Brand Imitation: Microsoft ist die beliebteste Hacker-Marke

Foto: gregory tkatc – shutterstock.com

Cyberkriminelle nutzen starke Marken, um sich in Firmennetze einzuschleusen und sensible Daten abzugreifen. Die Threat-Intelligence-Forscher von Cisco Talos haben festgestellt, dass Hacker immer häufiger Markenimitationen dazu verwenden, um an sensible Informationen zu gelangen. Dafür wird auf Plattformen wie sozialen Medien, Websites, aber vor allem über E-Mails das Vertrauen in bekannte Marken ausgenutzt, um Nutzerinnen und Nutzer zum leichtfertigen Klicken zu verleiten oder dazu, dass sie persönliche Zugangsdaten teilen.

“Brand-Imitation-Angriffe funktionieren wie ein Trojanisches Pferd”, erklärt Thorsten Rosendahl, Technical Leader bei Cisco Talos in Deutschland. “Man vertraut dem, was man sieht, ohne genau zu prüfen, was drinnen steckt. Leider sind solche Angriffe immer erfolgreicher.”

Deutsche Marken sind für Hacker weniger attraktiv

Die Talos-Sicherheitsforscher haben das Ausmaß dieser Angriffe nun genauer untersucht. Mit Hilfe der Brand Impersonation Detection Engine von “Cisco Secure Email Threat Defense” wurden dafür weltweit vom 22. März bis zum 22. April 2024 entsprechende Angriffsversuche registriert und analysiert. Demzufolge ist die mit Abstand am häufigsten illegal verwendete Marke weltweit Microsoft, gefolgt von DocuSign und Amazon auf den Plätzen zwei und drei. Auch Paypal und Instagram rangieren in den Top10. Deutsche Marken scheinen bei den Hackern dagegen international weniger gefragt zu sein. Erst auf Platz 20 findet sich mit der Deutschen Post auch ein deutsches Unternehmen in der Liste.

Foto: Cisco Talos

Der Missbrauch der Markennamen funktioniert vergleichsweise einfach, konstatieren die Sicherheitsexperten. Hacker fügen beispielsweise die Markenzeichen direkt im HTML-Quellcode der E-Mail ein. Um die Erkennung zu erschweren, kodieren die Cyberkriminellen diese Mail auch per base64. Eine weitere Methode besteht darin, das Logo auf Anfrage des Mailprogramms von einem entfernten Server abzurufen. In diesem Szenario ist die URI (Uniform Resource Identifier) der Ressource im HTML-Quellcode der E-Mail eingebettet. Alternativ liefern die Angreifer ein Logo – base64 kodiert – als Anhang mit, welches von E-Mail Clients dargestellt wird, wenn im html source referenziert, um potenzielle Opfer dazu zu bewegen, ihre Anmeldedaten und weitere sensible Informationen preiszugeben.

Das perfide Ziel der Hacker: Indem die E-Mail über das Markenzeichen vorgibt, von einem vertrauenswürdigen Unternehmen zu stammen, zweifeln Empfänger weniger an der Echtheit der Informationen. Die Betrüger geben sich beispielsweise als Mitarbeiter des technischen Supports einer Firma aus, die vermeintlich im Auftrag des ausgenutzten Markenunternehmens handelt. Die E-Mail fordert dabei zum Beispiel die Anmeldedaten des Opfers an und verschafft sich so Zugang zu den entsprechenden Konten.

Vertrauen schamlos ausgenutzt

Brand-Imitationen verwenden Hacker vor allem in den Bereichen E-Commerce oder Office Software. Ebenfalls beliebt sind fingierte Jobangebote mit dem Logo einer vertrauenswürdigen Marke. Gleiches gilt auch für E-Mails von Anwaltskanzleien oder staatlichen Organisationen.

“Das Vertrauen in bekannte Marken wird von Cyberangreifern schamlos ausgenutzt”, warnt Rosendahl. “Wenn große Brands in den Mails auftauchen, weckt das zumindest erstmal Interesse. Oft genug gibt es bereits auch echte Mails von diesen Unternehmen im eigenen Postfach – da muss man dann wirklich sehr genau hinschauen.” Der Manager empfiehlt Usern immer zu prüfen, ob eine solche Mail wirklich Sinn macht, und nicht leichtfertig Informationen und Zugänge zu teilen.