Sicherheitsforscher beobachten in letzter Zeit häufiger so genannte «Replier-Attacken» gegen Unternehmen: Phishing-Angriffe bei denen die Täter das «Antwort an»-Feld in ihren E-Mails manipulieren, um an vertrauliche Informationen zu gelangen.
Dass Cyberkriminelle für Phishing-Angriffe gefälschte E-Mails nutzen, ist hinlänglich bekannt. Ein neueres Phänomen ist jedoch, dass nicht nur der Absender und der Inhalt der Mails gefälscht sind, sondern auch das «Antwort an»-Feld – das heisst, das Feld, in dem sich die Adresse befindet, an die eine Antwort auf die ursprüngliche Phishing-Mail geschickt wird. Indem die Täter dieses Feld manipulieren, gelangen sie an die Informationen, die in der Antwort-Mail stehen, falls die Empfänger zurückschreiben. Weil bei diesem Spezialfall von Phishing das «Antwort an»-Feld (Engl. «Reply to») genutzt wird, heisst die Technik «Replier-Attacke».
Die Sicherheitsforscher von Avalon, beschreiben in einem Blog einen konkreten Fall einer solchen «Replier-Attacke». Die Täter gaben sich dabei als Vertreter des französischen Energieunternehmens Total Energies aus.
Falsche Rückantwort-Adresse
Für ihren Betrug wählten die Hacker als Absender eine E-Mail-Adresse mit der Domain Total Energies (d.h. xy@totalenergies.fr). Ins «Reply to»-Feld setzen sie jedoch eine Empfängeradresse mit der erst kurz zuvor neu registrierten Domain @totalenergiesupply.com, die nichts mit dem Unternehmen Total Energies zu tun hat. Antworten auf die Phishing-Mail gelangten dadurch direkt in die Inbox der Hacker.
Im Inhalt der Phishing-Mails ging es um den Verkauf einer Zentrifuge. Die Empfänger wurden von den Tätern um ein Preisangebot gebeten. Angehängt war der Mail zudem ein Dokument mit einer Auflistung der nötigen Angaben. Darunter auch Details dazu, wie die vermeintlichen Verkäufer den Kaufprozess einschliesslich Zahlung einleiten und abwickeln wollten.
Die Nachricht wurde an hunderte Empfänger in zahlreichen Unternehmen verschickt – mit der Idee, einige könnten auf den Betrug hereinfallen und tatsächlich eine Zentrifuge kaufen wollen. Wobei die Kaufsumme anschliessend nicht bei Total Energies sondern auf dem Konto der Hacker gelandet wäre.
Ein Virenschutz lässt «Replier-Attacken» ins Leere laufen
Weil «Replier-Attacken» – wie «herkömmliches» Phishing – via E-Mail erfolgen, ist ein Virenschutz-Programm wirksamen Mittel gegen diese Form von Cyberkriminalität. E-Mails mit gefälschten Adressen, sei es im Absender oder im «Antwort an»-Feld werden in der Regel nämlich von derartiger Software erkannt und unschädlich gemacht. Eine bewährte Antiviren-Software, wie Bitdefender, ist deshalb ein geeignetes und effizientes Mittel, um sich Phishing-Betrüger vom Hals zu schaffen.
