Fiese Phishing-Tricks

Kaspersky warnt vor Lookalike-Angriffen

21.01.2021 von Andreas Th. Fischer
Cyber-Kriminelle lassen sich immer neue Tricks einfallen, um ihre Opfer hereinzulegen. Laut Kaspersky enthalten viele Phishing-Mails jetzt „Doppelgänger-Adressen“.
Lookalike-Attacken richten sich nach Angaben von Kaspersky vor allem gegen Dienstleister und E-Commerce-Unternehmen.
Foto: metamorworks - shutterstock.com

Erst vor kurzem hatte der russische Sicherheitsanbieter Kaspersky eine eindringliche Warnung vor zunehmenden APT-Attacken im kommenden Jahr veröffentlicht. Nun weist der Hersteller auf sogenannte Lookalike-Angriffe hin, die vor allem gegen die Dienstleistungs- und E-Commerce-Branche gerichtet seien. Dabei versenden Cyber-Kriminelle Phishing-E-Mails von vermeintlich legitimen Domain-Adressen, die sich lediglich durch kleine Abweichungen von den Originalen unterscheiden.

In vielen Fällen erkennen die Empfänger die Fehler nach Angaben von Kaspersky nicht. Als Beispiele nennt das Unternehmen zum Beispiel Absender, die von @netffix.com statt von @netflix.com stammen oder von @kapersky.com statt von @kaspersky.com. Wie der Sicherheitsanbieter warnt, erwecken solche nur leicht angepasste Domains oft auch nicht den Verdacht von Anti-Spam-Systemen.

Im dritten Quartal dieses Jahres seien vor allem Dienstleistungen und der Bereich E-Commerce mit 35 Prozent am stärksten von Lookalike-Angriffen betroffen gewesen, gefolgt von IT und Telekommunikation mit 22 Prozent und den Bereichen Produktion sowie Data-Mining.

Kaspersky empfiehlt den Einsatz moderner Techniken gegen diese Angriffe, die mehrere Analysestufen umfassen. Sie identifizieren gefälschte Adressen zum Beispiel, indem sie verdächtige Domains mit legitimen Adressen vergleichen. Auch Details zur Registrierung der angegebenen Domains sowie die verwendeten Zertifikate werden überprüft. Erst in der letzten Stufe werden die Absenderdaten dann mit einer Liste bekannter, offizieller Webadressen verglichen. So lassen sich Lookalike-Attacken nach Angaben von Kaspersky bereits blockieren, wenn sie zum ersten Mal auftauchen.