• Link to Rss this site
  • Link to LinkedIn
  • Link to Youtube
  • Link to X
  • Link to Instagram
  • English English Englisch en
  • Deutsch Deutsch Deutsch de
Sales: +49 5251 304-800 | Support: +49 5251 304-636
NoSpamProxy
  • PRODUKT
    • NoSpamProxy Cloud
    • NoSpamProxy Protection
    • NoSpamProxy Encryption
    • NoSpamProxy Large Files
    • NoSpamProxy Disclaimer
  • LÖSUNGEN
    • M365 Mail Security
    • Managed Certificates
    • 32Guards
    • AS4
  • RESSOURCEN
    • Dokumentation
    • Forum
    • Webcasts
    • Schulungen
    • Support
    • Software-Download
  • PARTNER
    • Partner finden
    • Partner werden
    • Partnerportal
    • NFR-Lizenzen
  • UNTERNEHMEN
    • Kontakt
    • Referenzen
    • Team
    • Karriere
    • Events
    • Auszeichnungen
  • PREISE
  • BLOG
    • Blog
    • Newsletter-Abo
  • KOSTENFREI TESTEN
    • Preisanfrage stellen
    • Kostenfrei testen
  • Deutsch
    • English
  • Click to open the search input field Click to open the search input field Search
  • Menu Menu
  • Workday Spam – Eine neue Art von Spam hat den DACH-Raum fest im Griff

Workday-Spam: Eine neue Art von Spam hat den DACH-Raum fest im Griff

Tim Lenzen
Autor: Dr. Tim LenzenSenior Data Scientist / Teamleitung 32Guardshttps://www.linkedin.com/in/tim-lenzen-240129186/–Auf LinkedIn vernetzen

In den letzten Monaten konnten wir als 32Guards-Team eine neue Spam-Strategie in unseren Daten entdecken, die sich deutlich von den meisten bisher gesehenen Spam-Wellen unterscheidet. Diese neue Gattung von Spam tauften wir „Workday-Spam“. In diesem Blogartikel erfahren Sie, was den Workday-Spam ausmacht und wie sich dieser von den bisher prominenten Spam-Strategien unterscheidet. Zudem präsentieren wir typische Charakteristika des Workday-Spams.

21.06.2023|zuletzt aktualisiert:19.08.2024

Die Bedrohungslandschaft im Bereich E-Mail verändert sich ständig, und neue Trends sind häufig innerhalb kürzester Zeiträume zu beobachten. Aus diesem Grund analysiert 32Guards die Metadaten von mittlerweile knapp 40 Millionen E-Mails pro Woche in Echtzeit, denn das ermöglicht die frühzeitige Erkennung dieser Trends. Von den gewonnenen Erkenntnissen profitieren alle mit 32Guards verbundenen NoSpamProxy-Instanzen und können so noch effizienter gegen Spam-E-Mails vorgehen.

Herkömmlicher Spam kommt in kurzen Wellen

Um sich dem Thema Workday-Spam zu nähern, ist es zunächst notwendig, einen Schritt zurückzutreten. Die üblichen Spam-E-Mails unterscheiden sich von zielgerichteteren Angriffen wie beispielsweise Phishing- oder CxO-Fraud-Angriffen. Ziel dieser herkömmlichen Spams ist es, das Opfer auf eine Webseite zu locken, auf der meist ein (Fake-)Webshop zu finden ist. Dafür werden häufig im großen Stil maßgeschneiderte URLs oder URL Shortener Links verteilt. Da diese URLs recht einfach zu erkennen sind, bleibt den Spammern oft nur ein kurzes Zeitfenster zur Verteilung. Die folgende Grafik zeigt die Sichtungen ausgewählter Spam URLs als Funktion der Zeit:

  • Workday Spam Short Wave

Hier sehen wir kurze Wellen, die schnell zum Erliegen kommen. Dies wird noch deutlicher, wenn man sich eine einzelne Welle im Detail anschaut:

  • Workday Spam Short Wave Zoom

Im hier gezeigten Beispiel dauert es weniger als zehn Minuten, bis ein Großteil der Spamwelle abgeebbt ist. Die Herausforderung ist in diesen Fällen die Geschwindigkeit der Erkennung. Um einen wirksamen Schutz zu liefern, müssen solche Spam URLs binnen weniger Minuten erkannt werden. Da diese Muster in 32Guards bereits länger bekannt sind, ist die schnelle Erkennung in den meisten dieser Fälle eine Routineaufgabe.

Spam mit 5-Tage-Woche

In den letzten Monaten konnten wir Spam URLs beobachten, die nach einem gänzlich anderen Muster und in großen Mengen verteilt werden. Zwei Beispiele stellen die Domänen alfreds.gay und podersd.gay dar. Die folgende Grafik zeigt die Sichtung von URLs mit der jeweiligen Domäne im Zeitverlauf:

  • Workday Spam Most

Es fällt auf, dass es am Wochenende quasi keinen Spam mit diesen URLs gibt. Außerdem lassen sich schon hier für jede Woche (ohne Feiertage) fünf markante Peaks erkennen. Das Muster wird noch deutlicher, wenn man sich einen Zeitraum von zwei Wochen ansieht:

  • Workday Spam Most Zoom

Es zeigt sich nicht nur, dass am Wochenende so gut wie keine Spam-Mails gesichtet werden, sondern auch, dass der Spam hauptsächlich während der Arbeitszeiten im DACH-Raum verteilt wird. Dieses Muster ist sehr ähnlich zu der Verteilung von legitimen URLs in Geschäftskommunikation und somit schwerer zu erkennen.

Workday-Spam nutzt Domänen längerfristig

Eben wegen des Auftretens dieser Spam-E-Mails zu Arbeitszeiten haben wir diese Klasse von Spam „Workday-Spam“ genannt. Außerdem ist auffällig, dass teilweise über viele Wochen oder Monate gleiche Domänen verwendet werden. Zum Vergleich ist im Folgenden der Wochenverlauf der Sichtungen von URLs zu zwei legitimen Domänen gezeigt. Dies steht im starken Gegensatz zum ersten Beispiel, bei dem die Domäne der URL bereits nach zehn Minuten nicht mehr signifikant gesichtet wurde.

  • Workday Spam Common URLs

Doch wohin führen diese Links eigentlich? Auf den versendeten URLs ist in den meisten Fällen eine Weiterleitung eingerichtet. Diese verweisen dann auf verschiedene Fake-Webshops. Im Folgenden sind einige Screenshots dieser Shops zu sehen:

  • Workday Spammer Kampagne Hand Shakers Hallux Valgus
  • Workday Spammer Kampagne Sharkorder CBD
  • Workday Spammer Kampagne Prostatricum CH Prostata
  • Workday Spammer Kampagne Spagetlink Diet
Previous Previous Previous Next Next Next
1234

Auch wenn die angebotenen Produkte verschieden sind, fällt sofort auf, dass dieser Spam maßgeschneidert für den deutschsprachigen Raum ist. Daneben verwenden die Shops oft klassische Social-Engineering-Tricks wie das Versprechen hoher Rabatte sowie das Erzeugen von künstlichem Zeitdruck durch eingeblendete, herunterzählende Uhren.

In den von 32Guards gesammelten Daten lassen sich neben den beiden oben gezeigten weitere Domänen finden, die dem Muster des Workday-Spam folgen. Einige Beispiele:

  • Workday Spam New Zoom

Bei den hier ausgewählten Domänen werden gleiche Namen mit unterschiedlichen Top-Level-Domänen (TLDs) verwendet. Die verschiedenen Domänen werden im Verlauf der Woche von Tag zu Tag gewechselt. Daneben findet sich auch immer wieder ein ähnlicher Satz an charakteristischen TLDs wie gay, ink, yachts und homes.

Pfade bei Workday-Spam deuten auf gemeinsames Cluster hin

Nicht nur die Domänen der Workday-Spam URLs erfüllen ein bestimmtes Muster, auch ein Blick auf die Pfade der jeweiligen URLs liefert interessante Erkenntnisse. Für die URLs zur Domäne alfreds.gay wurden alle Pfade analysiert. Auf den ersten Blick fällt auf, dass die meisten Pfade auf einer Zahl aus eins bis drei Ziffern enden. Diese Zahlen wurden für die weitere Analyse entfernt. Danach ergibt sich für die am häufigsten verwendeten Pfade das folgende Muster:

  • Workday Spam Paths

Die unterschiedlichen Pfade leiten jeweils auf unterschiedliche Webseiten weiter. Das teilweise in den Pfaden vorhandene „de“ legt nahe, dass wir hier nur den deutschsprachigen Teil der Spamwelle sehen. Außerdem ist auch hier wieder interessant zu sehen, dass die verschiedenen Pfade scheinbar von einem Tag zum nächsten durchgewechselt werden. Dies wird noch deutlicher, wenn man sich die Verteilung über einen Zeitraum von zwei Wochen ansieht:

  • Workday Spam Paths
  • Workday Spam Paths Zoom
Previous Previous Previous Next Next Next
12

Es ist außerdem zu erwähnen, dass genau diese Pfade auch unter anderen Domänen zu erkennen sind. Dies stützt die Vermutung, dass all diese Spam URLs zu einem gemeinsamen Cluster gehören.

32Guards: Schutz vor Workday-Spam

Durch die hier zum Teil beschriebenen Erkenntnisse ist es 32Guards mittlerweile möglich, Workday-Spam schnell und zuverlässig zu erkennen.

In diesem Blogartikel haben wir Ihnen das Muster des Workday-Spam vorgestellt. Spam URLs, die nach diesem Muster verteilt werden, sind in den letzten Monaten in großer Zahl von 32Guards gesichtet worden. Die Analyse legt nahe, dass die Spam-Wellen für den DACH-Raum maßgeschneidert sind.

Dieser Artikel zeigt zudem, wie es 32Guards durch die Vernetzung vieler NoSpamProxy-Installationen möglich ist, Muster zu erkennen, die dem einzelnen Klienten verborgen bleiben. Mit diesen Informationen kann 32Guards dann einen viel proaktiveren und großflächigeren Schutz gegen Spam-E-Mails gewährleisten. In dem hier beschriebenen Fall erweist sich außerdem die Fokussierung von 32Guards auf den DACH-Raum als großer Vorteil. Somit können Muster erkannt werden, die in global gesammelten Datensätzen möglicherweise untergehen würden.

Sie möchten sich vor Spam schützen und haben noch kein NoSpamProxy im Einsatz?

32Guards ist in der aktuellen NoSpamProxy-Version kostenlos als Add-on verfügbar. Ist die Verwendung von 32Guards aktiviert, ist keine weitere Konfiguration notwendig, um vom Schutz durch 32Guards zu profitieren.

NoSpamProxy kostenfrei testen

  • teilen 
  • teilen 
  • teilen 
  • E-Mail 

SUCHE

PRODUKT

  • Alle Beiträge
  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files

Sie benötigen Unterstützung?

Weitere Informationen rund um NoSpamProxy finden Sie in unserer Dokumentation und im Forum.

KATEGORIE

  • Alle Beiträge
    • News
    • Produkt
    • Technik & Support
    • Termine
    • Updates
Net at Work GmbH
Am Hoppenhof 32 A
33104 Paderborn
Tel. +49 5251 304-800
Fax +49 5251 304-650
www.netatwork.de

NoSpamProxy-Newsletter

Jetzt abonnieren
RSS Feed Logo RSS Feed Logo Subscribeto RSS Feed

NoSpamProxy

  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files
  • NoSpamProxy Disclaimer
  • Preisanfrage
  • Team
  • Karriere
  • AGB
  • Datenschutzinformation für Geschäftspartner und Bewerber
  • Cybersicherheit (PSIRT)

Partner

  • Vertriebspartner
  • Partner werden
  • Partner finden
  • Zertifikate kaufen
  • Newsletter abonnieren

Kategorien

  • Alle Themen
  • News
  • Technik & Support
  • Termine
  • Updates
  • Zertifikate bestellen

Letzte News

  • Warum Sie ARC in NoSpamProxy jetzt aktivieren sollten Preview
    Warum Sie ARC in NoSpamProxy jetzt aktivieren sollten11.07.2025 - 12:07
  • SVG-Dateien im E-Mail-Anhang: Gefahr durch Schadcode Preview
    SVG-Datei im E-Mail-Anhang: Gefahr durch Schadcode04.07.2025 - 10:00
  • NoSpamProxy Update Banner
    NoSpamProxy Cloud Juni-Update: Rollout gestartet30.06.2025 - 06:00
IMPRESSUM • EULA • Datenschutzerklärung •  • © 2025 Net at Work GmbH
  • Link to Rss this site
  • Link to LinkedIn
  • Link to Youtube
  • Link to X
  • Link to Instagram
Link to: NoSpamProxy Cloud Suite – das sichere Komplettpaket Link to: NoSpamProxy Cloud Suite – das sichere Komplettpaket NoSpamProxy Cloud Suite – das sichere KomplettpaketNoSpamProxy Cloud Suite – das sichere Komplettpaket Preview Link to: Was tun nach einem Cyberangriff? Auf diese 5 Schritte kommt es an. Link to: Was tun nach einem Cyberangriff? Auf diese 5 Schritte kommt es an. Was tun nach Cyberangriff – die 5 ersten SchritteWas tun nach einem Cyberangriff? Auf diese 5 Schritte kommt es an.
Scroll to top Scroll to top Scroll to top