Woche 35: Phishing-Risiken beim Einsatz von Multifunktionsgeräten

06.09.2022 - Die Anzahl, der beim NCSC eingegangenen Meldungen, war auch in der letzten Woche leicht rückläufig. Dominiert werden die Meldungen immer noch von Drohmails, angeblich von der Polizei. Zwei Fälle, die dem NCSC in der letzten Woche gemeldet worden sind zeigen auf, wie Angreifer den Umstand nutzen, dass heute in praktisch jedem Büro ein Multifunktionsdrucker mit einer «Scan-to-E-Mail»-Funktion im Einsatz ist.

Vorsicht vor Phishing beim Einsatz von Multifunktionsgeräten

In fast jedem Büro steht mittlerweile ein Multifunktionsgerät mit dem man kopieren, drucken aber auch scannen kann. Mit der zunehmenden Digitalisierung erfreut sich auch die «Scan to E-Mail»-Funktion steigender Beliebtheit. Dabei werden Dokumente oder Briefe mit solchen Geräten gescannt und dann als PDF an die E-Mail-Adresse eines Mitarbeitenden gesendet.

Diese Funktion birgt aber auch gewisse Risiken und wird von Angreifern ausgenutzt, um E-Mail-Passwörter abzugreifen oder Schadsoftware auf den Computer bringen. Dies zeigen Fälle, die dem NCSC in der letzten Woche gemeldet worden sind. So versendeten die Angreifer eine E-Mail, welche dem Mitarbeitenden vorgaukelte, dass ein Dokument mit dem Multifunktionsgerät gescannt worden sei und nun unter der angegebenen Internetadresse heruntergeladen werden könne.
Die auf die Firma zugeschnittene E-Mail sollte das Opfer verleiten, auf den Link zu klicken und auf der sich öffnenden Phishing-Webseite, das E-Mail-Passwort anzugeben. Dabei wird der Umstand ausgenutzt, dass Mitarbeitende solchen E-Mails eher vertrauen, da sie diese kennen und als Absender scheinbar eine interne Firmenadresse fungiert. Nach der Eingabe des Passworts erschien aber kein Dokument, sondern eine Fehlermeldung, dass der Dienst zurzeit nicht verfügbar sei. Das Opfer hat so das Gefühl, dass es sich um eine technische Störung handelt und schöpft zunächst keinen Verdacht.
In der Zwischenzeit loggen sich die Angreifer in das E-Mail-Konto ein und richten beispielsweise eine Weiterleitungsregel ein. Alle ankommende E-Mails werden ab diesem Zeitpunkt an die Betrüger weitergeleitet. Auch wenn das Opfer zu einem späteren Zeitpunkt den Angriff erkennt und das Passwort ändert, erhalten die Angreifer die ankommenden E-Mails weiterhin. Die Angreifer halten dabei vor allem Ausschau nach eingehenden Rechnungen. Solche Rechnungen werden kopiert, mit einer neuen IBAN versehen und noch einmal versendet, in der Hoffnung, dass das Opfer dann den Betrag an den Betrüger überweist. Es werden aber auch andere Informationen gesammelt, welche dann wiederum für gezielte Angriffe gegen die Firma verwendet werden können.

E-Mail, dass ein gescanntes Dokument zum Download bereitstehe.
E-Mail, dass ein gescanntes Dokument zum Download bereitstehe.

Im erwähnten Fall haben sich die Angreifer die Mühe gemacht, die E-Mail auf die Firma zuzuschneiden. Aber auch ohne grosse Recherche treffen die Angreifer mit einer gewissen Wahrscheinlichkeit den richtigen Hersteller, da sich der Markt von Multifunktionsgeräten auf eine überschaubare Zahl von Herstellern aufteilt. Wenn eine Firma dann noch Informationen, wie Namen oder E-Mail-Adressen zu Mitarbeitenden auf der Webseite publiziert, kann mit relativ wenig Aufwand ein sehr gezielter Angriff gegen eine Firma gestartet werden.

Angreifer versuchen auf diese Weise aber auch, Schadsoftware auf Firmencomputer zu bringen indem sie die Empfänger dazu verleiten, in einer E-Mail auf einen bösartigen Anhang zu klicken. In einem Fall wurde beispielsweise eine schädliche ISO-Datei als gescanntes XEROX-Dokument getarnt.

Schädliche ISO-Datei, welche als gescanntes XEROX-Dokument getarnt ist.
Schädliche ISO-Datei, welche als gescanntes XEROX-Dokument getarnt ist.

Empfehlungen:

  • Ignorieren Sie E-Mails, die ein gescanntes Dokument in Aussicht stellen, sofern Sie den Scan-Auftrag nicht selbst ausgelöst haben;
  • Absender E-Mails-Adressen können leicht gefälscht werden. Auch wenn die E-Mail von der eigenen Firma zu stammen scheint, ist Vorsicht geboten;
  • Halten Sie bei Unsicherheit, Rücksprache mit den Mitarbeitenden;
  • Seien Sie besonders misstrauisch, wenn Sie eine Datei öffnen oder herunterladen sollen;
  • Erlauben Sie Ihrem Computer in keinem Fall, auf diese Weise erhaltene Dateien auszuführen;
  • Wenn Mitarbeitende bei einem Phishing das E-Mail-Passwort angegeben haben, sollten neben der unverzüglichen Passwortänderung ebenfalls die E-Mail-Filter und Weiterleitungsregeln kontrolliert werden. Oft erstellen die Angreifer eine E-Mail-Weiterleitungsregel, die eine Kopie aller Ihrer empfangenen E-Mails an die Angreifer sendet.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 06.09.2022

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2022/wochenrueckblick_35.html