Automatisierte Regeln für den E-Mail-Posteingang sind eine nützliche und vertraute Funktion der meisten E-Mail-Programme. Sie helfen bei der Verwaltung des Posteingangs und der täglichen Flut an erwünschten und unerwünschten Nachrichten, indem sie es ermöglichen, E-Mails in bestimmte Ordner zu verschieben, sie bei Abwesenheit an Kollegen weiterzuleiten oder sie automatisch zu löschen.
Haben Angreifer jedoch ein Konto kompromittiert, können sie Posteingangsregeln missbrauchen, um weitere Angriffe zu tarnen, indem sie zum Beispiel Informationen mittels Weiterleitung unbemerkt aus dem Netzwerk schleusen, sicherstellen, dass das Opfer keine Sicherheitswarnungen sieht, und bestimmte Nachrichten löschen. Auch wenn die E-Mail-Security sich weiterentwickelt und der Einsatz von maschinellem Lernen es einfacher gemacht hat, verdächtige Posteingangsregel-Erstellungen zu erkennen, setzen Angreifer diese Technik weiterhin erfolgreich ein.
Da hierfür ein kompromittiertes Konto erforderlich ist, sind die Gesamtzahlen dieser Bedrohung vermutlich niedrig, dennoch stellt sie eine ernsthafte Bedrohung für die Integrität der Daten und Vermögenswerte eines Unternehmens dar – nicht zuletzt, weil die Regel-Erstellung durch einen Angreifer eine Technik ist, die nach der Kompromittierung erfolgt, was bedeutet, dass er sich bereits im Netzwerk befindet und sofortige Gegenmaßnahmen erforderlich sind.
Dr. Klaus Gheri, VP & GM Network Security bei Barracuda Networks beleuchtet im Folgenden, wie Angreifer automatisierte E-Mail-Regeln missbrauchen und wie sich Unternehmen effektiv schützen können.
E-Mail ist ein primärer Angriffsvektor
E-Mail-basierte Angriffe haben eine hohe Erfolgsquote und sind ein gängiger Einstiegspunkt für viele weitere Cyberangriffe. Eine Untersuchung von Barracuda ergab, dass 75 Prozent der weltweit befragten Unternehmen im Jahr 2022 mindestens eine Sicherheitsverletzung per E-Mail verzeichnet haben. Diese Angriffe reichen von einfachen Phishing-Angriffen und bösartigen Links oder Anhängen bis hin zu ausgefeilten Social-Engineering-Techniken wie Business Email Compromise (BEC), Conversation Hijacking und Account Takeover. Einige der fortschrittlichsten Arten sind mit bösartigen E-Mail-Regeln verbunden.
Wie Angreifer automatisierte E-Mail-Regeln erstellen
Um bösartige E-Mail-Regeln zu erstellen, müssen die Angreifer ein Zielkonto kompromittiert haben, zum Beispiel durch eine erfolgreiche Phishing-E-Mail oder mittels gestohlener Anmeldedaten, die bei einem früheren Einbruch erbeutet wurden. Sobald der Angreifer die Kontrolle über das E-Mail-Konto des Opfers erlangt hat, kann er eine oder mehrere automatisierte E-Mail-Regeln einrichten.
E-Mail-Regeln für Informationsdiebstahl und Tarnung
Angreifer können eine Regel einrichten, um alle E-Mails mit sensiblen und potenziell lukrativen Schlüsselwörtern wie „Zahlung“, „Rechnung“ oder „vertraulich“ an eine externe Adresse weiterzuleiten. Weiterhin können sie auch E-Mail-Regeln missbrauchen, um bestimmte eingehende E-Mails zu verbergen, indem sie diese Nachrichten in selten genutzte Ordner verschieben, E-Mails als gelesen markieren oder einfach löschen.
Beispielsweise, um Sicherheitswarnungen, Command-and-Control-Mitteilungen oder Antworten auf interne Spear-Phishing-E-Mails, die von dem kompromittierten Konto aus gesendet werden, zu verbergen oder um ihre Spuren vor dem Kontobesitzer zu verwischen, der das Konto wahrscheinlich zur gleichen Zeit benutzt, ohne von den Eindringlingen zu wissen. Darüber hinaus können Angreifer auch E-Mail-Weiterleitungsregeln missbrauchen, um die Aktivitäten eines Opfers zu überwachen und Informationen über das Opfer oder die Organisation des Opfers zu sammeln, um sie für weitere Angriffe oder Operationen zu nutzen.
Verwendung von E-Mail-Regeln für BEC-Angriffe (Business Email Compromise)
Bei BEC-Angriffen versuchen Cyberkriminelle ihre Opfer davon zu überzeugen, dass eine E-Mail von einem legitimen Benutzer stammt, um das Unternehmen und seine Mitarbeiter, Kunden oder Partner zu betrügen. Angreifer können beispielsweise eine Regel einrichten, die alle eingehenden E-Mails eines bestimmten Mitarbeiters oder Vorgesetzten wie zum Beispiel dem Chief Finance Officer (CFO) löscht. Auf diese Weise können Kriminelle sich selbst als CFO ausgeben und Mitarbeitern gefälschte E-Mails schicken, um sie davon zu überzeugen, Unternehmensgelder auf ein von den Angreifern kontrolliertes Bankkonto zu überweisen.
Im November 2020 veröffentlichte das FBI eine Meldung darüber, wie Cyberkriminelle die fehlende Synchronisierung und Sicherheitstransparenz zwischen webbasierten und Desktop-E-Mail-Clients ausnutzen, um Regeln für die E-Mail-Weiterleitung festzulegen und so die Wahrscheinlichkeit eines erfolgreichen BEC-Angriffs zu erhöhen.
Einsatz von E-Mail-Regeln bei gezielten nationalstaatlichen Angriffen
Bösartige E-Mail-Regeln werden auch bei gezielten nationalstaatlichen Angriffen eingesetzt. Im MITRE ATT&CK® Framework of Adversary Tactics and Techniques werden drei APTs (Advanced Persistent Threat Groups) genannt, die die Technik des bösartigen Weiterleitens von E-Mails (T1114.003) einsetzen. Dabei handelt es sich um Kimsuky, eine nationalstaatliche Cyberspionage-Bedrohungsgruppe, LAPSUS$, die für ihre Erpressungs- und Störungsangriffe bekannt ist, und Silent Librarian, eine weitere nationalstaatliche Gruppe, die mit dem Diebstahl von geistigem Eigentum und Forschung in Verbindung gebracht wird.
MITRE stuft E-Mail-Versteckregeln (T1564.008) als eine Technik ein, die zur Umgehung der Sicherheitsverteidigung eingesetzt wird. Eine APT, von der bekannt ist, dass sie diese Technik einsetzt, ist FIN4, ein finanziell motivierter Bedrohungsakteur, der in den Konten der Opfer Regeln erstellt, um automatisch E-Mails zu löschen, die Wörter wie „gehackt", „Phish“ und „Malware“ enthalten, wahrscheinlich um das IT-Team des Opfers daran zu hindern, Mitarbeiter und andere Personen über ihre Aktivitäten zu informieren.
Sicherheitsmaßnahmen, die allein nicht funktionieren
Wenn eine bösartige Regel nicht entdeckt wird, bleibt sie auch dann in Kraft, wenn das Kennwort des Opfers geändert, eine mehrstufige Authentifizierung aktiviert, andere strenge Richtlinien für den bedingten Zugriff eingeführt oder der Computer komplett neu aufbaut wird. Solange die Regel in Kraft bleibt, bleibt sie auch wirksam.
Auch wenn verdächtige E-Mail-Regeln ein gutes Indiz für einen Angriff sein können, ist die isolierte Betrachtung dieser Regeln kein ausreichendes Signal dafür, dass ein Konto kompromittiert wurde. Abwehrmaßnahmen müssen deshalb mehrere Signale nutzen, um irrelevante Informationen zu reduzieren und das Sicherheitsteam auf einen wahrscheinlich erfolgreichen E-Mail-Angriff aufmerksam zu machen. Die dynamische und sich weiterentwickelnde Natur von Cyberangriffen, einschließlich der Verwendung ausgefeilter Taktiken durch Angreifer, erfordert einen vielschichtigen Ansatz zur Erkennung und Abwehr.
Wirksame Abwehrmaßnahmen
Da die Erstellung von Posteingangsregeln eine Technik ist, die erst nach der Kompromittierung zum Einsatz kommt, besteht der wirksamste Schutz in der Prävention, also darin, Angreifer daran zu hindern, das Konto überhaupt zu kapern. Unternehmen benötigen jedoch auch wirksame Maßnahmen zur Erkennung und Reaktion auf Vorfälle, um angegriffene Konten zu identifizieren und die Auswirkungen dieser Angriffe zu mindern.
Dazu gehört die vollständige Transparenz aller Aktionen, die im Posteingang eines jeden Mitarbeiters durchgeführt und welche Regeln erstellt werden, was geändert oder worauf zugegriffen wurde, der Anmeldeverlauf des Benutzers, die Zeit, der Ort und der Kontext der gesendeten E-Mails und vieles mehr. Fortschrittliche KI-basierte E-Mail-Security-Lösungen nutzen diese Daten, um ein intelligentes Kontoprofil für jeden Benutzer zu erstellen, und markieren sofort jede noch so kleine Anomalie. Eine Schutzfunktion gegen Identitätsdiebstahl nutzt zudem mehrere Signale wie Anmeldedaten, E-Mail-Daten und statistische Modelle zusammen mit Regeln, um einen Account-Takeover-Angriff zu erkennen.
Schließlich können erweiterte Erkennungs- und Reaktionsmaßnahmen (Extended Detection and Response, XDR) und eine 24/7-Überwachung durch ein Security Operations Center (SOC), dazu beitragen, dass selbst tief verborgene und verschleierte Aktivitäten erkannt und neutralisiert werden. Der Missbrauch von Posteingangsregeln gehört zu einer der perfidesten Taktiken von Cyberkriminellen. Mit den obengenannten Maßnahmen können sich Unternehmen jedoch adäquat gegen diese Bedrohung verteidigen, um ihre sensiblen Daten und Assets zu schützen.