Phishing enttarnt: Die versteckten Gefahren von E-Mail-Betrügereien
Lern, wie Phishing-Angriffe vertrauenswürdige Netzwerke ausnutzen, um Informationen zu stehlen.
Elisa Luo, Liane Young, Grant Ho, M. H. Afifi, Marco Schweighauser, Ethan Katz-Bassett, Asaf Cidon
― 8 min Lesedauer
Inhaltsverzeichnis
- Warum Phishing ein Problem ist
- Die dunkle Seite der E-Mail-Netzwerke
- Wie Phishing-E-Mails zugestellt werden
- Der Datensatz: Ein tiefer Einblick
- Die Macht der E-Mail-Header
- Wie viele Phishing-E-Mails kommen durch?
- Veränderungen in der Phishing-Landschaft
- E-Mail-Filterdienste: Helfen sie wirklich?
- Ein näherer Blick auf die Infrastruktur der Angreifer
- Phishing-Kampagnen identifizieren
- Die Herausforderung der E-Mail-Authentifizierung
- Die Rolle von Hosting-Diensten
- Geografische Verteilung von Phishing-E-Mails
- Fallstudien zum Phishing-Verhalten
- Neue Strategien zur Phishing-Erkennung
- Ergebnisse der neuen Methode in der Praxis
- Fazit und wichtige Erkenntnisse
- Originalquelle
- Referenz Links
Phishing ist eine Art Online-Betrug, bei dem Angreifer gefälschte E-Mails senden, um Leute dazu zu bringen, persönliche Informationen preiszugeben. Stell dir das wie einen Fischer vor, der seine Angel auswirft, um Fische zu fangen, aber stattdessen versucht, deine sensiblen Daten zu schnappen. Diese E-Mails sehen oft so aus, als kämen sie von vertrauenswürdigen Quellen und enthalten normalerweise Links zu gefälschten Webseiten, die legitim aussehen.
Warum Phishing ein Problem ist
Phishing-Angriffe sind eine ziemliche Bedrohung für Unternehmen und kosten sie Milliarden von Dollar. Sie können den Betrieb stören, sensible Informationen stehlen und sogar die nationale Sicherheit gefährden. In der heutigen Online-Welt, wo E-Mails eine Hauptform der Kommunikation sind, ist es wichtig, sich der Taktiken bewusst zu sein, die Betrüger verwenden, und wie man sich selbst und sein Unternehmen schützt.
Die dunkle Seite der E-Mail-Netzwerke
Während wir oft an seriöse Firmen wie Microsoft und Amazon denken, wenn es um sichere E-Mail-Kommunikation geht, ist es überraschend, dass eine erhebliche Menge an Phishing-E-Mails von deren Servern kommt. Stell dir vor, du findest heraus, dass dein netter örtlicher Supermarkt faules Obst verkauft – schockierend, oder?
Angreifer senden E-Mails normalerweise nicht direkt von zweifelhaften Servern. Sie nutzen lieber diese bekannten Dienste, weil sie bessere Chancen haben, ihre Nachrichten durch Filter zu bekommen. Also, auch wenn die meisten E-Mails von diesen Firmen harmlos sind, schlüpfen einige Phishing-E-Mails durch.
Wie Phishing-E-Mails zugestellt werden
Jede E-Mail reist durch eine Reihe von Servern, bevor sie ihr Ziel erreicht – wie ein Lieferwagen, der unterwegs Stopps macht. Jeder Server fügt der E-Mail-Historie einen Eintrag hinzu, der zeigt, woher die E-Mail kommt.
Wenn eine E-Mail gesendet wird, passiert sie diese Server, die jeweils "Received"-Header hinzufügen, um den Weg der E-Mail zu zeigen. Wenn eine E-Mail durch viele Server geht, bevor sie dich erreicht, könnte das ein Warnsignal sein. Denk an ein Paket, das viel zu viele Umwege macht – das könnte verdächtig sein!
Der Datensatz: Ein tiefer Einblick
Um zu verstehen, wie Phishing-E-Mails funktionieren, haben Forscher über ein Jahr einen riesigen Datensatz analysiert. Dieser Datensatz umfasste Milliarden von E-Mails und zeigte, dass eine überraschend grosse Anzahl an Phishing-E-Mails aus vertrauenswürdigen Netzwerken stammt. Über 800.000 Phishing-E-Mails wurden verfolgt, was wertvolle Einblicke in das Verhalten dieser bösartigen Nachrichten gab.
Die Macht der E-Mail-Header
E-Mail-Header sind wie die Geburtsurkunden von E-Mails – sie erzählen die Geschichte, woher eine E-Mail kommt und wie sie in deinem Posteingang gelandet ist. Durch die Untersuchung dieser Header können Forscher die Netzwerke kategorisieren, die Phishing-E-Mails senden.
Es entstanden zwei Hauptkategorien:
- Netzwerke mit niedriger Phishing-Konzentration: Hier sind die meisten E-Mails legitim, aber eine kleine Menge stammt von Phishing-Versuchen.
- Netzwerke mit hoher Phishing-Konzentration: Diese Netzwerke senden hauptsächlich Phishing-E-Mails mit nur sehr wenigen legitimen Nachrichten dazwischen.
Es ist wie der Vergleich zwischen Restaurants, die nur leckeres Essen servieren und solchen, die Gerichte anbieten, bei denen du deine Lebensentscheidungen hinterfragen würdest.
Wie viele Phishing-E-Mails kommen durch?
Unternehmen nutzen oft Filter, wie statische Blocklisten, um sich gegen Phishing zu schützen. Diese Listen blockieren bekannte bösartige Absender, sind aber nicht narrensicher. Tatsächlich schaffen es viele Phishing-E-Mails trotzdem, diese Barrieren zu umschiffen. Es ist, als hätte man einen Sicherheitsmann an der Haustür, der manchmal während seiner Schicht einnickt – einige Betrüger kommen trotzdem rein!
Trotz dieser Filter entkommen Hunderttausende von Phishing-E-Mails der Entdeckung. Das liegt daran, dass Betrüger ständig ihre Methoden anpassen. E-Mail-Adressen und Serverbesitz wechseln so häufig, dass statische Listen schnell veraltet sind.
Veränderungen in der Phishing-Landschaft
Die Landschaft des Phishings ist ständig im Wandel. Angreifer springen oft von einem Netzwerk zum anderen, um nicht erwischt zu werden, wie ein Einbrecher, der nach jedem Überfall sein Outfit wechselt. Das macht es schwer für traditionelle Abwehrmechanismen, mit den sich entwickelnden Taktiken der Betrüger Schritt zu halten.
Die Forscher wollten diese sich verändernden Verhaltensweisen besser verstehen. Durch das Studium der Netzwerke, die Phishing-E-Mails über die Zeit liefern, fanden sie heraus, dass viele Netzwerke Phishing-E-Mails nur in kurzen Schüben senden. Das deutet darauf hin, dass die aktuellen Sicherheitsmassnahmen möglicherweise nicht ausreichen und neue, dynamischere Methoden nötig sind, um Phishing zu bekämpfen.
E-Mail-Filterdienste: Helfen sie wirklich?
Einige Unternehmen setzen E-Mail-Filterdienste ein, die Phishing-Versuche erkennen und blockieren können, bevor sie die Postfächer der Nutzer erreichen. Es stellt sich jedoch heraus, dass diese Filter nicht alles auffangen. In einer Studie waren 75 % der Unternehmen, die E-Mail-Filterdienste nutzten, immer noch anfällig für Phishing-Angriffe. Das ist, als hätte man ein Schloss an der Haustür, aber lässt das Fenster weit offen!
Ein näherer Blick auf die Infrastruktur der Angreifer
Obwohl die E-Mail-Provider vertrauenswürdig erscheinen, hosten sie manchmal Dienste, die von Angreifern missbraucht werden. Diese Netzwerke können je nach dem Umfang an Phishing, das sie generieren, und wie stabil sie über die Zeit sind, kategorisiert werden.
Einige seriöse Netzwerke, wie Amazon und Microsoft, sind überraschend in Phishing-Aktivitäten verwickelt, obwohl sie für ihre legitimen Dienste bekannt sind. Angreifer könnten diese Plattformen benutzen, um Phishing-E-Mails zu senden, weil sie wissen, dass sie mit geringerer Wahrscheinlichkeit von Sicherheitsfiltern markiert werden.
Phishing-Kampagnen identifizieren
Nicht alle Phishing-E-Mails sind gleich. Forscher kategorisieren Phishing-E-Mails in Kampagnen basierend auf dem Absender und dem Betreff. Durch die Analyse mehrerer Kampagnen können sie Trends erkennen und herausfinden, welche Taktiken für Angreifer am effektivsten sind.
Die Daten zeigten, dass eine kleine Anzahl von Kampagnen einen signifikanten Teil der Phishing-E-Mails ausmacht. Das bedeutet, dass, während es tausende von Angreifern gibt, einige wenige für die meisten betrügerischen E-Mails verantwortlich sind, die im Internet zirkulieren. Es ist ein bisschen wie ein Spiel von Whac-A-Mole – egal wie viele du erwischst, ein paar werden immer wieder auftauchen!
Authentifizierung
Die Herausforderung der E-Mail-Es gibt verschiedene Protokolle, um E-Mail-Absender zu authentifizieren und Spoofing entgegenzuwirken. Dazu gehören SPF, DKIM und DMARC. Allerdings schaffen es viele E-Mails dennoch, durchzukommen, obwohl sie diese Kontrollen nicht bestehen. Das Problem ist, dass diese Authentifizierungsmethoden nicht narrensicher sind, oft fehlerhaft konfiguriert oder inkonsistent angewendet werden.
In Wirklichkeit bestehen weniger als die Hälfte der sauberen E-Mails die DMARC-Validierung. Diese niedrige Erfolgsquote hebt die Herausforderungen hervor, denen Unternehmen gegenüberstehen, wenn sie versuchen, Phishing nur durch Authentifizierung zu bekämpfen.
Die Rolle von Hosting-Diensten
Eine erhebliche Anzahl von Phishing-E-Mails stammt von anerkannten Cloud-Hosting-Diensten. Das macht Sinn, da viele Angreifer diese Plattformen ausnutzen, um E-Mails zu senden, ohne Verdacht zu erregen. Unternehmen müssen herausfinden, welche Schritte unternommen werden können, um schlechte Akteure zu erkennen, die diese Dienste nutzen – wie ein Türsteher, der manchmal zwielichtige Charaktere reinlässt, ohne es zu merken.
Geografische Verteilung von Phishing-E-Mails
Als Forscher analysierten, woher die Phishing-E-Mails kamen, stellten sie fest, dass sie oft aus Ländern stammten, die für ihre Online-Dienste bekannt sind. Länder wie die USA und das Vereinigte Königreich tauchten häufig als Quellen sowohl für saubere als auch für Phishing-E-Mails auf.
Interessanterweise reisten Phishing-E-Mails oft durch mehr Länder als legitime E-Mails. Der Weg, den eine E-Mail nimmt, kann viel über ihre Glaubwürdigkeit aussagen. Wenn sie quer durch Länder wie ein Weltreisender hüpft, könnte sie etwas verbergen.
Fallstudien zum Phishing-Verhalten
Um das Phishing-Verhalten zu veranschaulichen, untersuchten Forscher spezifische Netzwerke, die für hohe oder niedrige Konzentrationen von Phishing-E-Mails bekannt sind. Zum Beispiel waren einige IP-Adressen von bekannten Anbietern wie Amazon und Microsoft für eine überraschend hohe Anzahl von Phishing-Versuchen verantwortlich. In einigen Fällen fanden sie heraus, dass diese E-Mails mit kompromittierten Konten gesendet wurden.
Andere Netzwerke zeigten bursty Verhaltensweisen, indem sie eine grosse Menge an Phishing-E-Mails in kurzen Schüben sendeten und dann wieder verschwanden. Dies hebt die Notwendigkeit adaptiver Massnahmen hervor, die auf plötzliche Veränderungen in den E-Mail-Verkehrsmustern reagieren können.
Erkennung
Neue Strategien zur Phishing-Mit all diesem Wissen über Phishing-Netzwerke und deren Verhalten arbeiteten Forscher mit E-Mail-Sicherheitsunternehmen zusammen, um einen neuen Klassifikator zu entwickeln. Dieses Tool soll sich an die sich ständig ändernde Landschaft von Phishing-Angriffen anpassen.
Anstatt sich nur auf statische Listen zu verlassen, aktualisiert das neue System ständig sein Verständnis darüber, welche Netzwerke Phishing-E-Mails liefern. Durch die Verwendung eines gleitenden Fensters zur Überwachung des E-Mail-Verkehrs kann es die Erkennungsraten verbessern und zuvor unentdeckte Phishing-Angriffe aufspüren.
Ergebnisse der neuen Methode in der Praxis
Als die neue Erkennungsmethode getestet wurde, identifizierte sie erfolgreich 3-5 % mehr Phishing-E-Mails als frühere Methoden. Das bedeutet, dass ein System, das sich verändernde Muster erkennt, zu einem besseren Schutz gegen Phishing-Betrug führen kann, was für jeden Musik in den Ohren ist!
Fazit und wichtige Erkenntnisse
Zusammenfassend bleibt Phishing eine erhebliche Bedrohung, mit einer überraschend grossen Anzahl von Angriffen, die aus vertrauenswürdigen Netzwerken kommen. Viele Phishing-E-Mails schaffen es, durch traditionelle Abwehrmechanismen zu schlüpfen, und Angreifer passen ständig ihre Taktiken an, um einen Schritt voraus zu sein.
Indem sie bewerten, wie E-Mails zugestellt werden und anpassungsfähige Erkennungsmethoden entwickeln, können Unternehmen ihre Abwehrkräfte gegen Phishing-Angriffe stärken. Also, beim nächsten Mal, wenn du eine E-Mail siehst, die nach deinen persönlichen Informationen fragt, nimm dir einen Moment Zeit, um innezuhalten und zu überlegen – könnte das ein cleverer Phishing-Versuch sein? Lieber auf Nummer sicher gehen!
Titel: Characterizing the Networks Sending Enterprise Phishing Emails
Zusammenfassung: Phishing attacks on enterprise employees present one of the most costly and potent threats to organizations. We explore an understudied facet of enterprise phishing attacks: the email relay infrastructure behind successfully delivered phishing emails. We draw on a dataset spanning one year across thousands of enterprises, billions of emails, and over 800,000 delivered phishing attacks. Our work sheds light on the network origins of phishing emails received by real-world enterprises, differences in email traffic we observe from networks sending phishing emails, and how these characteristics change over time. Surprisingly, we find that over one-third of the phishing email in our dataset originates from highly reputable networks, including Amazon and Microsoft. Their total volume of phishing email is consistently high across multiple months in our dataset, even though the overwhelming majority of email sent by these networks is benign. In contrast, we observe that a large portion of phishing emails originate from networks where the vast majority of emails they send are phishing, but their email traffic is not consistent over time. Taken together, our results explain why no singular defense strategy, such as static blocklists (which are commonly used in email security filters deployed by organizations in our dataset), is effective at blocking enterprise phishing. Based on our offline analysis, we partnered with a large email security company to deploy a classifier that uses dynamically updated network-based features. In a production environment over a period of 4.5 months, our new detector was able to identify 3-5% more enterprise email attacks that were previously undetected by the company's existing classifiers.
Autoren: Elisa Luo, Liane Young, Grant Ho, M. H. Afifi, Marco Schweighauser, Ethan Katz-Bassett, Asaf Cidon
Letzte Aktualisierung: Dec 16, 2024
Sprache: English
Quell-URL: https://arxiv.org/abs/2412.12403
Quell-PDF: https://arxiv.org/pdf/2412.12403
Lizenz: https://creativecommons.org/licenses/by/4.0/
Änderungen: Diese Zusammenfassung wurde mit Unterstützung von AI erstellt und kann Ungenauigkeiten enthalten. Genaue Informationen entnehmen Sie bitte den hier verlinkten Originaldokumenten.
Vielen Dank an arxiv für die Nutzung seiner Open-Access-Interoperabilität.