Replier-Attack: Angriff per Antwort

E-Mails sind nicht immer das, was sie zu sein scheinen. Für Phishing-Angriffe geben Cyber-Kriminelle zuletzt beispielsweise vor, Zahlungsaufforderungen im Namen bekannter Marken wie DHL, Microsoft, oder Amazon zu schicken, um ihre Opfer zu bestehlen. Mittlerweile greifen Hacker jedoch noch tiefer in die Trickkiste und versuchen, auch in wirtschaftlichen Nischen, wie dem Industriebedarf, illegal an Geld zu gelangen. Das zeigt ein aktueller Fall, den die Sicherheitsforscher von Avanan beobachteten. Dabei imitierten Kriminelle das französische Energieunternehmen Total Energies – in Deutschland durch Tankstellen bekannt – und baten Zulieferer um Kostenvoranschläge für eine Zentrifuge. Für den Betrugsversuch machten sich die Täter eine einfache, aber von vielen Nutzern oft übersehene Funktion zu Nutze, mit der sie den Absender der E-Mail fälschen können.

Gefälschte Absender-Adresse

Das Absender-Feld in einer E-Mail ist, wie bei einem Brief, nur eine Adresszeile, die der Absender eintippt. So wie jeder zu einem Postamt gehen und eine Karte verschicken kann, die vermeintlich von jeder erdenklichen Adresse stammt, kann man dies auch mit E-Mails tun. Hacker nutzen diese Möglichkeit, um Nachrichten so aussehen zu lassen, als kämen sie von einer bestimmten Adresse, obwohl sie in Wirklichkeit von einer anderen stammen. Die Antworten gehen aber an die wahre Adresse und fallen den Hackern in die Hände. Diese Technik wird in diversen Branchen eingesetzt und so auch in dem bereits beschriebenen Beispiel der vermeintlichen Beschaffung einer Zentrifuge. Sie hört auf den Namen: Replier-Attack, also Antwort-Attacke.

Bei dieser Form des Phishings sollen Empfänger über die technische Funktionsweise des „Antworten“-Feldes ausgetrickst werden. Die Absenderadresse imitiert die echte Adresse von Total Energies. Die Antwort-Domäne „@totalenergiesupply“ hingegen ist nicht mit Total Energies verbunden, sondern wurde erst wenige Tage vor Verschicken der Phishing-Mail angemeldet. Die Hacker dahinter sitzen außerdem nicht in Frankreich, wie eine Analyse der Domäne ergeben hat, sondern wahrscheinlich auf Taiwan.

Spray-and-Pray-Nachricht

In dem Angriff bitten die Hacker um einen Kostenvoranschlag für den Kauf einer Zentrifuge. Im Anhang befindet sich ein Dokument mit allen geforderten Informationen und eine Erklärung, wie der vermeintliche Käufer den Prozess der Interaktion mit dem Endbenutzer einleiten will – um jedoch am Ende dessen Geld zu stehlen. Die Angreifer hoffen, dass ein Empfänger die Nachricht für legitim hält. Diese spezielle E-Mail wurde an eine Vielzahl von Unternehmen aus verschiedenen Branchen in Europa verschickt. Es handelt sich daher um eine sogenannte Spray-and-Pray-Nachricht, bei der die Drahtzieher hunderte E-Mails an verschiedene Empfänger schicken und hoffen, dass vereinzelt Personen hereinfallen werden.

Der Angriff ist besonders raffiniert, da die meisten Benutzer, sollten sie antworten, nicht merken, dass ihre Nachricht an ein anderes Postfach geht. Die meisten E-Mail-Programme zeigen das spezielle „Antwort an“-Feld nicht, das sich von der Absenderadresse unterscheiden kann. Daher denken die meisten Benutzer, dass sie dem Absender antworten, wenn sie auf die Schaltfläche „Antworten“ klicken. Die Hacker hoffen somit, dass ihre Zielpersonen keine fortgeschrittenen Kenntnisse darüber haben, wie E-Mails technisch funktionieren.

Roger Homrich

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago