Was ist Clone Phishing?

Clone Phishing ist eine Form von Phishing, bei der Angreifer eine echte E-Mail mit Anhängen klonen, die Anhänge durch Schadsoftware ersetzen und erneut senden, wobei sie vorgeben, der ursprüngliche Absender zu sein. Die Anhänge sehen dabei aus wie die Originaldokumente.

Clone Phishing (im Deutschen auch manchmal „Klon-Phishing“ genannt) kann als Reaktion darauf gesehen werden, dass immer mehr Unternehmen ihre Nutzer über Phishing aufklären. Angreifer müssen sich mittlerweile neue Wege ausdenken, trotz des gestiegenen Sicherheitsbewusstseins Angestellte dazu zu bringen, auf den Diebstahl von Anmeldedaten hereinzufallen.

Bei Clone Phishing sendet entweder der Angreifer die erste Nachricht oder er erhält umgekehrt eine E-Mail von Ihrem Unternehmen. Erhält er als erstes eine E-Mail von Ihrem Unternehmen, tauscht er beim Senden der Antwortnachricht die legitimen Dokumentenanhänge gegen einen Virus aus. Können Ihre Mitarbeiter bösartige E-Mail-Anhänge nicht erkennen, werden sie möglicherweise dazu verleitet, Malware auf ihren Computern zu installieren.

Wenn die erste E-Mail vom Angreifer ausgeht, kopiert er meist eine Nachricht, die in ihren alltäglichen Geschäftsabläufen häufig vorkommt. Nehmen wir z. B. an, Sie haben einen Geschäftsprozess, bei dem Sie ein Dokument per E-Mail an einen Kunden senden, ihn um seine Unterschrift bitten und der Kunde das Dokument dann unterschrieben per E-Mail zurücksendet. Der Angreifer kopiert dann diese E-Mails und tauscht die Anhänge gegen Schadsoftware aus.

Vielleicht sendet Ihr Unternehmen aber auch jedem Nutzer, der sich für einen Newsletter anmeldet, eine Willkommens-E-Mail. Oder Sie schicken PDF-Dokumente, damit Nutzer Transaktionen unterzeichnen und genehmigen. E-Mail-Nachrichten an den Kundenservice sind ein weiteres häufiges Angriffsziel. Der Angreifer kontaktiert in dem Fall den Kundendienst und antwortet mit einer Nachricht, die schädlichen Inhalt enthält.

Welche Methode der Angreifer wählt, hängt von der Art und Weise ab, wie Sie Geschäfte tätigen. Clone Phishing häufig erfolgreich, da die Empfänger eine Antwort auf eine legitime E-Mail, und nicht wie bei einem Standard-Phishing-Angriff eine ganz neue Nachricht erhalten. E-Mail-Filter lassen solche E-Mails außerdem mit größerer Wahrscheinlichkeit durch, da sie von einem legitimen Nutzer über legitime Kanäle gesendet wurde.

Manche Clone Phishing-Angriffe zielen auf bestimmte Nutzer ab, aber es kommt häufiger vor, dass Angreifer mehrere Nachrichten gleichzeitig an zufällig ausgewählte Mitarbeiter senden. Die Bedeutung von Clone-Phishing sollte nicht unterschätzt werden: Es muss nur ein einziger Mitarbeiter auf den Angriff hereinfallen, um das Netzwerk einer Organisation zu gefährden.

Die bösartigen E-Mail-Anhänge können viele verschiedene Formen von Malware enthalten, von Rootkits, die jedem aus der Ferne Zugriff auf den Computer des Mitarbeiters gewähren, bis hin zu Keylogger, die Passwörter stehlen. Am häufigsten wird durch Clone Phishing jedoch Ransomware verbreitet.

Clone Phishing ist viel schwieriger zu erkennen als eine Standard-Phishing-Nachricht. Der Inhalt einer gewöhnlichen Phishing-E-Mail ist meist schlecht geschrieben und stammt aus einer unbekannten Quelle. Beim Clone Phishing erkennt der Nutzer die Nachricht, wodurch es für den Angreifer einfacher wird, den Empfänger auszutricksen.

Beispielsweise sind die meisten Nutzer mit der Struktur einer PayPal-Nachricht vertraut. PayPal sendet jeden Monat E-Mails zum Kontostand an Nutzer mit Business-Konten. Ein Angreifer könnte eine PayPal-Nachricht klonen, die dem Empfänger mitteilt, dass ein Restbetrag beglichen werden muss. Anstatt auf die legitime PayPal-Website zu verweisen, verlinkt die Schaltfläche jedoch auf einen vom Angreifer kontrollierten Server, der der echten PayPal-Website täuschend ähnlichsieht.

Ein weiteres Beispiel aus dem Unternehmenskontext: Angenommen, Sie erhalten jedes Mal eine Nachricht, wenn sich ein Leser für den Unternehmensnewsletter anmeldet. Die Nachricht enthält die E-Mail-Adresse des Lesers sowie alle Nachrichten und Anhänge, die er Ihnen möglicherweise geschickt hat. Ein Angreifer könnte diese Nachricht kopieren und alle Links ersetzen, sodass sie auf eine Website verweisen, auf der Sie dazu angehalten werden, ihre Anmeldeinformationen preiszugeben oder Malware herunterzuladen.

Clone Phishing wird häufig von einer legitimen E-Mail-Adresse gesendet, sodass kein E-Mail-Spoofing erforderlich ist (obwohl Spoofing durchaus manchmal eingesetzt wird). Da die E-Mail von einer legitimen Adresse stammt und nicht gefälscht ist, wird die Nachricht auch an den Posteingang des Nutzers weitergeleitet, unabhängig von der vorhandenen Cybersicherheit, die bösartige E-Mail-Nachrichten eigentlich herausfiltern soll.

Für Mitarbeiter ist es immer herausfordernd, eine legitime E-Mail von einer geklonten zu unterscheiden. Die Herausforderung für Sicherheitsteams besteht darin, Nutzer durch Security-Awareness-Trainings über die vielfältigen Möglichkeiten aufzuklären, wie Angreifer mithilfe von E-Mails versuchen, ein Unternehmensnetzwerk zu kompromittieren. Das Erkennen einer Phishing-E-Mail erfordert menschliches Gespür und die Fähigkeit, Nuancen im Zusammenhang mit Phishing-Angriffen zu erkennen.

Wenn eine E-Mail seltsam formuliert ist oder das Dringlichkeitsgefühl eines Nutzers anspricht, könnte es sich um einen Phishing-Angriff handeln. Geklonte E-Mails weisen möglicherweise eine gute Grammatik und Rechtschreibung auf, aber dennoch sind sie dadurch erkennbar, dass sie den Zielempfänger dazu drängen, eine Aktion auszuführen, ohne vorher über deren Auswirkungen nachzudenken.

Oft erkennen Nutzer erst hinterher, dass es sich bei einer E-Mail um einen Phishing-Angriff gehandelt hat. Dann ist es jedoch zu spät und sie haben bereits Malware installiert oder ihre Anmeldeinformationen preisgegeben.

Jede E-Mail, die Nutzer dazu auffordert, schnell Maßnahmen zu ergreifen, ohne ihnen Zeit zum Nachdenken über die Konsequenzen zu geben, sollte entsprechend vorsichtig behandelt werden. Angreifer drohen Nutzern oft mit Kontoschließung, Geldverlust oder rechtlichen Problemen, um sie dazu zu bringen, auf die Clone Phishing-E-Mail hereinzufallen. Eine solche E-Mail enthält möglicherweise einen schädlichen Link, der Nutzer dazu auffordert, darauf zu klicken und sich anzumelden, bevor sie ihr Konto verlieren. Oder es wird von ihnen verlangt, dass sie auf die E-Mail mit vertraulichen Informationen antworten, damit sie ihren Arbeitsplatz nicht verlieren.

Links in E-Mails können zu verschiedenen Arten von Phishing-Seiten führen. Der Link verweist möglicherweise auf eine Seite, die wie die Login-Seite eines offiziellen Unternehmens aussieht, um Nutzer dazu zu bringen, ihre Anmeldeinformationen einzugeben. Oder aber er verweist auf eine Seite, die wie der Login eines Drittanbieters wie Google oder Office 365 aussieht. Links könnten auch auf Webseiten zeigen, die Malware auf das Gerät des Zielnutzers herunterladen. Deshalb sollten Nutzer immer die Domain in ihren Browser eingeben, statt direkt auf Links zu klicken.

Die in einem Clone Phishing-Angriff verwendeten E-Mails können unterschiedlich aussehen, weisen jedoch häufig ähnliche Elemente auf. Die Nachricht ist in der Regel so formuliert, dass sie wie ein dringendes Problem aussieht, und enthält einen schädlichen Link oder Dateianhang.

Das Folgende ist eine Beispielnachricht:

Betreff: Dringendes Problem mit Ihrem Konto
Nachricht: Hallo, vielen Dank, dass Sie sich mit Ihrer Anfrage an [Fake-Unternehmen] wenden. Klicken Sie hier [bösartiger Link], um die Antwort unseres Kundenservice zu lesen.

In der Betreffzeile vermittelt die Nachricht dem Empfänger ein Gefühl der Dringlichkeit. Die Nachricht gibt vor, von einem offiziellen Unternehmen zu stammen, und ist ein Klon der automatisierten Kundendienstnachricht des gefälschten Unternehmens.

Ein Angreifer sendet diese Nachricht möglicherweise an tausende Menschen, in der Hoffnung, Zugangsdaten zu erhalten, die er auf Darknet-Märkten verkaufen kann.

Clone und Spear Phishing haben einiges gemeinsam, unterscheiden sich jedoch auch deutlich in Bezug auf ihre Strategien. Sie sind beide effektiv darin, ein Geschäftsumfeld zu gefährden, gehen dabei aber unterschiedlich vor. In beiden Fällen benötigen Unternehmen eine effektive Cybersicherheitsschulung, damit Nutzer sie besser erkennen können.

Spear-Phishing-Strategien zielen auf Nutzer mit weitreichenden Berechtigungen ab. Beispiele für Nutzer mit solchen Berechtigungen sind Führungskräfte, Mitarbeiter in der Personalabteilung, Buchhalter oder Netzwerkadministratoren. Diese Nutzergruppen haben umfassendem Zugriff auf sensible Daten, die auf Darknet-Märkten verkauft werden können.

Ein weiterer Vorteil, auf Konten mit hohen Berechtigungen zuzugreifen, ist die Möglichkeit, das Netzwerk mit erhöhter Autorität zu scannen. Wenn Ransomware oder Rootkits über Accounts mit weitreichenden Berechtigungen ausgeführt werden, bekommen sie möglicherweise Zugriff auf gemeinsam genutzte Speicherbereiche, die für Konten mit niedrigeren Berechtigungen vermutlich blockiert sind.

Clone Phishing auf der anderen Seite kann Elemente von Spear Phishing enthalten und hat es mitunter auch auf Nutzer mit hohen Berechtigungen abgesehen. Spear Phishing verwendet jedoch beliebige Nachrichten, während die Nutzer mit den Nachrichten bei einem Clone-Phishing-Angriff bereits vertraut sind, da sie von einem offiziellen Unternehmen oder vom angegriffenen Unternehmen selbst verwendet werden. Bei einer solchen Nachricht kann es sich um eine Antwort auf eine automatisierte Nachricht vom Zielunternehmen handeln, oder um einen Klon einer offiziellen Nachricht eines Unternehmens, mit dem das Zielunternehmen zusammenarbeitet.

Unternehmen können verschiedene Cybersicherheitsmaßnahmen ergreifen, um Clone-Phishing-Angriffe zu stoppen. Für Nutzer ist es oftmals schwierig, bösartige E-Mail-Nachrichten zu identifizieren, weshalb Sie ein höheres Risiko eingehen, wenn Sie die Cybersicherheit allein den Nutzern überlassen. Darüber hinaus stellen Insider-Bedrohungen ein erhebliches Problem dar, und Phishing-E-Mails sind ein primärer Vektor für den Zugriff auf eine Umgebung.

Um einen erfolgreichen Phishing-Angriff zu verhindern, ist eine Kombination aus Mitarbeiterschulungen, E-Mail-Protection und Zugriffskontrollen erforderlich. Nur so können Sie den Schaden effektiv reduzieren oder im besten Falle abwenden.

Nutzersind ebenfalls Teil einer guten E-Mail-Cybersicherheit, müssen jedoch erst darin geschult werden, Phishing-E-Mails zu erkennen. Dies kann durch Schulungen zur Steigerung des Sicherheitsbewusstseins erfolgen.

Diese Schulungen sollten Nutzern beibringen, wie sie Absenderadressen prüfen und die Legitimität einer E-Mail-Nachricht sicherstellen, indem sie entweder den Kontakt anrufen oder ihm zur Überprüfung eine direkte E-Mail senden. Sie sollten wissen, dass sie nicht direkt auf Links in einer E-Mail klicken, sondern die Domain direkt in den Browser eingeben sollten.

Sobald ein Nutzer eine potenzielle Phishing-E-Mail identifiziert hat, sollte er eine Nachricht an Administratoren oder eine andere verantwortliche Stelle senden, um auf die Bedrohung aufmerksam zu machen. Wenn die Organisation gerade ein Ziel für Angreifer ist, könnte dieselbe Nachricht auch an andere Nutzer gegangen sein. Administratoren, die über den Angriff informiert sind, können die erforderlichen Vorsichtsmaßnahmen ergreifen und eine Warnmeldung an alle Mitarbeiter der Organisation schicken.

Doch selbst mit der besten Schulung kommt es immer wieder einmal vor, dass ein Nutzer die Warnzeichen nicht erkennt und Phishing zum Opfer fällt. Nutzen Sie das Training daher nicht als Ihre einzige Verteidigung.

E-Mail-Filter verhindern, dass Phishing-Nachrichten überhaupt erst den Zielempfänger erreichen. Anstatt sich auf menschliches Eingreifen zu verlassen, blockieren E-Mail-Filter potenziell schädliche E-Mail-Nachrichten. Diese Nachrichten werden unter Quarantäne gestellt und ein Administrator kann sie überprüfen und letztgültig feststellen, ob es sich um Phishing oder ein falsch positives Ergebnis handelt.