Clone-Phishing-Attacken: Was sie sind und wie man sie erkennt und vermeidet [2023]

Wenn es um Cyberkriminalität geht, ist Klonen gerade groß in Mode. Und zwar mehr denn je.

Einst bestand das größte Risiko beim Annehmen eines Telefonanrufs von einer unbekannten Nummer darin, dass Sie sich in einem Werbegespräch mit einem Telefonverkäufer wiederfinden und etwas kaufen könnten, das Sie nicht brauchten. Das ist nicht länger der schlimmste Fall. „Ein Betrüger könnte künstliche Intelligenz einsetzen, um die Stimme eines Ihrer Angehörigen zu imitieren. Alles, was die Person dazu benötigt, ist eine kurze Audiodatei von der Stimme Ihres Familienmitglieds – welche sie z. B. durch online gepostete Inhalte in die Finger bekommen kann – und ein Programm zum Klonen von Stimmen“, warnte die US Federal Trade Commission in einem kürzlichen Blogbeitrag zu den neuesten Tricks von Betrügern, um Menschen Geld aus der Tasche zu ziehen.

Clone-Angriffe müssen jedoch nicht einmal derartig ausgefeilt sein, um in Unternehmen oder im Leben von Einzelpersonen Chaos anzurichten. Sechsundneunzig Prozent aller Phishing-Attacken erfolgen über eine simple E-Mail. In den USA allein wurden im Jahr 2022 beim Crime Complaint Center des FBI 800.944 Beschwerden zu Attacken gemeldet, die die Opfer über 10,3 Milliarden US-Dollar kosteten, wie der aktuelle Bericht des FBI zu Internetkriminalität zeigt. Von Tessian und CISCO ausgeführte Studien fanden jeweils heraus, dass Mitarbeiter im Durchschnitt 14 bösartige E-Mails pro Jahr erhalten und im Jahr 2021 in ca. 86% aller Unternehmen mindestens eine Person schon einmal auf einen Phishing-Link geklickt hat.

Insbesondere Clone-Phishing gehört zu den Phishing-E-Mails, die besonders schwer als solche zu erkennen sind. Hier erfahren Sie, warum das so ist – und wie Sie es vermeiden, geködert zu werden.

Mehr Schein als Sein: Was ist Clone-Phishing?

Das zunehmend in Erscheinung tretende Clone-Phishing fällt in die Kategorie der Social-Engineering-Angriffe. Gemäß der von Greg Sisson, CISO des US Department of Energy, formulierten Definition besteht Clone-Phishing darin, dass einem Nutzer eine legitime E-Mail-Nachricht erneut zugesendet wird, in der ein gültiger Link oder Anhang durch einen bösartigen ersetzt wurde. Was die Merkmale eines E-Mail-Klons besonders schwer erkennbar macht, ist die Tatsache, dass die meisten Nutzer nicht nach ihnen Ausschau halten. „Vertrauen ist der wichtigste Teil einer jeden Beziehung und sobald es aufgebaut wurde, können Sie normalerweise jegliche Art von Sicherheitsüberprüfung der betroffenen Person vernachlässigen. Wenn Sie jemandem vertrauen, ist es ganz natürlich für Sie, dass Sie ohne Bedenken auf eine von dieser Person gesendete E-Mail oder Nachricht antworten”, erklärt Informationssicherheitsexperte Greg Belding.

Und das ist genau das, worauf Clone-Phishing-Angreifer bauen. Diese Art des E-Mail-Betrugs zielt auf zwei entscheidende Schwachpunkte von Mitarbeitern ab: ihre Bereitschaft, auf Nachrichten von ihnen bekannten Personen, denen sie vertrauen, zu antworten und deren Anfragen nachzukommen, um eine Unterbrechung von Arbeitsabläufen zu vermeiden.

Sobald die Angreifer eine überzeugende Kopie einer legitimen E-Mail angefertigt haben, werden sie sicherstellen, dass diese von einer gefälschten E-Mail-Adresse aus gesendet wird, die der echten Adresse zum Verwechseln ähnlich ist. Alle enthaltenen Links und Anhänge wurden bereits durch Schadsoftware ersetzt. Oftmals fügen die Betrüger obendrein noch eine Erklärung bei, wie z. B. die Berufung auf ein Update oder technisches Problem als Grund für das erneute Senden der Nachricht. Benutzer, die auf den Betrug hereinfallen, werden entweder zu einer bösartigen Webseite weitergeleitet, auf der sie um die Eingabe von sensiblen Informationen gebeten werden, oder laden unbewusst Schadsoftware auf ihre Geräte herunter, die Hackern einen Datendiebstahl ermöglicht.

Bitte nicht nachmachen: So klonen Hacker E-Mail-Adressen

Viel ist nicht nötig zum Klonen einer E-Mail-Adresse: Die Angreifer benötigen dafür lediglich einen SMTP-Server (also einen Server für ein Simple Mail Transfer Protocol) und ein gängiges E-Mail-Programm wie Outlook. Damit erstellen sie dann die gefälschte Nachricht und bearbeiten die „Von“- und „An“-Felder in der Kopfzeile, um den Empfänger glauben zu lassen, dass die Nachricht von einer vertrauenswürdigen Quelle oder Kontaktperson kommt. Auf diese Weise nutzen die Betrüger eine inhärente SMTP-Schwachstelle aus, die Verbindungen ohne Authentifizierung gestattet.

Simple Clone-Phishing-Attacken können ohne großen Aufwand einfach mit einem neu registrierten Gmail-Konto in die Wege geleitet werden. Natürlich kann in diesem Fall nur der angezeigte Name des Senders gefälscht werden, während „mailto“ weiterhin eine andere E-Mail-Adresse anzeigen wird, erklärt Cybernews. Im Fall von geschützten Domains erstellen Hacker oftmals Doppelgänger-Domains, in denen im Vergleich zum Original leichte Abweichungen von der Rechtschreibung enthalten sind (z. B. goog1e.de anstatt google.de).

Clone-Phishing vs. Spear-Phishing: Worin liegt der Unterschied?

Phishing-Attacken verdanken ihren Namen der Idee, dass Kriminelle gefälschte oder betrügerische E-Mails als Köder verwenden, um nach willkürlichen Opfern zu „fischen“. In Bezug auf Spear-Phishing-Attacken, erklärt Fahmida Y. Rashid, geht diese Analogie noch einen Schritt weiter: Die Bezeichnung steht für Betrüger, die es speziell auf hochrangige Einzelpersonen oder Gruppen abgesehen haben und diese (wie beim Speerfischen) gezielt angreifen. Das bedeutet, dass diese Angreifer besonders große Mühen aufwenden müssen, um einen Nachrichteninhalt zu verfassen, der für die anvisierten Empfänger von hoher Relevanz ist.

Clone-Phishing-Angreifer müssen im Gegensatz dazu eine bereits existierende E-Mail in die Hände bekommen, die sie kopieren, um die Attacke auszuführen. Außerdem werden diese geklonten E-Mails meist massenweise versendet, anstatt sie nur an einen speziellen Empfänger zu schicken.

Whaling, Smishing und Barrel Phishing: 3 weitere Arten von Phishing, die Sie kennen sollten

1. Whaling bezieht sich auf eine bestimmte Form von Phishing-Attacken, die es auf einen „großen Fisch“ – also einen Mitarbeiter mit hoher Entscheidungskompetenz oder weitreichendem Zugriff auf Ressourcen innerhalb des jeweiligen Unternehmens – abgesehen haben, wie z. B. ein CFO, der hohe Geldüberweisungen tätigen oder ein HR-Mitarbeiter, der die Kontoinformationen von sämtlichen Mitarbeitern kennt und die Lohnabrechnungsdaten jederzeit ändern kann.

2. Beim Smishing werden potenziellen Opfern gewöhnlich SMS geschickt, die aussehen, als stammen sie von einem legitimen Absender – wie z. B. deren Bank, einem Paketzustelldienst oder einer Social-Media-Seite. Natürlich handelt es sich dabei tatsächlich um eine Falle, mit der die Angreifer ihren Opfern sensible Informationen entlocken möchten, indem diese zum Antworten oder Klicken auf einen Phishing-Link aufgefordert werden.

3. Barrel phishing unterscheidet sich dadurch von anderen Phishing-Attacken, dass die Angriffe sehr gezielt und spezifisch sind. Sie erfolgen über zwei oder mehr E-Mails. Die ersten Nachrichten bauen eine Beziehung zum ahnungslosen Opfer auf. Sobald dessen Vertrauen gewonnen wurde, folgt eine dringende E-Mail, die mit böswilligen Links oder Inhalten gespickt ist.

Die Risiken von Clone-Phishing: Wie teuer kann Clone-Phishing Unternehmen zu stehen kommen?

Laut der Ponemon 2021 Cost of Phishing Study kosten Phishing-Attacken Großunternehmen nahezu 15 Millionen US-Dollar – oder mehr als 1500 US-Dollar pro Mitarbeiter – pro Jahr. Proofpoints aktuelle „State of the Phish“-Studie fand heraus, dass die direkt durch erfolgreiche Phishing-Angriffe entstandenen finanziellen Verluste im Jahr 2022 um 76% zugenommen hatten. Eine entscheidende Ursache hierfür liegt in der Zunahme von ortsunabhängiger und hybrider Arbeit, die eine erhebliche Bedrohung für die Sicherheit von Daten darstellt.

In einigen Fällen kann der direkte finanzielle Schaden allein bereits eine beträchtliche Kerbe in der Unternehmenskasse hinterlassen. Der Phishing-Betrug aus dem Jahr 2016, der Google und Facebook sage und schreibe 100 Millionen US-Dollar kostete, ist ein Paradebeispiel. Hierbei gaben sich die Betrüger als Repräsentanten des in Taiwan ansässigen Unternehmens Quanta Computer aus, einem tatsächlichen Anbieter der beiden Tech-Riesen, und sendeten gefälschte E-Mails und Rechnungen an ahnungslose Facebook- und Google-Mitarbeiter.

Aber das ist bei Weitem nicht das Ende vom Lied: Die indirekten Kosten einer Phishing-Attacke summieren sich ebenfalls schnell durch den potenziellen Verlust von Mitarbeiterproduktivität und -konzentration, Rufschädigung, Gerichtsverfahren, verlorenes Kundenvertrauen, regulatorische Bußgelder und höhere Versicherungsprämien und Sicherheitsbudgets.

Ein falsches Gefühl der Sicherheit: Clone-Phishing in Aktion

Gibt es ein besseres Beispiel für einen potenziell verheerenden Phishing-Angriff als die Art von Angriffen, mit denen wir unsere eigenen Mitarbeiter testen? Lassen Sie uns dies erklären: Hier bei Tresorit führen wir in jedem Quartal eine Übung zum Erkennen von Phishing-E-Mails aus, indem wir Phishing-Attacken jeglicher Art simulieren, von ziemlich offensichtlichen Versuchen bis hin zu denen der Sorte „das ist wahrscheinlich echt“.

Von Anfang an hatten wir uns dazu entschieden, unseren Fokus auf betrügerische Attacken zu richten, die es auf die wertvollsten Anmeldedaten unserer Mitarbeiter abgesehen haben, wie z. B. Anmeldedaten für Azure Active Directory und LastPass. Dies erfolgt unter Verwendung von E-Mails und Zielseiten, die dank ihres Designs und Inhalts nicht ungewöhnlich erscheinen.

Am unteren Ende der Schwierigkeitsskala sind gefälschte Benachrichtigungen anzutreffen. Wir nutzten dafür eine nach fehlgeschlagenen Anmeldeversuchen angezeigte Sicherheitswarnung von Microsoft und passten diese etwas an, damit sie ein wenig verdächtiger aussah. Genauer gesagt: Unsere Benachrichtigung gab vor, ein Microsoft-Konto anstelle eines Kontos für Azure Active Directory zu betreffen, und die E-Mail-Domain unterschied sich von der von Microsoft genutzten Domain. Die Nachricht selbst war eine identische Kopie der ursprünglichen Warnung, aber wenn der Nutzer auf sie klickte, um seinen Aktivitätsverlauf angezeigt zu bekommen, erschien ein Proxy-Clone der Microsoft-Anmeldeseite, um seine Anmeldedaten abzufangen.

Besonders gerissene Hacker setzen dem jedoch noch eins drauf, indem sie z. B. ein Unternehmen mit einer vermeintlichen internen Ankündigung von einem vertrauenswürdigen Kollegen ködern. Hierfür wählten wir zuerst einen geeigneten Mitarbeiter als Absender aus uns richteten dann ein falsches E-Mail-Konto ein, das dem von Tresorit zum Verwechseln ähnlich sah. Anschließend verfassten wir einen Text, der sich auf die Coronavirus-Pandemie anstatt auf firmenspezifische Aktivitäten bezog, fügten eine ungarische Übersetzung hinzu und unterzeichneten das Ganze mit dem Vornamen des vermeintlichen Absenders, um Vertrauen zu erwecken. An dieser Stelle ist es wichtig zu erwähnen, dass all dies einen erfahrenen Angreifer nur wenige Minuten kostet.

Der einzige in der geklonten E-Mail enthaltene Link führte zu einer gefälschten Microsoft-Forms-Seite mit allem Drum und Dran, wie geladenen Animationen etc. Hier wurden die klickfreudigen Mitarbeiter von einem Anmeldebildschirm in Empfang genommen, in dem bereits ihre jeweilige E-Mail-Adresse eingetragen war und der sie zur Eingabe ihres Passworts aufforderte. Nach einer erfolgreichen Anmeldung wurden sie dann zu einer echten Microsoft-Forms-Seite weitergeleitet, ohne eine zusätzliche Aufforderung zur Authentifizierung. Die meisten Nutzer, die an einem solchen Punkt ankommen, kehren anschließend zu ihrem Arbeitsalltag zurück und haben keine Ahnung, dass ihre Anmeldedaten kompromittiert wurden.

Eine Phishing-E-Mail erkennen: Wie Sie wissen, dass Sie auf einen Phishing-Link geklickt haben

Phishing-Attacken gibt es in jeglicher Form und Größenordnung. Manche E-Mail-Klone fordern die Empfänger vielleicht dazu auf, die aktualisierte Teilnehmerliste für eine bevorstehende Konferenz zu prüfen, während andere es ihnen nahelegen, ihr PayPal-Konto zu sichern, für das angeblich verdächtige Aktivitäten festgestellt wurden. Jedoch wurden alle von ihnen mit einem gemeinsamen Ziel im Hinterkopf gestaltet: Sie sollen wie alle anderen gewöhnlichen und alltäglichen E-Mails aussehen, die Sie ohne Zögern und weitere Überprüfung öffnen können – und sollten. Natürlich mit dem feinen Unterschied, dass diese

• von einer gefälschten E-Mail-Adresse gesendet wurden, die der eines Ihnen bekannten Absenders zum Verwechseln ähnlich sieht;
• einen infizierten Anhang oder Link enthalten, anstelle des ursprünglichen oder eines legitimen; oder
• behaupten, dass es sich bei ihnen um eine erneut gesendete oder aktualisierte Version einer vorher von Ihnen erhaltenen harmlosen Nachricht handelt.

In manchen Fällen treffen all diese Punkte zu. Sie fragen sich nun sicher, was ein gängiges Erkennungsmerkmal für einen Phishing-Versuch ist. Hier nennen wir Ihnen zehn verräterische Zeichen von potenziellen Clone-Phishing-Nachrichten, nach denen Sie die Augen offen halten sollten:

1. Unbekannte URLs: Halten Sie Ausschau nach Nichtübereinstimmungen oder Diskrepanzen zwischen dem ursprünglichen und dem neuen Link, besonders in Bezug auf Domain-Namen.
2. Der Name des Absenders stimmt nicht: Überprüfen Sie den potenziellen E-Mail-Klon nach falsch geschriebenen Namen oder E-Mail-Adressen, in denen Buchstaben fehlen, wie z. B. „co” statt „com”.
3. Schlechte Grammatik: Die Alarmglocken sollten immer dann bei Ihnen läuten, wenn Sie eine E-Mail erhalten, in der es von Grammatik- und Rechtschreibfehlern wimmelt, die für den Absender untypisch sind.
4. Fehlendes SSL-Zertifikat: Wenn eine URL mit „https” anstelle von „http” beginnt, ist die Seite durch ein SSL-Zertifikat geschützt – etwas, das die meisten geklonten Seiten nicht vorweisen können.
5. Drohung oder Dringlichkeit: Seien Sie auf der Hut, wenn Sie Warnmeldungen erhalten, die Sie zur sofortigen Handlung auffordern – besonders dann, wenn sie die Eingabe oder Übermittlung sensibler Daten verlangen.
6. Ungewöhnliche Anfragen: Keine Rechnung ist so verspätet oder so wichtig, dass sie den CEO verleitet, Sie zu kontaktieren und dazu aufzufordern, für deren Überprüfung oder Begleichung auf einen Link zu klicken.
7. Bitte um sensible Informationen via E-Mail: In gleicher Weise wird kein legitimes Unternehmen Sie jemals darum bitten, sensible Daten via E-Mail-Link oder -Anhang zu übermitteln.
8. Verdächtige Anhänge: Wenn Ihre Organisation Tools für die Zusammenarbeit – wie Tresorit, SharePoint, OneDrive oder Dropbox – verwendet, sollten Anhänge in internen E-Mails keine Verwendung finden.
9. Untypischer Umgangston oder untypische Grußformel: Netflix weiß wahrscheinlich mehr über Sie als Ihre eigene Mutter, aber das heißt noch lange nicht, dass das Unternehmen eine Zahlungserinnerung an Sie mit „Hallo meine Liebe“ / „Hallo mein Lieber“ beginnen wird.
10. Alles, was zu schön ist, um wahr zu sein: Seien Sie misstrauisch, wenn von finanziellen Prämien, Gutscheinen oder Angeboten die Rede ist, die Sie bis zu einem bestimmten Datum einlösen müssen.

So verhindern Sie Phishing-Attacken: 6 Wege, um Phishing zu vermeiden

1. Überprüfen Sie die E-Mail-Adresse des Senders nach den verräterischen Anzeichen gefälschter E-Mails, wie fehlenden oder zusätzlichen Buchstaben, Zahlen, Symbolen oder Satzzeichen.
2. Bewegen Sie Ihren Mauszeiger stets über die Links, zu deren Klicken Sie aufgefordert werden, und folgen Sie den Anweisungen nur dann, wenn die URL mit dem Hyperlink übereinstimmt und mit HTTPS beginnt.
3. Wenn Sie um die Eingabe sensibler Informationen gebeten werden, insbesondere mit Nachdruck, kontaktieren Sie den Sender über eine separate E-Mail, um die Gültigkeit der Aufforderung zu prüfen.
4. Bedenken Sie die Faustregel, dass kein legitimes Unternehmen seine Kunden dazu auffordern würde, Informationen wie Anmelde- oder Bankkontodaten via E-Mail preiszugeben.
5. Falls Ihr Unternehmen Kollaborationstools wie Tresorit oder Microsoft Teams verwendet, sollten Anhänge in internen E-Mail-Nachrichten mit Vorsicht genossen werden.
6. Nutzen Sie ein Add-on zur E-Mail-Verschlüsselung als schnelle und einfache Weise, um riskante E-Mail-Anhänge durch verschlüsselte Links zum Teilen und passwortgeschützte Dateien zu ersetzen.