und solchen, die dringende Handlungsaufforderungen enthalten. Nehmen Sie sich immer Zeit, um Nachrichten sorgfältig zu lesen und zu prüfen, bevor Sie irgendwelche Aktionen ausführen.

Wirksame Schutzmassnahmen

Die beste Möglichkeit, Ihr Unternehmen vor Clone Phishing zu schützen, besteht darin, Ihren Mitarbeitenden bewusst zu machen, was Clone Phishing ist und wie sie sich davor schützen können. Dazu gehört auch, dass sie wissen, wonach sie in einer E-Mail oder Nachricht suchen sollen, die möglicherweise ein Versuch ist, sie zu täuschen. Darüber hinaus sollten Sie weitere Schutzmassnahmen durchführen. Dazu gehören:

  1. Identifizieren Sie Clone Phishing-anfällige Konten und Bereiche
    Zunächst sollten Sie herausfinden, welche Konten am anfälligsten für Clone Phishing sind. Dazu gehören sowohl externe E-Mail-Konten wie Gmail und Yahoo als auch interne Exchange- oder Office 365-Konten. Bereiche, in denen besonders sensible Informationen gespeichert werden, sollten ebenfalls identifiziert werden. Dies können zum Beispiel Unternehmensfinanzdaten, Kundendaten oder geheime Forschungsprojekte sein.
  2. Setzen Sie E-Mail-Filter ein
    E-Mail-Filter sind ein wesentlicher Bestandteil eines erfolgreichen Clone Phishing Schutzprogramms. Ein effektiver Filter kann Phishing-E-Mails erkennen und blockieren, bevor sie den Empfänger erreichen. Die Filterung von E-Mails basiert auf verschiedenen Kriterien, z.B. dem Absender, dem Inhalt der E-Mail oder auch der IP-Adresse des Absenders.
  3. Sorgen Sie für sichere Verbindungen zu Websites
    Sorgen Sie dafür, dass sichere Verbindungen zu Websites und E-Mail-Providern hergestellt werden. Dazu gehört die Verwendung von SSL/TLS-Zertifikaten, die eine starke Kryptographie verwenden. Darüber hinaus sollten Unternehmen regelmässig ihre Zertifikate überprüfen und aktualisieren, um sicherzustellen, dass sie nicht abgelaufen sind oder anderweitig schwach sind.
  4. Aktivieren Sie automatische Updates
    Die IT-Abteilung sollte die Einstellungen für automatische Updates aktivieren, um sicherzustellen, dass alle Software auf dem neuesten Stand ist. Viele Schwachstellen in Software werden mit Updates behoben. Halten Sie vor allem Ihre Firewall und Anti-Virus-Software aktuell. Firewalls filtern den Datenverkehr und blockieren bösartige Verbindungsversuche. Anti-Virus-Software identifiziert und entfernt Viren und andere bösartige Software von Computern und Netzwerken. Beide Programme sollten regelmässig aktualisiert werden, um sicherzustellen, dass sie die neuesten Bedrohungen erkennen und blockieren können.
  5. Erstellen Sie sichere Passwörter und verwenden Sie 2FA
    Passwörter sollten mindestens 8 Zeichen lang sein und sowohl Buchstaben als auch Zahlen enthalten. Sie sollten Ihre Passwörter regelmässig ändern und niemals dasselbe Passwort für mehrere Konten verwenden. So stellen Sie sicher, dass, falls eines Ihrer Passwörter gestohlen wird, Angreifer nicht Zugang zu all Ihren Konten erhalten. Zudem sollten Sie Two-Factor Authentication (2FA) nutzen. 2FA erfordert neben dem Eingeben eines Kennworts auch die Eingabe einer zeitbasierten Einmalpassphrase (TOTP), die vom Server generiert wird. Dies erschwert es potenziell böswilligen Akteuren sehr stark, unbefugt auf geschützte Ressourcen zuzugreifen.

Zusammen. Sicher.

Clone Phishing ist eine ernstzunehmende Bedrohung für Unternehmen. Riskieren Sie nichts, denn der Schaden kann enorm ausfallen. Sichern Sie Ihr Unternehmen gegen diese perfide Form des Angriffs ab. Unsere erfahrenen Cybersecurity-Experten unterstützen Sie dabei gerne. Kontaktieren Sie uns, wenn Sie Beratung und Hilfe benötigen. 

 

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.