Veröffentlicht am 5. Februar 2019
Die Kompromittierung von Geschäfts-E-Mails (BEC) durch Phishing-Angriffe ist nichts Neues, aber sie ist immer noch recht effektiv und erfordert nur minimalen Aufwand seitens der Angreifer. Ein Beispiel dafür ist der Einbruch bei Anthem Blue Cross im Jahr 2015. Nachdem das Unternehmen "betrügerische E-Mail-Kampagnen, die auf aktuelle und ehemalige Anthem-Mitglieder abzielten", aufgespürt hatte, gab es eine öffentliche Erklärung an die Verbraucher und die Presse heraus, um sie zu warnen, und verließ sich darauf, dass die Verbraucher diese Phishing-Angriffe sowohl erkennen als auch vereiteln würden.
BEC-basierte Phishing-Angriffe haben aber auch eine positive Seite: Sie können den Angreifern einen Schritt voraus sein und Ihr Unternehmen verteidigen, bevor die Phishing-Kampagnen überhaupt gestartet werden. Das Geheimnis ist, die Infrastruktur vor dem Angriff zu finden. MITRE hat im Rahmen seines ATT&CK-Technik-Mapping-Frameworks einen großartigen, ausführlichen Artikel zu diesem Thema verfasst. Die Kurzfassung lautet jedoch, dass die Angreifer für Phishing-Kampagnen und andere Angriffe, bei denen sie sich als Ihre Marke ausgeben, zunächst eine Infrastruktur zur Durchführung dieser Angriffe schaffen (und online stellen) müssen - weitere Informationen finden Sie unter MITRE pre-ATT&CK technique 1338. Um Sie bei der Suche nach fragwürdigen, gefälschten Zertifikaten zu unterstützen, macht Censys Protokolle zur Zertifikatstransparenz verfügbar und durchsuchbar. Anhand dieser Daten können Sie das Verhalten und die Methodik der Angreifer besser verstehen.
In der Regel handelt es sich dabei um betrügerische Domänen, die wie Ihre legitime Markendomäne aussehen. Im Fall von Anthem könnte man sich das so vorstellen, dass ein Angreifer Anthem-Kunden über einen Link anlockt, der legitim aussieht, aber entweder falsch geschrieben ist oder einen Schreibfehler oder einen fehlerhaften Bindestrich im Domainnamen enthält (dies wird als "Link Hijacking" oder "Typo Squatting" bezeichnet). In diesem Beispiel würden Sie "anth3mbluecross.com" oder "anthem-bluecross" sehen, was auf den ersten Blick offiziell oder seriös aussieht und in Kombination mit einer überzeugenden Formulierung - "Neue Vorteile für Anthem-Kunden hier klicken! - dazu verleiten, auf den Link zu klicken und versehentlich Daten an einen Angreifer weiterzugeben.
Aufspüren der gegnerischen Infrastruktur und Vorbereitung von Angriffen
Es gibt viele verschiedene Möglichkeiten, die Infrastruktur von Angreifern ausfindig zu machen, die für Angriffe gegen Sie verwendet werden könnten, aber eine der schnellsten und ersten Maßnahmen sollte die Suche nach Domainnamen-Permutationen sein. Das Open-Source-Tool DNS Twist eignet sich hervorragend für die Automatisierung von Domainnamen-Permutationen und liefert Ihnen eine Liste potenziell betrügerischer Domains, die gegen Ihre Marke verwendet werden könnten.
Wenn Sie diese Liste zur Hand haben, können Sie Abfragen in Censys starten, um diese Instanzen zu finden und sie auszuschalten oder zu blockieren, bevor ein Angriff gestartet wird.
In diesem Beispiel haben wir nach potenziell betrügerischen Domänen gesucht, die binance.com, einer beliebten Website für den Austausch von Kryptowährungen, ähneln. Dies sind die Suchergebnisse aus dieser Abfrage. Diese Abfrage liefert eine Reihe von Ergebnissen, die jedoch klein genug sind, um manuell überprüft werden zu können.
Mit Open-Source-Tools und Censys können Sie potenzielle Angriffe frühzeitig erkennen und abwehren, bevor sie zu einem Problem werden. Diese Suchvorgänge für betrügerische Domains sind zwar keine Komplettlösung für die Bekämpfung von Phishing, aber sie helfen Ihnen, Anträge auf Löschung zu stellen und Konten zu sperren, von denen Sie vor der Durchführung dieser Scans wahrscheinlich noch nichts wussten. Je mehr Sie wissen, desto besser.
