Anmeldedaten-Phishing ist nach wie vor eine beliebte Technik bei Malware-Kampagnen, wobei ein häufiges Ziel Outlook-Webanmeldedaten sind, über die andere Webmail-Konten geöffnet werden. Im Zuge der wachsenden Verbreitung cloudbasierter Dokumente wurde dieses Verhalten auch als Lockmittel in Nachrichten von Phishing-Kampagnen eingesetzt – was deren Glaubwürdigkeit und Effektivität steigerte. [...]
In einer kürzlich durchgeführten Studie haben Forscher von Proofpoint auf die Hauptbestandteile von Attacken dieser Art hingewiesen – sowie auf eine clevere Innovation, die in letzter Zeit von Hackern eingeführt wurde. Anmeldedaten-Phishing über Google-Apps gehört zu den gängigsten E-Mail-gebundenen Bedrohungen, die Proofpoint derzeitig beobachtet. Besonders diejenigen Organisationen, die Google-Apps regulär intern nutzen, sind hier besonders Klick-anfällig.
Im untenstehenden Beispiel wird durch das Klicken auf den Link eine sehr realistisch anmutende Google-Landingpage für gemeinsam verwendete Dokumente aufgerufen, statt das potenzielle Opfer direkt auf eine (gefälschte) Login-Seite zu leiten.
Die Seite ist die perfekte Nachbildung einer echten Google-Seite – mit dem einzigen Unterschied, dass sie über HTTP statt HTTPS vorgehalten wird. Wird dieses Warnsignal missachtet, klickt der Empfänger auf die Download-Schaltfläche und sieht dann die Google-Anmeldeseite, die ebenfalls ihrem Original zum Verwechseln ähnelt.
Zur Steigerung der Flexibilität unterstützt das bösartige Dokument auch Logins anderer Webmail-Dienste wie Yahoo, Hotmail, AOL und sogar eine „weitere“ Option, bei der das Opfer beliebige Anmeldedaten eines Unternehmens eingeben kann. Dadurch können die Hacker ihren Einflussbereich erweitern, da sie ein breiteres Spektrum von Anmeldedaten einziehen und anwenden können.
Normalerweise fliegt das Anmeldedaten-Phishing auf, sobald das Opfer seine Anmeldedaten eingegeben hat. In diesem Fall jedoch wird der Login-Prozess weiter durchgezogen, indem tatsächlich ein Dokument vorgehalten wird.
Diese Technik mindert das Risiko, dass der Benutzer sofort erkennt, dass etwas nicht stimmt, und gibt dem Hacker mehr Zeit, von den gestohlenen Anmeldedaten Gebrauch zu machen. Schon einige Stunden reichen aus, damit der Hacker mithilfe der gestohlenen Anmeldedaten die nächste Runde Nachrichten senden kann.
Ein weiterer Vorteil des Aufrufs von Phishing-Kampagnen über manipulierte Google-Konten liegt darin, dass mit einem relativ geringen Aufwand eine sehr glaubwürdige, gezielte Phishing-Attacke möglich ist: Die Kontaktliste des Opfers wird abgegrast und dazu verwendet, die Empfängerliste für den nächsten Schritt der Kampagne aufzufüllen.
Bei einer ähnlichen Angriffstechnik wird ein gefälschtes Dropbox-Dokument verwendet, um Anmeldedaten zum cloudbasierten Dokumenten-Austauschdienst zu erfassen. Wie beim Anmeldedaten-Phishing über Google-Apps, so ist auch hier die Login-Seite, die dem Empfänger vorgehalten wird, täuschend echt:
Dieses Beispiel stammt aus der Cloud-Dokument-Phishing-Kampagne eines Akteurs, der tendenziell Kampagnen mit begrenzterem Umfang vorzieht und dabei oft weniger als drei URLs auf 30 bis 50 Nachrichten pro Woche verteilt. Häufig hat er es auf zehn Organisationen abgesehen, manchmal waren es jedoch bis zu dreißig. Anfangs zielte er auf Organisationen im Reklame- und Gastgewerbe; dann, darauf aufbauend, auf Unternehmen des Finanzsektors. Der Hacker hat anscheinend seine Strategie geändert und geht nun weniger gezielt, dafür viel opportunistischer vor. Der relative Wert dieser Technik wird in gewisser Weise dadurch hervorgehoben, dass das Abschürfen von E-Mail-Adressen von Führungskräften aus dem Reklame- und Gastgewerbe – bewusst oder unbewusst – dazu geführt hat, dass leitende Angestellte des Finanzsektors in den nachfolgenden Runden von Phishing-E-Mails im Visier standen.
Attacken über cloudbasierte Dokumentendienste und -anwendungen verleihen dem Wert eines gehackten E-Mail-Kontos noch zusätzliche Möglichkeiten, indem sie weitere Gelegenheiten zur Einleitung von Kampagnen erschaffen, die gezielter und zugleich effektiver sind. Das Anmeldedaten-Phishing über cloudbasierte Dokumente wird zunehmend beliebter, da die Hacker sich seine Vorteile zunutze machen, um ihren Vorsprung vor den Abwehrmechanismen zu wahren, die häufig noch auf allseits bekannten, leicht zu überwindenden Techniken beruhen.
* Monika Schaufler ist Regional Sales Director CEMEA bei Proofpoint.
Be the first to comment