Roman - stock.adobe.com
Wie E-Mail-Fluten zur Tarnung von Angriffen genutzt werden
Indem Angreifer Nachrichten mit schädlichem Inhalt in einer Flut von scheinbar harmlosen E-Mails untertauchen lassen, erschweren sie die Erkennung von kritischen Bedrohungen.
Cyberangriffe entwickeln sich stetig weiter – nicht nur in ihrer technischen Raffinesse, sondern auch in der Art und Weise, wie sie klassische Schutzmechanismen gezielt umgehen. Eine dieser Taktiken ist das sogenannte E-Mail-Bombing. Dabei handelt es sich um eine Form der E-Mail-Bombardierung, bei der Postfächer mit einer enormen Menge an vermeintlich harmlosen Nachrichten geflutet werden. Ziel ist es, kritische Nachrichten, wie Phishing-Versuche oder mit Malware versehene Mails, in der Masse zu verstecken und dadurch ihre Entdeckung zu erschweren. Es kann auch dazu dienen, Stress zu verursachen und die Zielpersonen unter Druck zu setzen, damit sie eher auf gefälschte IT-Anrufe oder andere Social-Engineering-Taktiken reagieren.
Die Angreifer verwenden dabei automatisierte Verfahren, um Zieladressen bei verschiedenen Online-Diensten, Newslettern oder E-Commerce-Plattformen anzumelden. Dies führt zu einem regelrechten Tsunami an E-Mails im Posteingang der betroffenen Person. Inmitten dieser Nachrichten können sich gezielt platzierte Mails befinden, die beispielsweise Schadlinks oder täuschend echt wirkende Support-Anfragen enthalten. Diese Strategie ist keineswegs hypothetisch: Sie wurde unter anderem bei Angriffen beobachtet, die der bekannten Ransomware-as-a-Service-Gruppe „Black Basta“ zugeschrieben werden.
Die stille Eskalation nach der ersten Welle
In einem von Darktrace dokumentierten Fall zeigte sich, wie E-Mail-Bombing als Einstiegspunkt für eine komplexe Angriffskette diente. Nachdem Postfächer mit Massen-Mails überflutet worden waren, versuchten die Angreifer, über andere Kanäle Kontakt mit den betroffenen Nutzern aufzunehmen – beispielsweise durch fingierte IT-Support-Anfragen per Microsoft Teams oder Telefon. Diese Form des Vishing zielt darauf ab, Vertrauen aufzubauen und den Angreifern Fernzugriff auf das Gerät zu ermöglichen.
Hierfür kommen häufig legitime Remote-Tools wie „Quick Assist“ zum Einsatz, die im Unternehmensumfeld eigentlich für Supportzwecke gedacht sind. Genau diese Doppelfunktion macht sie jedoch anfällig für Missbrauch. In dem untersuchten Fall zeigte sich, dass unmittelbar nach dem ersten Kontaktversuch auch technische Aktivitäten im Netzwerk festzustellen waren: Geräte führten LDAP-Reconnaissance durch, also das systematische Abfragen von Verzeichnisdiensten. Anschließend folgten interne Portscans und wiederholte Anmeldeversuche über das SMB-Protokoll.
Besonders kritisch war dabei, dass diese Aktivitäten teilweise unbemerkt blieben, da sie einzeln betrachtet nicht ungewöhnlich wirkten. Erst die Korrelation der verschiedenen Signale offenbarte das Ausmaß des Vorfalls: eine orchestrierte Kampagne mit dem Ziel, Zugang zu sensiblen Bereichen des Netzwerks zu erlangen und sich dort lateral auszubreiten.
Warum E-Mail-Bombing immer häufiger zur Waffe wird
E-Mail-Bombing wird zunehmend als Waffe eingesetzt. In den letzten fünf Monaten hat Darktrace in seinen Datensätzen einen Anstieg solcher Angriffe um über 1000 Prozent festgestellt. Dabei werden Nutzer mit einer Flut von Spam-E-Mails überschüttet – entweder um betrügerische Transaktionen in der Masse zu verstecken oder um sich als IT-Team auszugeben und scheinbar Hilfe anzubieten. Besonders für Unternehmen ist Letzteres gefährlich, da es häufig dazu führt, dass Zugangsdaten unbewusst weitergegeben oder schädliche Software installiert wird. Social-Engineering-Angriffe nutzen gezielt den Menschen als Schwachstelle. Doch Schulungen und Bewusstseinsbildung allein reichen nicht aus. Technologische Lösungen können helfen, indem sie nicht nur einzelne E-Mails analysieren, sondern das gesamte Postfach im Kontext betrachten. Zudem sollten Unternehmen ihre IT-Support-Validierungsprozesse überdenken: Wie lässt sich die Identität von IT-Mitarbeitern eindeutig nachweisen, um das Vertrauen der Mitarbeiter zu gewinnen und sie vor solchen Täuschungen zu schützen?
Klassische Schutzsysteme geraten an ihre Grenzen
Die Erkennung solcher Angriffsmuster stellt viele Unternehmen vor erhebliche Herausforderungen. Traditionelle E-Mail-Gateways analysieren in der Regel einzelne Nachrichten auf Basis von Signaturen, Reputation oder Heuristik. Doch gerade beim E-Mail-Bombing sind es nicht die Inhalte selbst, die gefährlich sind, sondern das Zusammenspiel und die Menge. Eine Flut von Newsletter-Abonnements lässt sich schwer als Bedrohung klassifizieren – zumal keine offensichtliche Malware im Spiel ist.
Zudem fehlt vielen Systemen die Fähigkeit, Mail-Verkehr mit Aktivitäten auf Netzwerk- oder Identitätsebene in Verbindung zu setzen. Die Folge ist, dass Auffälligkeiten, wie das plötzliche Auftreten von Remote-Zugriffen, ungewöhnliche LDAP-Abfragen oder Authentifizierungsversuche über verschiedene Protokolle, isoliert betrachtet und nicht als Teil eines Angriffs erkannt werden. Wenn dazu noch autonome Abwehrmechanismen im sogenannten „Human Confirmation Mode“ aktiv sind, also Nutzer erst nach Freigabe durch Administratoren eingreifen dürfen, geht im entscheidenden Moment wertvolle Zeit verloren.
„Unternehmen müssen erkennen, dass Cyberkriminelle ihre Methoden stetig weiterentwickeln und dass herkömmliche Schutzmaßnahmen allein nicht mehr ausreichen. Ein proaktiver Ansatz, der sowohl auf Technologie als auch auf organisatorische Sicherheitsstrategien setzt, ist essenziell, um langfristig geschützt zu bleiben.“
Max Heinemeyer, Darktrace
Sicherheitsarchitektur ganzheitlich denken
Um sich gegen solche komplexen Angriffskampagnen besser zu schützen, sollten Unternehmen über ein rein signaturbasiertes Sicherheitskonzept hinausdenken. Entscheidend ist ein mehrschichtiger, verhaltensbasierter Ansatz, der auf Anomalien und kontextbasierte Korrelation setzt. Systeme, die ungewöhnliches Nutzerverhalten oder plötzliche Veränderungen in Kommunikationsmustern erkennen, können E-Mail-Bombing frühzeitig identifizieren – noch bevor ein Schaden entsteht.
Der Bericht „State of AI Cybersecurity“ hat gezeigt, dass 88 Prozent der Sicherheitsexperten der Meinung sind, dass der Einsatz von KI entscheidend ist, damit Sicherheitsteams mehr Zeit für proaktives Handeln haben. Wir haben aus erster Hand erfahren, welche Auswirkungen KI auf das Niveau menschlicher Sicherheitsteams haben kann.
Auch der menschliche Faktor spielt eine zentrale Rolle: Mitarbeitende müssen wissen, wie sie auf verdächtige Nachrichten oder unerwartete Kontaktanfragen reagieren. Schulungen zu Social Engineering, insbesondere zu Methoden wie Vishing oder Phishing, erhöhen die Sensibilität und Reaktionsfähigkeit deutlich. Darüber hinaus bietet die Segmentierung von Netzwerken zusätzlichen Schutz: Wird ein Gerät kompromittiert, lässt sich der potenzielle Schaden auf einzelne Bereiche begrenzen.
Ein strategischer Ansatz gegen E-Mail-Bombing
E-Mail-Bombing ist längst mehr als nur eine lästige Flut von unerwünschten E-Mails. Es ist eine gezielte Taktik, um Unternehmen finanziell zu schädigen oder interne Netzwerke zu kompromittieren. Die Kombination aus KI-gestützter Bedrohungserkennung, klaren Sicherheitsrichtlinien und geschultem Personal bietet die besten Chancen, solchen Angriffen erfolgreich entgegenzuwirken. Unternehmen müssen erkennen, dass Cyberkriminelle ihre Methoden stetig weiterentwickeln und dass herkömmliche Schutzmaßnahmen allein nicht mehr ausreichen. Ein proaktiver Ansatz, der sowohl auf Technologie als auch auf organisatorische Sicherheitsstrategien setzt, ist essenziell, um langfristig geschützt zu bleiben.
Letztlich zeigt sich, dass klassische Verteidigungslinien allein nicht ausreichen. Erst wenn Mail-, Netzwerk- und Identitätsdaten systemübergreifend analysiert und korreliert werden, entsteht ein vollständiges Bild möglicher Bedrohungen. Dies gilt umso mehr in Zeiten, in denen Angriffe nicht mit Schadsoftware beginnen, sondern mit einer Flut harmloser Nachrichten.
Über den Autor:
Max Heinemeyer ist Global Field CISO bei Darktrace.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
