Neue Phishing-Variante auf dem Vormarsch

Phishing zählt nach wie vor zu den häufigsten Angriffsarten im Cyberraum. Forscher des Sicherheitsanbieters Vade identifizierten im dritten Quartal 2022 mehr als 203 Millionen Phishing-Mails, das ist ein Anstieg von mehr als 31 Prozent gegenüber dem Vorquartal. Laut einer aktuellen IBM-Analyse haben Phishing-Angriffe Unternehmen im Jahr 2021 weltweit durchschnittlich 4,91 Millionen Dollar gekostet und sind demnach die zweithäufigste Ursache für Datenschutzverletzungen. Die Vade-Experten führen den Anstieg und das Ausmaß der Angriffe vor allem auf das sogenannte Clone-Phishing zurück.

So funktioniert Clone-Phishing

Clone-Phishing ist eine Unterart des Phishings, bei der eine zuvor gesendete legitime E-Mail kopiert wird, um die Opfer auszunutzen. Der Empfänger erhält dabei zunächst eine seriöse E-Mail von einem Unternehmen, das er kennt und dem er vertraut.

Anschließend geht die gleiche E-Mail erneut im Postfach ein, nur dass der Absender dieses Mal erklärt, er habe vergessen, zusätzliche Empfänger oder Informationen beizufügen. Ohne die offensichtlichen Anzeichen von Clone-Phishing zu kennen, wird diese Mail als authentisch empfunden und die Argumentation des Absenders wird arglos akzeptiert. Schließlich geben der Inhalt und der Kontext der E-Mail keinen Anlass zu Misstrauen.

In diesem Fall stellt sich jedoch heraus, dass diese zweite E-Mail nicht legitim ist, sondern ein Klon der ursprünglichen Nachricht, der dazu verleiten soll, auf einen schadhaften Link zu klicken oder einen maliziösen Anhang herunterzuladen.

Die Angreifer verschaffen sich dazu einen Zugang zu einem kompromittierten E-Mail-Konto innerhalb eines Unternehmens. Diesen Zugang nutzen sie dann, um Phishing-Mails an andere Mitarbeiter zu senden. So fangen die Hacker eine Nachricht von einem vertrauenswürdigen Absender ab, ersetzen Links oder Anhänge durch Inhalte und senden sie dann erneut an dieselben Empfänger.

Wie die Vade-Forscher berichten, werden dabei auch gängige Phishing-Techniken verwendet, um den Anschein der Legitimität aufrechtzuerhalten, etwa:

• ein Aufruf, eine Website zu besuchen, um ein Geschenk zu erhalten

• eine E-Mail vom IT-Support, die vertraulichen Anmeldeinformationen abfragt

• ein Software-Update per Link in einer Mail

• eine Imitation eines Anbieters beim Online-Einkauf

Lesetipp: Sosafe-Analyse - Digital Natives sind anfälliger für Phishing

Unterschiede zwischen Clone- und Spear-Phishing

Nach Angaben der Sicherheitsexperten ist sowohl Clone- als auch Spear-Phishing effektiv bei der Kompromittierung einer Unternehmensumgebung. Die beiden Techniken verfolgen jedoch unterschiedliche Strategien. So zielt Spear-Phishing auf Nutzer mit hohen Zugangsrechten ab, wie zum Beispiel eine Führungskraft oder einen Netzwerkadministrator. Die Bedrohungsakteure verschaffen sich Zugriff auf sensible Anmeldeinformationen und können diese schließlich an Dritte teuer verkaufen.

Clone-Phishing hat es zwar manchmal auch auf Nutzer mit hohen Rechten abgesehen. Im Gegensatz zum Spear-Phishing wird hierbei keine beliebige Nachricht verwendet, sondern eine bekannte. Dabei imitieren die Angreifer den Inhalt und die Form der Mail eines regulären Unternehmens täuschend echt.

Diese gefälschte Nachricht kann die Antwort auf eine automatisierte Nachricht sein, die vom Zielunternehmen gesendet wurde, oder es ist der Klon einer offiziellen Nachricht eines Unternehmens, mit dem das Zielunternehmen zusammenarbeitet.

Tipp: Sie möchten regelmäßig über wichtige Neuigkeiten zum Thema IT-Sicherheit informiert werden? Dann abonnieren Sie doch einfach unseren kostelosen Newsletter.