The Masked Singer/Sender

Wie die TV Show „The Masked Singer“ bleibt auch die beliebte Phishing Attacke ein Begleiter in unserem Alltag. Wie man aus verschiedenen Artikeln herauslesen kann, werden immer wieder Firmen wie auch Privatpersonen Opfer von Phishing Attacken. Firmeninterne Informationen, Kundendaten, NFTs etc., alles hat seinen Wert und kann dem Opfer in der einen oder anderen Weise sehr schaden.

Der grösste Angriffsvektor für Phishing-Attacken ist auch im Jahr 2022 noch immer die E-Mail und somit kommen wir auch wieder zu meinem Lieblingsgebiet. 🙂

In einem früheren Blogartikel habe ich schon ein wenig darüber geschrieben, wie man mögliche Phishing-Mails erkennen und auch seine User ein wenig schulen kann. Dies ist ein guter Anfang, jedoch waren die Angreifer in den letzten Monaten nicht untätig und haben an ihren Skills gearbeitet. D.h. für uns, die Mails werden einfach immer besser und «echter». Als hätten sie nun eine perfekte Maske an und können uns täuschen / hinter das Licht führen (darum die Anlehnung an „The Masked Singer“ 🙂 ).

Doch wie weiter? Was können wir tun?

Ein guter Weg ist immer, seine User zu schulen. Damit diese sich auch bewusst werden, was ein Klick alles auslösen kann und was sie selber dazu beitragen können, Informationen – seien dies Login Daten, Kundendaten etc. – zu schützen. Um das Bewusstsein der User zu fördern und trainieren, gibt es verschiedene Tools. Eines ist das Cisco Secure Awareness Training, zu welchem blenny einen super Blogartikel geschrieben hat. In diesem beschreibt er auch das Vorgehen und die gesammelten Erkenntnisse.

Kann man dies nicht automatisieren?

Für die automatische Erkennung von Phishing gibt es verschiedene Optionen. Diese basieren meistens auf einer künstlichen Intelligenz oder maschinellem Lernen. Dadurch können z.B. Trust Modelle zwischen den Mailpartnern erstellt oder auch gewisse Verhaltensweisen analysiert werden, welche dann in eine Bewertung einfliessen können. Vor Kurzem haben wir ein Webinar zu diesem mit Cisco durchgeführt, dieses habe ich am Ende des Artikels verlinkt. In diesem wurde unter anderem das Cisco Secure Email Phishing Defense vorgestellt und ich werde dies nun auch noch in eigenen Worten zusammenfassen und meine eigenen Erfahrungen teilen.

Was kann es?

Die Secure Email Phishing Defense arbeitet mit maschinellem Lernen und erstellt ein Trust-Modell über alle verschiedenen E-Mail Partner. Die cloudbasierte Lösung schützt auch vor Spoofing, Ransomware und auch Zero-day Attacken. Dazu werden für jedes Mail die Informationen von Cisco Talos und weiteren Checks hinzugezogen und ein Trust-Score berechnet.

Cisco Secure Email Phishing Defense Overview Dashboard

Dashboard Cisco Secure Email Phishing Defense / Aufruf 14.04.2022: https://cisco-demo.appc.cisco.com/overview-dashboard/real-time

Cisco Secure Email Phishing Defense Message Details

Message Details / Aufruf 14.04.2022: https://cisco-demo.appc.cisco.com/dashboard/untrusted/all

Mit den gesammelten und gelernten Informationen können dann Aktionen ausgelöst werden, z.B. dass eine Phishing Mail aus dem Postfach des Users gelöscht werden soll*. Was den grossen Vorteil bietet, dass dies ohne manuelles Eingreifen durchgeführt werden kann, ohne dass ein Administrator zuerst eine Benachrichtigung erhält, sich auf dem Mailserver einloggen, die Mail suchen und schlussendlich löschen muss.

*Für diese Aktionen muss eine zusätzliche VM installiert werden, welche auch als Sensor für die Weiterleitung der Metadaten eingesetzt werden kann.

Policies und Aktionen

Weiter wird auch das Verhalten des Senders analysiert, welches ein verdächtiges Verhalten von der Gegenseite detektieren und eine definierte Aktion ausführen kann. Die Aktionen können selber mittels eigenen Policies definiert werden.

Cisco Secure Email Phishing Defense Auszug Ruleset

Auszug Ruleset / Aufruf 14.04.2022: https://cisco-demo.appc.cisco.com/alerts/policies

Im Bild sind verschiedene Beispiel-Regeln zu sehen, welche ich kurz erklären möchte:

[QUAR]Untrusted Messages

Wie der Name der Regel sagt, werden alle Mails, welche einen sehr schlechten Trust Score haben, diese Regel auslösen. Der Trust Score wird für jede Mail einzeln aus dem Authenticity Score und Domain Repuation Score berechnet.

Brand Display Name Impostors

Wenn eine Mail vermeintlich von Google versendet wurde (zwinker zwinker), aber doch von einer komplett anderen Domäne, welche gar nichts mit Google zu tun hat, versendet wird, triggert diese Regel.

Compromised Account

Diese Regel tritt in Kraft, wenn ein Verdacht besteht, dass der Account vom Sender missbraucht oder sogar gekapert wurde. Ein Indiz hierfür könnte sein, wenn ein Sender immer Mails aus Deutschland sendet und plötzlich kommt eine Mail aus Vietnam oder den USA etc.

Executive Imposters

Hier wird eine Liste mit wichtigen Namen hinterlegt, welche gespooft werden könnten z.B. der Finanzchef.

Suspicious Messages to C-Level

Diese Regel zieht für alle Empfänger in der Gruppe C-Level Executives, wenn diese eine Mail erhalten mit einem recht schlechten bis ganz schlechtem Trust Score. Somit kann diese Gruppe vor solchen Mails geschützt werden, da diese Empfänger ein beliebtes Ziel sind und/oder die Mailadresse auf der eigenen Homepage zu finden ist und sie somit schnell Opfer von SPAM etc. werden.

Low Message Trust and Low Server Reputation

Diese Regel ist eine Kombination von zwei Scores. Falls beide niedrig sind, triggert die Regel und wird vor allem verwendet, um SPAM und Graymails herauszufiltern.

Look-alike Domains

Unter Look-alike Domains versteht man Domänen, welche zwar ähnlich sind, aber doch nicht wirklich die gleichen sind. Z.B. gmail.com und qmail.com. Oke, das ist jetzt ein schwaches Beispiel, aber darauf läuft es raus. Einzelne Zeichen werden ersetzt, um den Anschein zu erregen, die Domäne wäre die «Originale».

Dies sind nur ein paar der möglichen Regeln und zurzeit noch ohne Aktion verknüpft. In einer ersten Teststellung würde es dann darum gehen, zuerst Informationen und Erfahrung mit dem Tool zu sammeln. Zu einem späteren Zeitpunkt kann man dann die Aktionen (Mail löschen oder in einen bestimmten Ordner im Postfach verschieben) zu den gewünschten Regeln hinzufügen.

Eigene Erfahrungen

Mit dem Cisco Secure Email Phishing Defense konnte ich jetzt schon einige Male arbeiten und mich damit auseinandersetzen. Überzeugt hat mich die sehr einfache Einbindung der Lösung, um nur schon einen ersten Überblick zu erhalten, welche Mails empfangen werden und wie diese eingestuft werden. In unserer eigenen Umgebung war es auch sehr spannend zu sehen, wie viele Mails wir empfangen, welche als sogenannte «Brand Display Name Imposters»* gekennzeichnet wurden.

Den Einblick in den Mailverkehr und die erstellten Trust-Modelle fand ich sehr spannend und aufschlussreich. Nur um auch mal zu sehen, wer uns viele Mails zusendet. Weiter sind auch die eignen Policies einfach zu erstellen bzw. gibt es schon vorgegebene Regeln von Cisco selber, die aber angepasst werden können. Besonders die automatischen Aktionen finde ich sehr praktisch und vor allem zeitsparend, da man selber nicht mehr jeder Mail hinterherrennen muss und diese selber aus der Mailbox löschen oder mit dem User in Kontakt treten muss.

*Dies sind Mails, welche sich als eine Firma ausgeben aber nicht von dieser Domäne versendet wurden. Z.B. eine Mail welche behauptet von Cisco zu stammen aber von einer gmail.com Adresse versendet wurde.

Links

Webinar zu Cisco Secure Email Phishing Defense: www.avantec.ch/cisco-anti-phishing-und-awareness-webinar-feb22/

Der Beitrag The Masked Singer/Sender erschien zuerst auf Tec-Bite.