Bei den Mails handelt es sich um sogenanntes Spear-Phishing, also gezielte Angriffe auf einzelne Personen in der Organisation mittels Social Engineering. Typo-Squatting-Domain: Dabei kamen die E-Mails von einer echten Mailserver-Adresse sehr ähnlichen Domain. Nach einer Exchange-Serverbereinigung enden Angriffe auf Mitarbeiter üblicherweise.
Nachdem Angreifer Mails von der Typo-Squatting-Domain mit angehängten bisherigen Mailverläufen verschickten, versuchten die Cyberkriminellen zum Überweisen von Geldbeträgen auf entsprechende Konten zu überzeugen. Um in Folgemails immer stärkeren Druck aufzubauen, kündigten die Angreifer neue Konto-Details an. Es würde sich um einen dringenden Fall handeln, behaupteten sie. Aufgrund von Betrugsverdächtigungen stoppte eines der beteiligten Finanzinstitute eine Zahlung.
Das Patchen der Sicherheitslücken im lokalen Exchange-Server sei der wichtigste Ansatzpunkt ist, solche Angriffe zu vermeiden, erklärte Sophos in einer Meldung. Die Sicherung der Maildomain biete sich durch Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) oder Domain Message Authentication Reporting and Conformance (DMARC) an. Außerdem empfahl Sophos die Mitarbeiter dahingehend zu schulen.
Den Schutz etwa mittels SPF und ähnlicher E-Mail-Server-Authentifizierung sollten Administratoren und IT-Verantwortliche einrichten. Es sollte unbedingt verhindert werden, dass Angreifer an Mailverläufe gelangen können.
Quelle: heise online Redaktion
Weitere Informationen zum Thema Business Security finden Sie hier.
