Phishing-Simulation und Linkanalyse

Zu Abwehr von Angriffen per Mail gehört nicht mehr nur eine Bewertung der IP-Adressen (SPF), eine Content-Analyse der Texte und Virenscan der Anlagen sondern immer mehr auch die Analyse von Links in Mails. Teilweise sollen über Links nur entsprechende Bilder nachgeladen (und getrackt) werden. Gefährlicher sind aber Links, die vom Anwender unvorsichtigerweise angeklickt werden. Daher prüfen mittlerweile wohl alle Schutzlösungen auch Links in Mails und teilweise auch Anlagen. Damit ist aber klar, dass auch die Angreifer verschiedene Strategien einsetzen, um nicht erkannt zu werden.

Regelfunktion

Zuerst schaue ich mit die Regelfunktion eines Schutzsystems für den Mailempfang an. Eine Mail kommt aus dem Internet an und der Spamfilter kann schon anhand der IP-Adresse und der Funktion SPF prüfen, ob der einliefernden Host für den vorgeblichen Absender zugelassen ist. Das funktioniert allerdings nur mit ein "SPF -ALL"-Eintrag und einem DMARC-Eintrag beim Absender richtig gut, denn ansonsten ist Fälschen immer noch möglich und gegen Phishing mit ähnlich klingenden Domainnamen hilft dies auch nicht.

Daher prüfen Filterlösungen natürlich noch viel mehr Punkte einer eingehenden Mail, z.B. ob es eine aktive Konversation mit zwischen den Kommunikationspartnern gibt. Das kann NoSpamProxy z.B. anhand Absender, Empfänger, Betreff und Zeitraum sehr gut und kann daher neue Mails etwas strenger prüfen. Natürlich gehören klassische Content-Scanner, die den Body einer Mail und die Anlagen einer Prüfung unterziehen und bekannte Textmuster oder Schadcode erkennen, zum Standard. Damit fangen Sie aber wirklich nur die "dummen Spammer".

Auch die Nutzung von "Tracking-Pixels" in Mails über externe IMG-URLs, um zu sehen, wann welcher Anwender eine Mail geöffnet oder vielleicht sogar über eine Weiterleitung noch anderweitig gelesen wurde, ist schon durch die Standardeinstellungen von Mailclients erschwert, die solche URLs nicht mehr ansprechen sollten. Einige Absender machen ihr Mails aber "schwer bis unlesbar", wenn der Anwender nicht dann doch oben auf "HTML-Inhalte nachladen" klickt.

Interessanter wird es, wenn Angreifer sehr zielgerichtete Mails versenden. Dabei geht es dann nicht mehr um den Verkauf von Potenzmitteln oder anderer seltsamer Produkte. Spätestens, wenn die Angreifer ihre Anwender auf Glatteis führen und Zugangsdaten abfischen wollen, kommen Links zu externen Webseiten zum Einsatz, die dann eine Seite der Bank, des Internet-Providers o.ä. täuschend echt nachbilden und den Anwender zur Eingabe seiner Anmeldedaten auffordern.

Bis hier ist noch nicht viel passiert aber der Angreifer glaubt schon zu wissen, dass ein Anwender den Link geklickt hat, wenn es denn der Anwender war und individuelle Links verwendet wurden.

Was Filter leisten

Es kann aber auch schon ihre Filterlösung sein, die beim Empfang der Mail mal schnell schaut, was über den Link zurückkommt. Zwei Reaktionen werden dabei häufig als "schlecht" angesehen:

  • Direkte Malware
    Wenn der Anwender direkt einen Download starten würde, ist das in vielen Fällen ein Malus, Die Filterlösung kann aber auch den Download noch ausführen, wenn er nicht zu groß ist und die Datei wie ein Virenscanner inspizieren. Ist es vielleicht ein ZIP-Archiv, ein Office File (DOC, XLS statt DOCX, XLSX) oder eine PDF-Datei, in der ausführbarer Code enthalten ist?
  • Umleitung
    Da der Betrieb einer Phishing-Site durchaus eingerichtet werden muss, nutzen viele Angreifer eine Seite, die aber nicht direkt, sondern über Umleitungen erreichbar gemacht wird. Das sind teilweise Link-Verkürzer, Umleitungen über Suchmaschinen oder gekaperte andere Webseiten. Insofern sind auch Umleitungen, insbesondere mehrfach und verschiedene Domains hinweg, eher ein Zeichen für Phishing

Es gibt natürlich noch weitere Kriterien und auch eine KI oder eine Bilderkennung im Allgemeinen wird hier versuchen, solche Seiten "anzuschauen" und Phishing zu erkennen.

Es gibt natürlich noch viel mehr Ansätze solche Mails und die Angriffe zu erkennen. Allerdings gehört es auch zum Handwerk, nicht alles gleich zu verraten. Relay Block Listen (RBL) waren solange genial, bis sie öffentliche abfragbar waren und Spammer dann diese System nicht weiter genutzt haben, sondern andere Versender gesucht haben. RBL ist immer noch gut, einfach umzusetzen und betraft zumindest die Mailserver, die schlecht konfiguriert sind.

Hinweis:
Wer all seine Benutzer-Konten beim Zugriff auf alle Dienste über MFA abgesichert hat, erschwert ein einfaches Phishing, weil ein abgegriffenes Benutzername/Kennwort-Paar noch keinen Zugriff erlaubt und ihnen als Admin abgebrochene MFA-Anmeldungen sogar verrate, dass hier vielleicht ein Konto gekapert ist. Gute Phishing-Seiten arbeiten aber als Proxy, reichen MFA-Abfragen durch und nutzen dann das ausgestellte SAML-Token, um sich Zugriff zu verschaffen und zu behalten.

Gegenmaßnahme der Angreifer

Die Angreifer haben natürlich ein Interesse, dass ihre aufgesetzte Phishing-Farm nicht sofort "erkannt" wird. Auch wenn Angreifer nicht genau wissen, wie Filterlösungen im Detail arbeiten, können Sie schon einige Arbeitsweisen allein von der Funktion herleiten. Wenn eine Filterlösung eine empfange URLs prüft, dann sieht der Webserver des Angreifers den Zugriff anhand der URL, des Zeitpunkts, UserAgent und natürlich der IP-Adresse. Er wird dann versuchen zu ermitteln ob dies ein synthetischer Zugriff einer Filterlösung oder ein realer Zugriff eines unvorsichtigen Anwenders ist.

Der Zeitpunkt und die Verzögerung sind ein erster Hebel, wie ein Angreifer seine Mails und die darin enthaltenen Links gegen frühzeitige Erkennung schützen kann. Wenn ich die Arbeitszeit der Empfänger kenne, dann kann ich meine Mails dann versenden, wenn die Anwender vermutlich nicht sofort die Mail sehen und lesen. Ich kann also die Spanne zwischen der Auslieferung der Mail und dem Zugriff auf meine Webseite ermitteln. Das sind in der Regel keine Sekunden sondern eher Minuten und je länger dies dauert, desto höher ist die Wahrscheinlichkeit, dass es ein Mensch ist. Erfolgt der Zugriff aber nach wenigen Sekunden, dann ist das ein Hinweis auf eine Filterlösung. Der Filter steht hier nun vor der Herausforderung, ob er sofort prüft um die Mail möglichst verzögerungsfrei zuzustellen oder wartet er einige Minuten ab, bis der Angreifer seine wahre Payload ausspielt. Einige Produkte scannen Links nach einiger Zeit erneut und ziehen bereits zugestellte Mails wieder zurück. Andere Produkte ersetzen jeden Link durch einen eigenen Link, der dann erst im Moment des Aufrufs durch den Anwender überprüft wird. Es liegt nun am Angreifer, wie lange er die Aktivierung des bösen Inhalts hinter einem Link aktiviert. Das der Anwender aber einen Browser gestartet hat, kann der Angreifer den Anwender natürlich auch etwas vertrösten oder zur Eingabe eines Captchas auffordern, um die Filterlösung zu überlisten.

Eine Filterlösung kann zwar mit einem einfachen "Invoke-Webrequest" die URL abrufen und die Payload prüfen aber darüber dürften die meisten Angreifer eher lachen. Mittlerweile sind die Systeme so ausgereift, dass Sie zumindest den UserAgent prüfen und wenn da "PowerShell" oder nicht zumindest ein "Mozilla" drin steht, dann ist das höchstwahrscheinlich kein Anwender und die Webseite liefert ungefährlichen Inhalt aus. Das geht heute schon soweit, dass die Links gar nicht mehr als anklickbare Links in der Mail erscheinen, sondern als QR-Code (QR-Code Phishing), der vom Anwender per Smartphone abfotografiert werden soll. Der Angreifer kann damit schon unterscheiden, ob der Zugriff von Desktop-Computer des Benutzers samt Endpoint Protection und HTTPProxy-Inspektion erfolgt, oder auf dem Smartphone unter Umgehung aller Firmennetzwerke gestartet wird. Über das Smartphone kommt der Angreifer nicht direkt auf lokale Dateiserver oder andere Ressourcen aber kann den Anwender auffordern, z.B. eine App zu installieren oder seine Anmeldedaten zu "verlieren". Damit eine Filterlösung nicht auch per Bilderkennung die QR-Codes ausliest, werden QR-Codes dann auf mehrere Bilder verteilt, die vielleicht per JavaScript auch erst noch zusammengefügt werden.

Ein weiterer Faktor ist  natürlich die IP-Adresse des anfragenden Clients. Es gibt nicht nur Listen mit "Offenen Relays" (RBL) sondern auch Listen mit "dynamischen IP-Adressen", wie sie von Providern an die Millionen privater Anwender mit DSL-Anschlüssen etc. vergeben werden. In der Vergangenheit haben Mailserver sehr oft eingehende SMTP-Verbindungen von dynamischen Adressen auf Port 25/TCP unterbunden. Solche Anwender sollten ihre Mails mittels SMTPAuth und Port 587 über ihren Postfachprovider versenden. Für Phishing und andere Angreifer sind Verbindungen von diesen Adressen aber wertvoll, denn das ist mit hoher Wahrscheinlichkeit ein Benutzer im Homeoffice und eher keine Filter-Lösung, die eine URL probiert.

Genauso war es lange unwahrscheinlich, dass Anwender auf einem Server in Azure, Amazon AWS oder einem anderen Rechenzentrum per Terminaldienste (RDP/ICA, SSH, X11 o.ä.) arbeiten und von dort surfen. Zugriffe auf eine vom Angreifer gehosteten Webseite von diesen Adressen werden daher besser mit einer unscheinbaren Seite ohne Malware beantwortet, denn speziell Filterlösungen aus der Cloud starten ihre synthetische Anfrage natürlich aus der "Server-Cloud". Es könnte  für eine Filterlösung daher durchaus interessant sein, die Zugriffe von einer noch nicht verbrannten IP-Adresse zu starten, z.B.: über einen der VPN-Provider oder durch den Betrieb von eigenen Proxy-Servern in unverdächtigen Subnetzen.

Es bleibt ein Hase und Igel-Spiel. Als Anbieter eine Filterlösung () beobachten wir kontinuierlich die neuen Haken der Angreifer und finden Lösungen sich besser dagegen zu schützen.

Attack Simulation

Zu einem guten Sicherheitskonzept gehört natürlich auch eine regelmäßige Prüfung der Schutzmaßnahmen. Ein Backup ist nur gültig, wenn Sie auch regelmäßig eine Wiederherstellung geprobt haben. Das gilt genauso für Phishing-Angriffe. Beim Filter auf Spam, Malware und Phishing bekommen Sie natürlich schon im laufenden Betrieb umfangreiche Statistiken und über Falschklassifizierungen (Spam nicht geblockt und HAM aus versehen geblockt) können ihnen die Anwender etwas sagen. Ob aber ein Phishing-Angriff durchgekommen und vom Anwender ausgeführt wurde, sehen Sie spätestens beim Eintritt eines größeren Schadens.

Daher ist es wichtig, dass Sie ab und an auch ihre Anwender in Versuchung führen. Microsoft 365 hat extra dafür eine Simulationsfunktion und auch diverse andere Firmen verkaufen diese Dienstleistung. Eine Firma kann über den Weg selbst eine entsprechende Phishing-Mail erstellen und an die eigenen Anwender zustellen lassen. Die Anwender können darauf wie folgt reagieren:

  • Keine Reaktion
    Dann ist zumindest nichts passiert aber das ist auch nicht immer erwünscht
  • Meldung an IT Security
    Besser ist eine umgehende Meldung an die IT-Security, die dann auf die nicht von der Filterlösung erkannten Wege reagieren kann. Es gibt z.B. in Exchange und über Drittprodukte durchaus die Möglichkeit, bestimmte Mails in allen Postfächern entfernen zu lassen. damit kein weiterer Anwender die Schadfunktion aktiviert. Auch können andere Schutzfunktionen temporär verschärft werden, z.B. Zugriff auf die Webseite per Proxy, genauere Überwachung von Anmeldungen etc.
  • Klick auf den Link
    Der "Worst-Case" ist natürlich der Klick des Anwenders und die Aktivierung der Schadfunktion. Das kann ein lokal ausgeführter Code oder ein Zugriff auf Informationen des Anwender sein, die der Angreifer weiter ausnutzen kann.

Ideal ist die "Meldung an IT Security", damit angemessen darauf reagiert werden kann. Dazu zählt aber auch eine "Awareness"-Schulung der Mitarbeiter, die regelmäßig wiederholt wird. Wer sein Postfach in Exchange Online betreibt und auch den Phishing-Simulator von Microsoft nutzt, ist eigentlich fein raus, da die meisten Voraussetzungen erfüllt sind. Wer eine 3rd Party Software nutzt und selbst die Mails einliefert, muss zwei Fragen beantworten.

  • Phishing sicher zustellen
    Die Microsoft-Simulation stellt die Mails nicht über den MX-Record und SMTP zu, sondern legt die Mail direkt ins Postfach ab. Jegliche vorgeschaltete Filterfunktion wird damit umgangen. Wenn Sie eine andere Lösung nutzen und z.B. gerade auch ihre Filterlösung prüfen wollen, dann müssen sie die Mails aus dem Internet per SMTP zustellen. Wenn der Filter aber funktioniert, kommen ihre Testmails im Idealfall gar nicht beim Ziel an. Also müssen Sie ihren Filter für die Simulationsnachrichten durchgängig machen.
    Das ist aber insbesondere mit Exchange Online nicht einfach, da "high confidential Phish"-Erkennung nicht abgeschaltet werden kann (Siehe https://learn.microsoft.com/en-us/defender-office-365/secure-by-default). Daher kann es durchaus interessant sein, auch mit 3rd Party Lösungen z.B. über Microsoft Graph eine Mail direkt im Posteingang "abzulegen".

    Andere Mailsysteme erlauben vielleicht auch eine Zustellung über einen separaten Eingang, quasi eine Hintertür am Spamschutz vorbei oder ein Bypass anhand der Source-IP.
  • Link-Zugriffe klar erkennen
    Die zweite Herausforderung ist dann die Erkennung eines Zugriffs. Wenn ihre Spamfilter-Lösung selbst mal "nachschaut", dann erscheint dieser Zugriff bei einigen Lösungen als "Benutzer hat den Link geklickt". Das stimmt aber nicht, wenn der Benutzer die Mail noch gar nicht bekommen hat. Man müsste dann auf den einen späteren Hit warten. Aber auch das ist nicht sicher, denn es gibt Schutzlösungen, die auch mit zeitlicher Verzögerung einen Link noch einmal prüfen, um eben solche verzögerten Bomben zu erkennen.
    Auch hier ist das Problem, dass die IP-Adresse helfen kann, wenn Sie die Subnetze ihres Cloud-Scanners kennen. Diese Adressen werden aber vom Anbieter sicher nicht mal so veröffentlicht, denn dann würden auch die Angreifer die Zugriffe solcher Adressen blockieren oder mit harmlosen Inhalten beantworten.
    Das Problem existiert natürlich nicht, wenn die Mail erst gar nicht durch die Schutzlösung geroutet wird und wirklich Zugriffe dann vom Client aus erfolgen. Auch da könnte aber ein lokaler Spamfilter, z.B.: als Addon für Outlook einen Fehlalarm generieren. Allein der Zugriff auf eine individualisierte URL ist daher kein absolut zuverlässiger Indikator für einen unvorsichtigen Anwender.

Stellen Sie daher sicher, dass ihre simulierten Mails zuverlässig am Spamfilter und anderen Schutzfunktionen auf dem Transport, dem Mailserver aber auch dem Client "durchkommen", damit sie wirklich den Anwendern auch die Change lassen, ihren Link anzuklicken.

Spamfilter mit Quarantäne-Link

Eine besondere Herausforderung sind die Linkchecker von doppelten Spamfiltern. Stellen Sie sich folgende Konfiguration vor: Ein Absender im Internet sendet seine Mail anhand des MX-Records an einen vorgelagerten Spamfilter. Der Spamfilter erkennt die Mail als Spam uns legt sie in der Quarantäne ab. Damit der Anwender aber dies bemerkt, sendet der Spamfilter z.B. einmal am Tag eine Sammelmail an den internen Empfänger mit der Liste aller für ihn in der Quarantäne zurückgehaltenen Mails. (Quarantäne Report) Um dem Anwender das "Freigeben" einer irrtümlich festgehaltenen Mail zu erlauben, addiert die Spamschutzlösung einen anklickbaren Link.

Wenn nun der zweite nachgeschaltete Spamfilter aber einen Linkcheck macht, dann könnte der erste Spamfilter dies als vom Benutzer ausgelöste Aktion wahrnehmen und die Mail aus der Quarantäne zur Zustellung frei geben. Genau das passiert wohl häufiger mit Exchange Online, da Microsoft durchaus URls auch aktiv prüft und insbesondere bei "High Confident Phish" solche Prüfungen auch nicht abgeschaltet werden können:

Because Microsoft wants to keep our customers secure by default, some tenants overrides aren't applied for malware or high confidence phishing. These overrides include:
- Allowed sender lists or allowed domain lists (anti-spam policies)
- Outlook Safe Senders
- IP Allow List (connection filtering)
- Exchange mail flow rules (also known as transport rules)
Quelle: Secure by default in Office 365 https://learn.microsoft.com/en-us/defender-office-365/secure-by-default

Für den Exchange Online AntiSpam/AntiPhishing-Schutz gibt es noch zwei Dinge, die ihn vermutlich erst recht vorsichtig werden lassen:

  • Mailmenge/Burst
    Wenn die vorgelagerte Schutzlösung die QuarantäneMails alle zur gleichen Zeit sendet, dann erkennt Exchange vielleicht einen "Sturm" von einem Absender an jeden einzelnen Empfänger.
  • Support-Absender
    Wenn die Schutzlösung dann noch als "support@<kundendomain>" sendet, schlägt ein Phishing-Schutz an, der eine Mail von Extern mit einem internen Absender als "High confidence phish" ansieht.

Auch wenn der Anbieter der Filter-Lösung beide Punkte entschärfen könnten, bin ich dennoch kein Freund einer Qurantäne und erst recht nicht dieser "Report-Mails", die von vielen Anwendern dann per Regel automatisch gelöscht werden, je besser der Filter ist

Weitere Links