Conversation Hijacking
Was ist Conversation Hijacking?
Conversation HijackingE-Mail-Angriff, bei dem ein Krimineller boesartige Antworten in einen bestehenden vertrauten Mail-Thread einschleust, um Malware oder betruegerische Anweisungen zu liefern.
Beim Conversation Hijacking kompromittiert der Angreifer zuerst ein Postfach oder erlangt Zugriff via Credential Theft, ATO oder ein Partner-Breach. Er liest die laufenden Threads und antwortet darin, wodurch er das Vertrauen, den Betreff und die Signatur des legitimen Absenders erbt. Die eingeschleuste Nachricht kann Malware tragen (Emotet verteilte Trickbot ueber gekaperte Threads), eine fuer BEC typische Anweisung zur Zahlungsumleitung oder einen Link zur Credential-Sammlung. Da die Antwort innerhalb eines bestehenden Austauschs erscheint, lassen Opfer und klassische Filter die Vorsicht sinken. Schutz: DMARC, MFA fuer Postfaecher, Anomalieerkennung auf Antwortmustern, externe Absender-Banner und Out-of-Band-Bestaetigung bei Zahlungsaenderungen.
● Beispiele
- 01
Emotet 2018-2021: boesartige Antworten in laufende Threads lieferten waffenfaehige Office-Dokumente.
- 02
BEC-Akteure kapern das Postfach eines Lieferanten und injizieren eine gefaelschte Antwort mit geaenderten Bankdaten.
● Häufige Fragen
Was ist Conversation Hijacking?
E-Mail-Angriff, bei dem ein Krimineller boesartige Antworten in einen bestehenden vertrauten Mail-Thread einschleust, um Malware oder betruegerische Anweisungen zu liefern. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Conversation Hijacking?
E-Mail-Angriff, bei dem ein Krimineller boesartige Antworten in einen bestehenden vertrauten Mail-Thread einschleust, um Malware oder betruegerische Anweisungen zu liefern.
Wie funktioniert Conversation Hijacking?
Beim Conversation Hijacking kompromittiert der Angreifer zuerst ein Postfach oder erlangt Zugriff via Credential Theft, ATO oder ein Partner-Breach. Er liest die laufenden Threads und antwortet darin, wodurch er das Vertrauen, den Betreff und die Signatur des legitimen Absenders erbt. Die eingeschleuste Nachricht kann Malware tragen (Emotet verteilte Trickbot ueber gekaperte Threads), eine fuer BEC typische Anweisung zur Zahlungsumleitung oder einen Link zur Credential-Sammlung. Da die Antwort innerhalb eines bestehenden Austauschs erscheint, lassen Opfer und klassische Filter die Vorsicht sinken. Schutz: DMARC, MFA fuer Postfaecher, Anomalieerkennung auf Antwortmustern, externe Absender-Banner und Out-of-Band-Bestaetigung bei Zahlungsaenderungen.
Wie schützt man sich gegen Conversation Hijacking?
Schutzmaßnahmen gegen Conversation Hijacking kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Conversation Hijacking?
Übliche alternative Bezeichnungen: Thread-Hijacking, Reply-Chain-Angriff.
● Verwandte Begriffe
- attacks№ 135
Business Email Compromise
Gezielter Betrug, bei dem ein Angreifer ein Geschäftspostfach imitiert oder übernimmt, um Mitarbeiter zu Überweisungen, Zahlungsdatenänderungen oder Datenherausgabe zu bewegen.
- attacks№ 821
Phishing
Ein Social-Engineering-Angriff, bei dem sich der Angreifer als vertrauenswürdige Stelle ausgibt, um Opfer zur Preisgabe von Zugangsdaten, Geldüberweisungen oder zur Ausführung von Schadsoftware zu verleiten.
- attacks№ 140
Callback-Phishing
Zweistufiger Phishing-Angriff, bei dem eine harmlos wirkende E-Mail das Opfer dazu bringt, eine Telefonnummer anzurufen, wo ein menschlicher Operator die Malware-Installation begleitet.
- attacks№ 010
Konto-Uebernahme (ATO)
Angriff, bei dem ein Krimineller unautorisierte Kontrolle ueber ein legitimes Nutzerkonto erlangt, um Geld, Daten zu entwenden oder weiteren Betrug zu begehen.
- attacks№ 1065
Social Engineering
Psychologische Manipulation, mit der Menschen zu Handlungen oder zur Preisgabe vertraulicher Informationen bewegt werden, von denen ein Angreifer profitiert.
- attacks№ 375
E-Mail-Spoofing
Fälschen von E-Mail-Headern, sodass eine Nachricht von einem vertrauenswürdigen Absender zu stammen scheint – meist zur Vorbereitung von Phishing, Betrug oder Malware-Verteilung.