Angreifer nutzen Apples iCloud-Kalender-Einladungen, um als PayPal-Benachrichtigungen getarnte Phishing-E-Mails zu versenden. Da die Phishing-Nachrichten über legitime Infrastruktur von Apple versandt werden, dürften sie weitgehend problemlos durch die Sicherheitsfilter ihrer Opfer gelangen. [...]
Phishing erfreut sich unter Cyberkriminellen nach wie vor einer extrem hohen Beliebtheit. Gilt es doch seit Jahren als effektiver Startpunkt erfolgreicher Cyberangriffe. Kürzlich erschien nun in BleepingComputer ein Beitrag über einen neuartigen Callback-Phishing-Betrugsansatz. Angreifer nutzen Apples iCloud-Kalender-Einladungen, um als PayPal-Benachrichtigungen getarnte Phishing-E-Mails zu versenden. Da die Phishing-Nachrichten über legitime Infrastruktur von Apple versandt werden, dürften sie weitgehend problemlos durch die Sicherheitsfilter ihrer Opfer gelangen.
So gehen die Angreifer vor: Zunächst lassen sie ihren Opfern eine E-Mail-Nachricht zukommen. Angeblich hätten sie über PayPal eine Zahlung über eine größere Summe getätigt, die nun von ihrem Konto abgebucht worden sei. Der Nachricht beigegeben sind zwei Telefonnummern: die eine führt angeblich zum Kundenservice, die andere vorgeblich zum Stornierungsservice von PayPal. Die Opfer werden aufgefordert, eine der beiden Nummern anzurufen, um die Zahlung zu stornieren oder Änderungen an der Bestellung vorzunehmen. Wählt ein Opfer nun tatsächlich eine der Nummern, nimmt ein Betrüger ab, der es dann davon zu überzeugen sucht, seine Anmeldedaten preiszugeben oder ein Fernzugriffstool zu installieren – mit dem der Angreifer dann die Kontrolle über dessen Computer übernehmen kann. Ein typischer Callback-Phishing-Betrug also.
Phishing-Nachricht in iCloud-Kalender-Einladung verpackt
Eher untypisch dagegen: die Art und Weise des E-Mail-Versands. Denn: die Angreifer missbrauchen hier die legitime iCloud-Kalender-Einladungsfunktion, den Apple-E-Mail-Server und eine Apple-E-Mail-Adresse. Die Phishing-Nachricht wird in eine iCloud-Kalender-Einladung verpackt. In deren Notizfeld fügt der Angreifer dann den Phishing-Text ein. Als Empfänger wird eine vom Angreifer kontrollierte Microsoft 365-E-Mail-Adresse eingegeben. Dabei handelt es sich nicht um eine einzelne E-Mail-Adresse, sondern um eine Mailing-Liste, die alle empfangenen E-Mails automatisch an alle auf der Liste registrierten Gruppenmitglieder weiterleitet.
Wird das iCloud-Kalenderereignis nun erstellt und an die Mailing-Liste versandt, geht eine E-Mail-Einladung von den Servern von Apple unter „email.apple.com“ im Namen des iCloud-Kalenderbesitzers mit der E-Mail-Adresse „noreply@email.apple.com“ an sämtliche in der Mailingliste eingetragenen Opfer heraus. Eigentlich würde die E-Mail nun, da sie von den E-Mail-Servern von Apple versandt wurde, bei einer Weiterleitung durch Microsoft 365 die SPF-E-Mail-Prüfung nicht bestehen. Aber: Microsoft 365 verwendet das Sender Rewriting-Scheme (SRS), um den Rückweg zu einer mit Microsoft verbundenen Adresse umzuschreiben, sodass die SPF-Prüfung bestanden wird. So gelingt es der Nachricht, die E-Mail-Sicherheitskontrollen SPF, DMARC und DKIM zu passieren.
Ernsthaftes Sicherheitsrisiko
Dieser neue Phishing-Ansatz stellt ein ernsthaftes Sicherheitsrisiko dar – und das nicht nur für Privatpersonen. Kann doch auch leicht die gesamte Belegschaft eines Unternehmens auf solch einen E-Mail-Verteiler gesetzt werden. Schon ein Mitarbeiter, der auf den Angriff hereinfällt und den Angreifern Fernzugriff gewährt, genügt, um erfolgreich ein Unternehmensnetzwerk zu infiltrieren. IT-Verantwortlichen kann hier nur geraten werden, das Sicherheitsbewusstsein ihrer Mitarbeiter weiter auszubauen. Die gesamte Belegschaft muss in die Lage versetzt werden, Anzeichen von Social Engineering, von Phishing und Spear Phishing rechtzeitig zu erkennen – bevor es zu spät ist.
Effektiv helfen kann ihnen hierbei ein modernes Human Risk Management. Dessen Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen. Moderne Anti-Phishing-E-Mail-Technologien kombinieren KI mit Crowdsourcing, um neueste Zero-Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, ihre Human Risks zurückzufahren und ihre Mitarbeiter zu ihrer besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen.
* Martin J. Krämer ist CISO Advisor bei KnowBe4.
Be the first to comment