Startseite > Security > Marken-Imitationen leiten Cyberangriffe ein

Guter Name als Türöffner

Marken-Imitationen leiten Cyberangriffe ein

28. Mai 2024, 10:50 Uhr | Jörg Schröper

„Das Vertrauen in bekannte Marken wird von Cyberangreifern schamlos ausgenutzt“, sagte Thorsten Rosendahl, Technical Leader bei Cisco Talos in Deutschland.

Eine starke Marke hilft Unternehmen – und auch Cyberkriminellen. Denn Markenimitationen werden immer häufiger verwendet, um an sensible Informationen zu gelangen. Mit diesem Angriffsvektor haben sich die Threat-Intelligence-Forscher von Cisco Talos befasst.

„Brand-Imitation-Angriffe funktionieren wie ein Trojanisches Pferd“, erklärt Thorsten Rosendahl, Technical Leader bei Cisco Talos in Deutschland. „Man vertraut dem, was man sieht, ohne genau zu prüfen, was drinnen steckt. Leider sind solche Angriffe immer erfolgreicher.“

Mit Hilfe der Brand Impersonation Detection Engine von „Cisco Secure Email Threat Defense“ haben die Talos Sicherheitsforscher das Ausmaß dieser Angriffe aufgedeckt. Sie haben sich dafür weltweit den Zeitraum vom 22. März bis zum 22. April 2024 angeschaut. Die mit Abstand am häufigsten illegal verwendete Marke weltweit ist Microsoft, gefolgt von DocuSign und Amazon auf den Plätzen zwei und drei. Auch Paypal und Instagram sind in den Top10. Auf Platz 20 liegt mit der Deutschen Post auch ein deutsches Unternehmen in der Liste.

Aber wie nutzen die Cyberangreifer dies konkret? Im einfachen Fall werden die Markenzeichen direkt im HTML-Quellcode der E-Mail eingefügt. Um die Erkennung zu erschweren, kodieren die Akteure diese Mail auch per base64. Eine weitere Methode besteht darin, das Logo auf Anfrage des Mail-Programms von einem entfernten Server abzurufen. In diesem Szenario ist die URI (Uniform Resource Identifier) der Ressource im HTML-Quellcode der E-Mail eingebettet. Alternativ liefern die Angreifer ein Logo – base64 kodiert – als Anhang mit, das von E-Mail Clients dargestellt wird, wenn im html-Quellcode referenziert, um potenzielle Opfer dazu zu bewegen, ihre Anmeldedaten und weitere sensible Informationen preiszugeben.

Das Konzept dahinter: Indem die E-Mail allein schon über das Markenzeichen vorgibt, von einem vertrauenswürdigen Unternehmen zu stammen, sinken die Zweifel des Empfängers an der Echtheit der Informationen. Markenbetrüger geben sich beispielsweise als Mitarbeiter des technischen Supports einer Firma aus, die vermeintlich im Auftrag des Markenunternehmens handelt. Die E-Mail fordert dabei die Anmeldedaten des Opfers an und verschafft sich so Zugang zu den Konten von Personen. Brand-Imitationen kommen vor allem im Bereich des E-Commerce oder Office Software zum Einsatz. Ebenfalls erhalten auch fingierte Jobangebote per Logo einen vertrauenswürdigen Anstrich. Gleiches gilt auch für E-Mails von Anwaltskanzleien oder staatlichen Organisationen.

„Das Vertrauen in bekannte Marken wird von Cyberangreifern schamlos ausgenutzt“, bestätigt Rosendahl. „Wenn große Brands in den Mails auftauchen, weckt das zumindest erstmal Interesse. Oft genug, gibt es bereits auch echte Mails von diesen Unternehmen im eigenen Postfach – da muss man dann wirklich sehr genau hinschauen. Wir empfehlen Endnutzern immer zu prüfen, ob diese Mail wirklich Sinn macht und nicht leichtfertig Informationen und Zugänge zu teilen.“

Unternehmen sollten zum Schutz gegen solche Markenangriffe den Fokus auf das Schulen ihrer Mitarbeitenden legen, um die Anzahl und die Auswirkungen von Sicherheitsverletzungen zu reduzieren. Bekannte Marken, die besonders häufig von Markenimitationen betroffen sind, können sich durch das Schützen von Domain- und Markennamen gegen den Missbrauch wehren. Darüber hinaus können Erkennungsmethoden verbessert und ML-basierende Sicherheitslösungen eingesetzt werden, um die Erkennungseffizienz zu steigern.