E-Mail-Impersonation ist eine Phishing-Technik, bei der eine gefälschte E-Mail-Adresse verwendet wird, die wie eine legitime aussieht. Die Angreifer erstellen E-Mail-Adressen und Absendernamen mit leichten Abweichungen, um die Benutzer davon zu überzeugen, dass die Nachricht echt ist. Sie können sich als Mitarbeiter, Lieferanten oder Geschäftspartner des Zielunternehmens ausgeben und den Benutzer dazu bringen, sensible Informationen wie geistiges Eigentum oder Gehaltsabrechnungsdaten preiszugeben, Geld zu überweisen oder seine Anmeldedaten auf einer betrügerischen Website einzugeben, um seine Anmeldedaten zu stehlen (Credential Harvesting).
Die Verwendung von E-Mail-Identitäten ist besonders häufig in:
- Kompromittierung von Geschäfts-E-Mails (der Cyberkriminelle gibt sich als Unternehmen aus)
- CEO-Betrug (der Kriminelle gibt sich als Unternehmensleiter aus)
- Whaling (der böse Akteur hat es auf eine hochrangige Führungskraft abgesehen)
E-Mail-Impersonation vs. E-Mail-Spoofing
Obwohl die beiden Taktiken verwandt sind, sind sie nicht ganz dasselbe. Bei der E-Mail-Impersonation erstellt der Cyberkriminelle eine Adresse, die wie die echte aussieht. Der Empfänger der E-Mail kann beispielsweise eine Adresse sehen, die wie customerservice@wells.farg0.com aussieht, die einer echten Wells Fargo-Adresse so ähnlich ist, dass sie legitim erscheint.
Beim Spoofing ändert der Angreifer die Kopfzeile der E-Mail so, dass die Nachricht eine falsche E-Mail-Adresse anzeigt. Die Adresse des Cyberkriminellen könnte z. B. JosephHarris@yahoo.com lauten, aber der Benutzer sieht CustomerService@CapitalOne.com in seinem Posteingang.
Arten der E-Mail-Identifizierung
1. Root Domain-Based Impersonation
Die meisten Unternehmen haben eine eindeutige Stammdomäne, die in jeder Firmen-E-Mail erscheint. Einige Beispiele sind info@microsoft.com oder customerservice@capitalone.com. In diesen Beispielen sind "microsoft" und "capitalone" die Root-Domains. Bei der Root-Domain-Impersonation erstellen Cyberkriminelle Root-Domains, die wie diese legitimen Domains aussehen, indem sie Ersatzzeichen verwenden. Bei genauem Hinsehen kann ein Leser eine geringfügige Änderung erkennen, z. B. einen Buchstaben, der in eine Zahl umgewandelt wurde.
2. Top-Level Domain-Based Impersonation
Die Top-Level-Domain ist der Teil, der ein Land oder die Art der Organisation auf einer Website oder in einer E-Mail-Adresse angibt. Einige gängige Top-Level-Domains sind:
- .edu: Bildungseinrichtung
- .org: Gemeinnützige Organisation
- .com: Business
- .gov: U.S. Regierungsbehörde
- .uk: Unternehmen mit Sitz in Großbritannien
- .de: Deutsches Unternehmen
- .au: Australisches Unternehmen
Einige gefälschte E-Mail-Adressen sehen legitim aus, aber die Top-Level-Domänen sind anders. So kann die E-Mail-Adresse beispielsweise auf die Domäne eines anderen Landes oder einer anderen Art von Institution enden. Die Adresse sieht so ähnlich aus, dass viele Menschen dies nicht bemerken.
3. Subdomain-basierte Impersonation
Die meisten E-Mail-Adressen haben keine Subdomain, so dass diese Art der Nachahmung weniger häufig vorkommt. Es gibt zwei Möglichkeiten, wie ein Cyberkrimineller die Subdomain nutzen kann, um eine falsche E-Mail-Adresse zu erstellen. Eine davon ist das Vertauschen von Domäne und Subdomäne. Anstatt info@mail.microsoft.com zu schreiben, könnte der Cyberkriminelle beispielsweise eine Adresse erstellen, die info@microsoft.mailerinfo.com lautet, was zwar legitim aussehen mag, aber nicht die tatsächliche Unternehmens-E-Mail oder Subdomäne ist. In diesem Fall ist "microsoft" die Subdomäne und "mailerinfo" die Domäne. Eine andere Methode besteht darin, den Namen des Unternehmens auf eine Subdomäne und eine Domäne aufzuteilen, wie bei info@micro.soft.com.
4. Anzeige der Namensidentität
Der Anzeigename bezieht sich auf die Art und Weise, wie ein E-Mail-Programm den Namen des Absenders anzeigt. Wenn jemand ein E-Mail-Konto einrichtet, wählt er aus, wie die Empfänger seinen Anzeigenamen sehen sollen. Der Name muss nicht immer mit dem Benutzernamen des Kontos übereinstimmen. Der Benutzername könnte beispielsweise cmclinton123@outlook.com lauten, aber der Anzeigename sieht für die Leser aus wie "Microsoft Customer Services", wenn dies der Anzeigename ist, den der Cyberkriminelle bei der Einrichtung seines Kontos gewählt hat.
Einige bekannte E-Mail-Plattformen zeigen den Empfängern nur den Anzeigenamen an. Die Person, die die E-Mail erhält, sieht die tatsächliche E-Mail-Adresse nicht, es sei denn, sie sucht bewusst danach. Auf diese Weise lässt sich leicht feststellen, wer einen Empfänger kontaktiert, aber es macht es Angreifern auch leicht, einen Anzeigenamen vorzutäuschen.
5. Benutzername: Impersonation
Das Ausgeben eines Benutzernamens ist eine der am wenigsten ausgeklügelten Formen des Betrugs, aber nichtsdestotrotz können ahnungslose Empfänger zu Opfern werden. In diesem Fall erstellt der Cyberkriminelle ein E-Mail-Konto mit einem Namen, der wie die E-Mail-Adresse einer anderen Person aussieht. Sie können Yahoo oder andere kostenlose E-Mail-Plattformen verwenden, um diese Adressen zu erstellen. Wenn ein Unternehmen beispielsweise eine Führungskraft hat, deren E-Mail-Adresse Jennifer.Thompson@AceManufacturing.com lautet, kann ein Krimineller eine Adresse erstellen, die Jennifer.ThompsonAce@yahoo.com lautet.
Wie man sich vor E-Mail-Imitationsangriffen schützt
Da E-Mails nach wie vor das wichtigste Kommunikationsmittel für Unternehmen sind, ist es wichtig, sich vor Imitationsangriffen zu schützen und E-Mail-Sicherheitsrisiken zu minimieren. Unternehmen, die einen umfassenden Schutz gewährleisten wollen, sollten sich auf Sensibilisierungsschulungen für Mitarbeiter und maschinenintelligente Sicherheitslösungen konzentrieren, die E-Mails mit Imitationen stoppen, bevor sie die Posteingänge der Mitarbeiter erreichen.
Schulung zur Sensibilisierung der Mitarbeiter
Die Sensibilisierung der Mitarbeiter ist entscheidend für die Verhinderung von E-Mail-Angriffen. Diese werden immer raffinierter, und es kann für die Mitarbeiter schwierig sein, sie zu erkennen. Schulungen zum Sicherheitsbewusstsein können dieses Problem lösen.
Diese Schulung sollte detailliert und auf die Bedürfnisse eines Unternehmens zugeschnitten sein. Sie kann den Mitarbeitern helfen, die offensichtlichen Anzeichen einer E-Mail-Imitation zu erkennen:
- inauthentische Domänen oberster Stufe
- Verwendung einer Subdomain zur Imitation der Hauptdomain eines Unternehmens
- falsche Anzeigenamen
- falsche Benutzernamen
- Ersatzzeichen in der Root-Domäne
Neben diesen Anzeichen für E-Mail-Imitationen sollten Mitarbeiter auch lernen, auf Anzeichen für Social Engineering zu achten. Ein häufiges Anzeichen ist die "dringende" E-Mail, die zum sofortigen Handeln auffordert.
Intellignte E-Mail-Sicherheitslösungen
Der Einsatz von intelligente E-Mail-Sicherheitslösungen sollte Teil jeder umfassenden Cybersicherheitsstrategie sein. Die Sensibilisierung der Mitarbeiter kann nur bis zu einem gewissen Grad erfolgen. Herkömmliche sichere E-Mail-Gateways sind ein Anfang, aber sie reichen nicht aus, um Unternehmen vor gezielten und ausgeklügelten Angriffen zu schützen. Maschinenintelligente E-Mail-Sicherheitslösungen bieten Unternehmen die bestmögliche Chance, E-Mail-Impersonationsangriffe zu erkennen und zu stoppen. Diese Lösungen verstehen den lokalen Kontext, die Kommunikationsbeziehungen und das Verhalten innerhalb einer Organisation und können die feinen Unterschiede erkennen, die E-Mail-Impersonation kennzeichnen.
Um zu erfahren, wie die maschinenintelligente Software von xorlab Ihr Unternehmen vor E-Mail-Imitationsangriffen schützen kann, fordern Sie noch heute eine Demo an.
