Neue Angriffsszenarien per E-Mail

In den letzten Tagen und Wochen haben uns zwei neue Angriffsszenarien erreicht, die aktuell per E-Mail für Gefahr sorgen. Wir wollen diese hier kurz vorstellen und beschreiben wie Sie damit umgehen können:

1. E-Mails mit kennwortgeschütztem Word-Dokument (Verschlüsselungstrojaner)

Bei diesem heimtückischen Vorgehen wird per E-Mail eine passwortgeschützte ZIP-Datei oder ein Dokument (z.B. Word) als Anhang versendet, wobei das entsprechende Passwort selbst direkt im E-Mail-Body mit versendet wird. Der Empfänger bekommt also gleich das Passwort mitgeliefert, um die Datei zu entschlüsseln und die “Seuche” damit auszulösen. Besonders in Personalabteilungen im Zuge von Bewerbungsunterlagen findet dieses Szenario Anwendung (Siehe Bespiel-Screenshot).
Mit einer WatchGuard kann man diesen Fall verhindern, indem man den SMTP-Proxy in der WatchGuard Firebox auf „When content is encrypted“ = ‘DENY’ einstellt. Allerdings wird dieser Parameter oftmals auf ‘ALLOW’ gestellt, damit i.d.R. interne bzw. legitime kennwortgeschützte ZIP-Dateien oder Dokumente auch durch kommen. Diese Variante ist natürlich äußerst geschickt und perfide, da sie technische Schutzbarrieren in Folge von Ausnahmeregeln wie dieser ungefiltert übergehen kann. Es ist also wichtig sich genau zu überlegen, ob man verschlüsselte Dateien auf ‘ALLOW’ oder ‘DENY’ einstellt.

2. Phishing-Mails mit QR-Code

Bei der folgenden Angriffsmethode versuchen Betrüger mit einem neuartigen Ansatz Spam-Filter auszutricksen, um an Log-in-Daten (bspw. von Microsoft) zu gelangen. Vor allem im Finanzbereich sollen derzeit solche Phishing-Mails unterwegs sein, die einen QR-Code enthalten und dadurch von etlichen Sicherheitslösungen nicht als gefährlich eingestuft werden. Die Mail wird nämlich nur auf Anhänge und enthaltene URLs gescannt. Somit landet eine solche Mail mit QR-Code direkt im Postfach von Opfern.

Um die Nutzer dazu zu bringen den QR-Code zu scannen, wird in den Mails geschrieben, dass man dadurch bspw. Zugang zu einem wichtigen SharePoint-Dokument bekommt. Sobald das Opfer den QR-Code mit seinem Smartphone scannt und sich im mobilen Netz befindet, greifen die Sicherheitslösungen des Firmennetzwerkes in der Regel nicht mehr. Der User wird auf eine Phishing-Website weitergeleitet, auf der er zunächst seine Log-In Daten eingeben soll, um das Dokument sehen zu können. Hat man dies getan, ist es meist schon zu spät und die Daten landen in den Händen der Cyberkriminellen.

Mit einer WatchGuard Firebox kann man die Handys trotzdem schützen. Beispielsweise kann man für die Handys das Gäste-WLAN bereitstellen und dort Security Services wie DNSWatch und Reputation Enabled Defense anwenden.