Unser Threat-Intelligence-Team hat eine neue Verschleierungstechnik beobachtet, die gezielt darauf ausgelegt ist, Natural Language Processing (NLP)-Erkennungssysteme auszuhebeln. Dabei fügen Angreifer zusätzliche Zeichen, Zeilenumbrüche und legitime Links an das Ende einer Phishing-E-Mail an, um ihre schädlichen Inhalte im erzeugten Rauschen zu verbergen und die NLP-Erkennung zu umgehen.
Für diese Bedrohungsanalyse hat unser Team 40 neu identifizierte Angriffe untersucht, die von KnowBe4 Defend erfasst wurden und diese Technik einsetzen. Ziel war es zu verstehen, wie sie funktioniert, warum Angreifer sie einsetzen und wie erfolgversprechend sie ist.
Unter den analysierten Angriffen war die E-Mail-Signatur der Bank of America das am häufigsten verwendete legitime Element, das an die Angriffs-E-Mail angehängt wurde. „Uber.com" und „Bofa.com" waren die am häufigsten genutzten legitimen Links.
Um schädliche Inhalte wie Links und Anhänge zu verschleiern, fügen Angreifer einen zusätzlichen E-Mail-Textkörper an ihre Phishing-E-Mail an. Diese angehängten E-Mails sind in der Regel harmlos und enthalten unauffällige Sprache, die keine NLP-Erkennungsmechanismen auslöst, sowie legitime Links, die auf keiner Sperrliste stehen.
Die Phishing-E-Mail lässt sich in zwei wesentliche Bestandteile gliedern: den schädlichen Inhalt, der dem Empfänger am oberen Teil der E-Mail direkt angezeigt wird, und das Verschleierungselement am unteren Ende. Letzteres enthält in der Regel die harmlosen Links und unauffälligen Textpassagen. Beide Bereiche sind durch zahlreiche HTML-Zeilenumbrüche voneinander getrennt, die den Empfänger davon abhalten sollen, weit genug nach unten zu scrollen, um das Verschleierungselement zu bemerken. Unser Threat-Intelligence-Team hat lediglich acht Fälle identifiziert, in denen weniger als 100 Zeilenumbrüche verwendet wurden. Der Durchschnitt lag bei 157 Zeilenumbrüchen. Darüber hinaus erhöhen die Angreifer die Zeichenanzahl in diesem Bereich erheblich, um dem NLP-System mehr Daten zur Verarbeitung zu liefern.
Durchschnittliche prozentuale Verteilung der harmlosen Elemente in einer E-Mail, die diese Technik verwendet:
Das am häufigsten verwendete legitime Verschleierungselement war die E-Mail-Signatur der Bank of America.
Wenn Angreifer Links eingebaut haben, enthielten die Angriffe durchschnittlich 4,68 legitime Links gegenüber nur 1,87 schädlichen Links. Unser Threat-Intelligence-Team hat „Uber.com" und „Bofa.com" als die am häufigsten genutzten legitimen Links identifiziert.
Screenshot einer Phishing-E-Mail, die einen Voicemail-Dienst imitiert, mit angewendeten KnowBe4 Defend Anti-Phishing-Bannern.
Im obenstehenden Screenshot ist der schädliche Teil des Angriffs zu sehen. Die E-Mail gibt vor, ein Voicemail-Dienst zu sein, und fordert den Empfänger auf, auf einen schädlichen HTML-Anhang zu klicken, um die vermeintliche Nachricht abzuhören. Als Teil einer größeren Phishing-Kampagne enthält der Angriff ein polymorphes Element: Betreffzeile und Anhangname werden für jede E-Mail individuell angepasst. Diese Taktik erschwert es Sicherheitsteams, betroffene E-Mails anhand identischer Betreffzeilen oder Anhänge in großem Umfang zu bereinigen, da jede E-Mail individuell auf den Empfänger zugeschnitten wurde.
Screenshot des unteren Bereichs derselben Phishing-E-Mail, in dem der Angreifer zufällige Zeichen eingefügt hat, um einen schädlichen Anhang vor der NLP-Erkennung zu maskieren.
Beim weiteren Scrollen trifft der Empfänger auf den zweiten Teil der E-Mail: den Verschleierungstext. In diesem Beispiel hat der Angreifer zufällige Zeichen in Form einer E-Mail-Kette eingefügt, um die Zeichenanzahl der E-Mail zu erhöhen. Damit werden zwei Ziele verfolgt:
Screenshot einer Phishing-E-Mail, die Adobe imitiert, mit angewendeten KnowBe4 Defend Anti-Phishing-Bannern.
Im zweiten Beispiel gibt sich der Angreifer als Adobe aus, ein weitverbreitetes und bekanntes Unternehmen mit hoher Akzeptanz in der Berufswelt. Die E-Mail wird von einem kompromittierten Konto versendet und gibt vor, vom HR-Team des Empfängers zu stammen. Der Empfänger wird aufgefordert, auf einen schädlichen Link zu klicken, um mehr über Mitarbeiter-Benefits zu erfahren.
Screenshot des unteren Bereichs derselben Phishing-E-Mail, in dem der Angreifer eine Uber-Werbung mit legitimen Links eingefügt hat, um einen schädlichen Link vor der NLP-Erkennung zu maskieren.
Beim Scrollen stößt der Empfänger auf eine scheinbare Uber-Werbung, in der die Angreifer erneut eine bekannte Marke imitieren. Der Bereich enthält mehrere legitime Links, etwa einen Hyperlink zur Fahrzeugvermietung sowie verschiedene Links in der Fußzeile.
Das primäre Ziel dieser Verschleierungstechnik ist die Umgehung der NLP-Erkennung. Doch wie tragen zusätzliche Zeichen, harmlose Sprache und legitime Links dazu bei? Einige NLP-Lösungen arbeiten auf Basis einer Wahrscheinlichkeitsskala: Wenn genügend harmlose Elemente vorhanden sind, um einen einzelnen verdächtigen Link oder Anhang zu überwiegen, klassifizieren manche Tools die E-Mail nicht mehr mit hoher Konfidenz als Phishing, andere kennzeichnen sie gar nicht erst.
Die Angreifer setzen darauf, dass ein NLP-Tool bei ausreichend vielen harmlosen Elementen am Ende einer E-Mail zu dem Schluss gelangt, die E-Mail sei überwiegend unbedenklich, und sie in den Posteingang des Empfängers zustellt.
Unser Threat-Intelligence-Team vermutet, dass diese Angriffe gezielt darauf ausgelegt sind, fortschrittliche Lösungen wie ICES-Anti-Phishing-Systeme (Integrated Cloud Email Security) zu umgehen, da herkömmliche Secure Email Gateway (SEG)-Systeme in der Regel keine NLP-Funktionalität nutzen. Das deutet darauf hin, dass Angreifer den Wandel hin zu cloudbasierter E-Mail-Sicherheit kennen und ihre Taktiken gezielt auf den Technologie-Stack ihrer Ziele abstimmen.
Auch wenn diese Angriffe offenbar darauf ausgelegt sind, ICES-Lösungen zu umgehen, sollten Verantwortliche in der Cybersicherheit nicht voreilig auf SEG-Systeme zurückgreifen. Wie in beiden Beispielen zu sehen ist, wurden die Angriffe von KnowBe4 Defend mit hoher Konfidenz als Phishing-E-Mails eingestuft. Ein wesentlicher Grund dafür ist der Zero-Trust-Ansatz, den KnowBe4 zur Erkennung und Abwehr neuer Bedrohungen einsetzt.
Um diese Art von Bedrohung wirksam zu identifizieren und zu neutralisieren, ist letztlich ein ausgereiftes Tool erforderlich, das in der Lage ist, die verschiedenen in jedem Angriff eingesetzten Techniken zu erkennen und zu neutralisieren, darunter polymorphe Betreffzeilen, Impersonation und Account Compromise. KnowBe4 Defend verfolgt einen ganzheitlichen Erkennungsansatz und nutzt KI sowie ein Zero-Trust-Modell, um neu auftretende Bedrohungen zu erkennen und abzuwehren.