Check Point: 5.000 Fake-Mails von Microsoft in nur einem Monat

Segen für die einen, Fluch für die anderen: KI hilft Cyberkriminellen und versagt in Systemen, die gefährliche E-Mails eigentlich blockieren sollten. Was zu tun ist? Im Zweifel lieber zweimal Nachfragen, wie CRN in eigener Sache berichten kann.

Täuschend echt und doch nicht von Microsoft: Allein letzten Monat hat Check Point 5.000 solcher Phishing-E-Mails angeblich von Microsoft identifiziert

Neulich in meinem E-Mail-Postfach diese Nachricht: "Glückwunsch! Du bist von Deiner Firma TCC als Redakteur des Monats ausgewählt worden. Hier ist eine Auswahl von Gutscheinen". 'Schöner Versuch', denke ich. Bevor ich, natürlich völlig zurecht Geehrter, dann doch grübele und es mir in den Fingern juckt, auf den Link in besagter E-Mail zu klicken. Immerhin wird mir ein Gutschein über 100 Euro in Aussicht gestellt. Ich stelle mir die Frage, dass ich derlei verlockende E-Mails doch gar nicht zu Gesicht bekommen sollte? Technologisch gesehen, müsste die KI-Engine des E-Mail-Providers sie eigentlich als gefährlichen Hackerangriff identifizieren und in den Quarantäne-Ordner verschieben? Hat sie aber nicht.

Nun, Tausende solcher E-Mail mit Absender Microsoft schaffen es offenbar durch alle Sicherheitshürden an den Adressaten zugestellt zu werden. In nur einem Monat entdeckte Check Point mehr als 5.000 betrügerische E-Mails, die sich als offizielle Microsoft-Benachrichtigungen ausgaben. Klar, dass sie Hacker unter den Namen von Microsoft verschicken, denn wohl 99 Prozent aller Office-Worker setzen Produkte des Tech-Riesen ein, der mit Office und Windows Quasi-Monopole auf dem PC-Markt etabliert hat.

"Obfuscation"

KI mag als E-Mail-Schutzschild versagen, hilft Hackern andererseits, ihre gefährliche Fracht hervorragend zu tarnen. "Diese gefälschten E-Mails setzen fortschrittliche Techniken ein, die es den meisten Nutzern nahezu unmöglich machen, sie von legitimen Mitteilungen zu unterscheiden", schreiben die IT-Sicherheitsexperten von Check Point. Obfuscation-Techniken machten es möglich, dass "sogar erfahrene Nutzer kaum in der Lage sind, den Betrug zu erkennen."

Und weiter heißt es: "Phishing-Mails, die vorgeben, von Microsoft zu stammen, kommen nicht von unbekannten Domains, sondern imitieren vertrauenswürdige Unternehmensadministratoren. Diese gefälschten E-Mails enthalten oft Links zu scheinbar legitimen Anmeldeportalen, die darauf ausgelegt sind, vertrauliche Informationen, wie Passwörter und Zugangsdaten, zu stehlen."

Adressat eines Hackerangriffsversuchs ist, wie im Bild von Check Point veröffentlicht, nicht von ungefähr das "Finance & Business Development Team". Das Team hat wohl Zugriff auf vertrauliche Finanzdaten des Unternehmens und Pläne, welche Produkte oder sonstige Innovationen auf der Roadmap stehen. Gelingt es, die Daten zu kapern oder zu verschlüsseln, könnte die Bereitschaft des Opfers groß sein, Lösegeld zu zahlen.

Die Gefahr durch Phishing- und Fake-E-Mails wächst stetig. Die Herausforderung: bösartige E-Mails zu erkennen, bevor sie Schaden anrichten. Unternehmen sind gut beraten, ihre IT-Sicherheitsmaßnahmen auf den neuesten Stand zu bringen und ihre Mitarbeiter zu schulen, um ihre Daten und Netzwerke gegen diese Bedrohungen abzusichern. Check Point appelliert an alle Unternehmen, umfassende Sicherheitsmaßnahmen zu treffen. Dazu zählen:

Nutzeraufklärung: Schulungen sind entscheidend, um Mitarbeiter über die Gefahren von Phishing-Angriffen aufzuklären. Doch mit der Entwicklung von KI-generiertem Phishing ist es unerlässlich, dass auch stilistisch perfekte E-Mails kritisch hinterfragt werden.
KI-gestützte E-Mail-Sicherheitslösungen: Mithilfe von Verhaltensanalyse und maschinellem Lernen können KI-basierte Sicherheitslösungen solche Phishing-E-Mails und Business-E-Mail-Compromise-Bedrohungen (BEC) frühzeitig erkennen und verhindern.
Updates und Patches: Regelmäßige Aktualisierungen schließen Sicherheitslücken, die Cyber-Kriminelle ausnutzen können.

Zwei interne Anfragen, zwei sehr unterschiedliche Ratschläge

Und wie hat sich der Verfasser dieses Berichts entschieden, als ihm der 100-Euro-Gutschein seines Arbeitsgebers in Aussicht gestellt wurde? Zwei interne E-Mails zwecks Nachfrage gingen raus: Die eine an unsere IT-Abteilung, zuständig für Security. Die andere an meinen Vorgesetzten. Während die IT-Abteilung sofortiges Löschen empfahl, bestätigte mir mein Chef die Legitimität des Preises und Gutscheins. Gut, dass wir miteinander gesprochen haben.