Coronavirus-Phishing-Angriffe beschleunigen sich weltweit

Sicherheitsexperten in Unternehmen, die versuchen, die globale Gesundheitskrise zu überstehen, müssen sich mit einem schnell wachsenden Zustrom von Coronavirus E-Mail-Phishing-Angriffen auseinandersetzen. Die Forscher von Mimecast Threat Intelligence bestätigen, dass die Zunahme von Coronavirus-bezogenen Phishing-E-Mails und Malware beispiellos ist.

Der Leiter der Cyber-Abteilung des US Federal Bureau of Investigation (FBI) wies unterdessen auf eine andere Art und Weise hin, wie Cyberkriminelle die Ausbreitung der tödlichen Krankheit imitieren, und zeigte eine Verschiebung der Vielfalt und der Angriffsmethoden auf. Herb Stapleton erklärte gegenüber CBS News, dass das FBI davon ausgeht, dass sich Coronavirus-Phishing-E-Mails geografisch auf Unternehmen in den am stärksten betroffenen Regionen der USA konzentrieren werden: New York City, Kalifornien und Washington State. [1]

FBI und NCSC veröffentlichen Coronavirus-Phishing-E-Mail-Warnung

Etwa zur gleichen Zeit gaben das FBI, das britische National Cyber Security Centre (NCSC) und andere Regierungen eine Warnung über den alarmierenden Anstieg von Phishing-E-Mails im Zusammenhang mit der Pandemie heraus. Die FBI-Warnung begann mit der Feststellung: "Betrüger nutzen die COVID-19-Pandemie aus, um Ihr Geld, Ihre persönlichen Daten oder beides zu stehlen. Lassen Sie das nicht zu. Schützen Sie sich und stellen Sie Nachforschungen an, bevor Sie auf Links klicken, die angeblich Informationen über den Virus liefern ... " [2]

Konkret warnte das FBI vor Phishing-E-Mails, in denen Sie aufgefordert werden, Ihre persönlichen Daten zu verifizieren, um einen Konjunkturscheck von der Regierung zu erhalten. Trotz weit verbreiteter Medienberichte über Gerüchte über solche Schecks unter Politikern in Washington, DC, versendet die Regierung keine derartigen E-Mails, so das FBI. Letzte Woche berichtete Cyber Resilience Insights über die Analyse von Mimecast Threat Intelligence, wie sich Coronavirus-Phishing-Angriffe schnell weiterentwickeln, um die Nachrichten auszunutzen, die den Menschen gerade am meisten Angst und Unsicherheit bereiten - eine Strategie, um mehr Opfer anzulocken (siehe " Vorsicht vor sich schnell entwickelnden Coronavirus-E-Mail-Phishing-Angriffen ").

Daten zeigen steigende Bedrohung durch COVID-19 Phishing-Angriffe & Malware

Nun berichtet Mimecast Threat Intelligence, dass die E-Mail-Sicherheitssysteme des Unternehmens in der Woche bis einschließlich 23. März die Zustellung von fast 24 Millionen mutmaßlichen Coronavirus-Phishing-E-Mails verhindert haben. Das waren etwas mehr als 16 % der mehr als 150 Millionen E-Mails, die von Mimecast in diesem Zeitraum gescannt wurden.

Die COVID-19-Phishing-Angriffe machen einen ähnlichen Prozentsatz aller Spam-Mails aus, die während der fünftägigen Arbeitswoche, die am vergangenen Freitag (20. März) endete, entdeckt wurden: 15 %, weltweit. Allerdings scheint der Anteil der Coronavirus-Phishing-E-Mails am gesamten Spam-Aufkommen in den USA wesentlich höher zu sein - oft doppelt so hoch wie beispielsweise im Vereinigten Königreich an einem bestimmten Tag. Am 18. März lag der Anteil bei 20 % und am 20. März bei 22 % des Spams.

Noch besorgniserregender ist, dass sich die Zahl der unsicheren Klicks auf E-Mail-Links in den letzten Wochen fast verdoppelt hat, obwohl das Volumen der Klicks insgesamt relativ konstant geblieben ist. Dabei hatte das Vereinigte Königreich die zweifelhafte Ehre, die USA auszustechen: Die Zahl der unsicheren Klicks erreichte letzte Woche im Vereinigten Königreich einen Spitzenwert von über 160.000, während sie in den USA kaum 100.000 erreichte, so die Daten von Mimecast Threat Intelligence.

Wohin führen all diese E-Mail-Phishing-Klicks? Mimecast hat zwischen dem 9. und dem 20. März einen Anstieg der täglichen Registrierungen neuer Webdomänen und Subdomänen im Zusammenhang mit dem Coronavirus um 234 % auf mehr als 6.100 pro Tag festgestellt. Einige der über 60.000 bisher registrierten Websites sind legitim, die meisten jedoch nicht.

Natürlich ist die Zahl der von Mimecast gesperrten Seiten, die Hinweise auf das Coronavirus oder COVID-19 enthalten, entsprechend gestiegen. In der letzten Woche stieg die Zahl auf 5.000 pro Tag - mehr als 28 Mal so viel wie im Vormonat und 37 Mal so viel wie im Januar. Weitere Daten zum Anstieg von Coronavirus-E-Mails und Malware finden Sie in unserer Zusammenfassung des ersten Global Cyber Threat Intelligence Weekly Briefing , das am Dienstag, den 24. März 2020, stattfand.

"Das sind eigentlich alles die gleichen alten Angriffe - nichts wirklich Neues. Es ist nur ein anderer Köder", bemerkte Steven Sarkisian, Global Manager-Messaging Security bei Mimecast. "Das Coronavirus ist ein neuer E-Mail-Phishing-Köder, über den die Endbenutzer emotional nicht nachdenken und der ihnen noch nicht bewusst ist. Es gibt eine Botschaft zur Sensibilisierung der Benutzer, die Sicherheitsexperten in Unternehmen wiederholt an ihre Benutzergemeinschaften weitergeben sollten", so Sarkisian weiter.

Identifizierung von Coronavirus-Indikatoren für eine Gefährdung

Mimecast Threat Intelligence hat mehr als ein Dutzend IOCs für prominente Coronavirus-Phishing-Angriffe identifiziert, darunter die übliche Anzahl von E-Mail-Betreffzeilen, Domains, IP-Adressen und SHA-256-Hash-Funktionen (in Verbindung mit Anhängen), so Dr. Kiri Addison, Head of Data Science für Threat Intelligence und Overwatch bei Mimecast.

Addison identifizierte diese als E-Mail-Betreffzeilen-IOCs für Coronavirus-E-Mail-Phishing-Betrügereien:

• "CORONA Virus Update auf unserer Premises ID"
• "Coronavirus-empfindliche Angelegenheit"
• "COVID-19 Aktualisierung"
• "COVID info #"
• "Covid_19 medizinische Unterstützung"
• "COVID_19 Ausgewiesene kostenlose Testzentren in Ihrer Region"
• "COVID-19 alert id"

Übersicht über ausgewählte Coronavirus-E-Mail-Phishing-Betrügereien - Woche 2

Im Folgenden finden Sie eine Auswahl von E-Mail-Phishing-Betrügereien im Zusammenhang mit COVID-19, die in der vergangenen Woche vom Threat Intelligence-Team von Mimecast beobachtet wurden:

• Helfen Sie uns, Sie zu bezahlen: Diese Phishing-E-Mail mit der Betreffzeile "Booking PAYMENT" scheint von der Kreditorenbuchhaltung eines bestimmten Unternehmens zu stammen und verspricht, eine verspätete Zahlung zu senden, sobald Sie Ihre Unternehmensdaten korrigiert haben - wofür Sie auf einen Anhang klicken müssen.
• Für Fernarbeitskräfte: Diese Meldung erschien letzten Freitag und sieht aus, als käme sie von Ihrer Personalabteilung: "Aufgrund des zunehmenden Risikos und des Ausbruchs des Corona-Virus, (sic) wird von jedem erwartet, dass er sich in die Richtlinie für Fernarbeit zur Auswahl/Genehmigung von Mitarbeitern (sic) einträgt, die anfangen werden, von zu Hause aus zu arbeiten, wenn es bis zum Ende dieses Monats keinen Rückgang der Infektionsrate gibt." Der Link führt zu der unten abgebildeten Seite und dann zu dem dazugehörigen Anmeldeformular - beides sieht legitim aus, bis man den Text genau gelesen hat.

• COVID-19 policy update: Mit der Betreffzeile "All Staffs: Obligatorisches Corona-Update" werden Sie in dieser E-Mail aufgefordert, sich bei OneDrive anzumelden, um "wichtige Unternehmensrichtlinien bezüglich des Covid-19 (sic) Virus" zu überprüfen. Wenn Sie dies tun, erhalten die Bösewichte Ihre Anmeldedaten.
• Virus update: Es sieht aus wie eine E-Mail vom "Health HelpDesk" eines besorgten Unternehmens, die einen Link zur CDC-Website anbietet, um Ihnen dabei zu helfen, "herauszufinden, wie diese Epidemie Ihre Organisation betreffen könnte". Aber er führt nicht zu den echten Centers for Disease Control and Prevention, natürlich. (Wenigstens haben sie das Wort "beeinträchtigen" korrekt verwendet.)

Die Zusammenfassung der letzten Woche erscheint am Ende von " Vorsicht vor sich schnell entwickelnden Coronavirus-E-Mail-Phishing-Angriffen ."

[1] " Amid "significant spike" in coronavirus scams, FBI anticipates criminals will target Washington state, California and New York ," CBS News

[2] " FBI sieht Anstieg von Betrugsversuchen im Zusammenhang mit der Coronavirus (COVID-19) Pandemie ," FBI