Eine neue Social-Engineering-Methode mit dem Namen „Clone-Phishing" wird immer häufiger beobachtet. Der Nutzer erhält eine seriöse E-Mail von einem Unternehmen, das er kennt und dem er vertraut. Anschließend geht die gleiche E-Mail erneut im Postfach ein, nur dass der Absender dieses Mal erklärt, er habe vergessen, zusätzliche Empfänger oder Informationen beizufügen.
Ohne die offensichtlichen Anzeichen von Clone-Phishing zu kennen, wird diese Mails als authentisch empfunden und die Argumentation des Absenders wird arglos akzeptiert. Schließlich geben der Inhalt und der Kontext der E-Mail keinen Anlass zu Misstrauen.
Es stellt sich jedoch heraus, dass diese zweite E-Mail nicht legitim ist, sondern ein Klon der ursprünglichen Nachricht, der dazu verleiten soll, auf einen schadhaften Link zu klicken oder einen maliziösen Anhang herunterzuladen.
Bei dieser Angriffsmethode beschaffen sich die Angreifer Zugang zu einem kompromittierten E-Mail-Konto innerhalb des Unternehmens und nutzen diesen Zugang dann, um Phishing-Mails an andere Mitarbeiter zu senden. So fangen die Hacker eine Nachricht von einem vertrauenswürdigen Absender ab, ersetzen Links oder Anhänge durch Inhalte und senden sie dann erneut an dieselben Empfänger.
Wie Forscher von Vade Secure berichten, werden dabei auch gängige Phishing-Techniken verwendet, um den Anschein der Legitimität aufrechtzuerhalten, wie zum Beispiel die Fälschung von Anzeigenamen.
Im Zuge des Clone-Phishings werden viele verschiedene Täuschungsmethoden verwendet, beispielsweise:
- Aufruf eine Website zu besuchen, um ein Geschenk zu erhalten
- E-Mail vom IT-Support, die vertraulichen Anmeldeinformationen abfragt
- Software-Update per Link in einer Mail
- Imitation eines Anbieters beim Online-Einkauf
Unterschiede zwischen Clone- und Spear-Phishing
Beide Techniken sind effektiv bei der Kompromittierung einer Unternehmensumgebung, aber sie verfolgen dabei unterschiedliche Strategien. So zielt Spear-Phishing auf Nutzer mit hohen Zugangsrechten ab, wie zum Beispiel eine Führungskraft oder einen Netzwerkadministrator. Die Bedrohungsakteure verschaffen sich Zugriff auf sensible Anmeldeinformationen und können diese schließlich an Dritte teuer verkaufen.
Clone-Phishing hat es zwar manchmal auch auf Nutzer mit hohen Rechten abgesehen, aber im Gegensatz zum Spear-Phishing wird hierbei keine beliebige Nachricht verwendet. Es handelt sich eine bekannte Nachricht. Der Text imitiert täuschend echt den Inhalt und die Form der Mail eines regulären Unternehmens.
Diese gefälschte Nachricht kann die Antwort auf eine automatisierte Nachricht sein, die vom Zielunternehmen gesendet wurde, oder es ist der Klon einer offiziellen Nachricht eines Unternehmens, mit dem das Zielunternehmen zusammenarbeitet.
Verteidigung gegen jede Art von Phishing-Angriffen
Zu einer umfassenden Cyber-Sicherheitsstrategie gehören sowohl Technologien, die vor modernen Bedrohungen schützen, als auch bewährte Security Awareness Trainings, die Nutzer eines Netzwerks von einer potenziellen Schwachstelle in eine Stärke verwandeln können.
„Das Wichtigste, was jeder tun kann, um sein Unternehmen zu schützen, ist, alle Mitarbeiter über die Anzeichen einer Phishing-Attacke aufzuklären, somit das Sicherheitsbewusstsein zu stärken und proaktiv solche Betrugsmethoden zu bekämpfen. So kann die Kultur innerhalb einer Organisation, in Bezug auf die Bedeutung von IT-Sicherheit, durch geschulte und aufmerksame Mitglieder sensibilisiert werden und als Ganzes enorm von der gesteigerten Widerstandsfähigkeit profitieren.“, empfiehlt Jelle Wieringa, Security Awareness Advocate bei KnowBe4.