Clone-Phishing

So funktioniert es

Der Angreifer nimmt eine legitime E-Mail, etwa eine Zustellbenachrichtigung oder Rechnung, baut sie genau nach und versendet sie von einer gefälschten oder Lookalike-Adresse mit einem Hinweis wie erneuter Versand oder Update. Da das Format etwas entspricht, das der Empfänger schon gesehen hat, ist der Verdacht gering und der schädliche Link oder Anhang bekommt den Klick.

Es folgt oft auf eine Postfachkompromittierung, die dem Angreifer die Originalnachrichten zum Kopieren lieferte.

Bezug zur Brand-Impersonation

Clone-Phishing ist Brand-Impersonation, die auf Vertrautheit baut und Ihre echten Vorlagen gegen Ihre Kunden wiederverwendet. Die Absender-Domains und Landingpages dahinter sind die üblichen Lookalikes.

So hilft nebty

nebty überwacht die Lookalike-Domains, die zum Versenden und Hosten von Clone-Phishing-Kampagnen gegen Ihre Brand genutzt werden, und entfernt sie auf Abruf.

So erkennen Sie eine geklonte Nachricht

Clone-Phishing ist schwer zu fangen, weil die E-Mail eine getreue Kopie einer wirklich erhaltenen ist, oft eine Zustellbenachrichtigung, eine Rechnung oder eine Passwort-Reset-Nachricht, erneut versendet mit ausgetauschten Links oder Anhängen. Die Rahmung erklärt, warum sie vertraut wirkt: Sie gibt sich als erneuter Versand, Update oder Korrektur der früheren legitimen Nachricht aus. Die Erkennungszeichen sind subtil. Die Absenderadresse ist ein Lookalike oder Spoof statt des exakten Originals, die Nachricht kommt unerwartet kurz nach der echten, und der Link zeigt bei Prüfung woandershin. Da es oft auf eine Postfachkompromittierung folgt, die dem Angreifer das Original lieferte, behandeln Sie jeden unerwarteten erneuten Versand als verdächtig und verifizieren über den Account oder das Unternehmen direkt. Für eine Brand sind die Versand- und Hosting-Domains die üblichen Lookalikes, die das Monitoring markieren und Takedowns entfernen können.