Phishing-Angriffe unter Ausnutzung legitimer Dienste
Böswillige Akteure geben sich in ihren Phishing-Kampagnen häufig als vertrauenswürdige Marken aus, um ihren Botschaften Glaubwürdigkeit zu verleihen. Tatsächlich gaben sich Angreifer in über 51 % der Phishing-Versuche als eine der 20 größten globalen Marken aus. Die neuesten Untersuchungen zeigen nun, wie diese Cyberkriminellen ihre Angriffstaktiken verfeinern: Sie geben sich nicht mehr nur als Marken aus, sondern nutzen die legitimen Dienste dieser Marken, um ihre böswilligen Nutzlasten zuzustellen.
Der Bericht zu Phishing-Bedrohungen 2023 zeigt diese Zunahme von Phishing-E-Mails, die legitime Dienste von Marken wie LinkedIn und Baidu nutzen, um bösartige Links zu versenden. Böswillige Akteure haben diese Dienste als Umleitungen zu ihren schädlichen Websites verwendet, um Anmeldedaten von Benutzern zu stehlen. Dies geschieht zusätzlich zur Nutzung von legitimen E-Mail-Zustelldiensten wie Sendgrid.
Die spezifischen Köder, die in diesen Kampagnen verwendet werden, können variieren. Die Mehrheit der Phishing-Versuche gab sich jedoch als DocuSign aus und verwendete Bilder wie das untenstehende – in diesem speziellen Fall schickte der Angreifer eine E-Mail mit der Betreffzeile „Dokument freigegeben für 552 Freitag-August-2023 07:07 AM“.
Abbildung 1: In der DocuSign-nachahmenden E-Mail verwendete PNG-Datei
Wie oben dargestellt, verwendete der böswillige Akteur ein PNG-Bild einer scheinbar legitimen DocuSign-Anfrage, die mit der beliebten chinesischen Suchmaschine Baidu verlinkt war:
hxxps://baidu[.]com/link?url=kA8OoWb8zcCGgAUVXbCg8b88McfdEkvKGdPI6TNGeQ3_Ck23j3C1xVZCZ0Wp
HYUJ#targetemailaddress@domain.com
mit Umleitung zu: hxxps://sfsqa[.]com/284aa1d677ad550714e793de131195df64e907d378280LOG284
aa1d677ad550714e793de131195df64e907d378281
Der Absender verwendete eine legitime geschäftliche Domain; @ciptaprimayoga.com, bei der es sich offenbar um ein indonesisches Batterieunternehmen handelt, das wahrscheinlich kompromittiert wurde. Die Verwendung einer legitimen Domain ermöglicht es dem Angreifer, Sicherheitsmaßnahmen zu umgehen, die das Alter der Domain, d. h. das Erstellungsdatum, als Teil des Abwehrprozesses analysieren.
Sobald der Link angeklickt wird, wird das Unternehmen des Empfängers über den URL-Pfad automatisch auf einer angepassten Microsoft-Anmeldeseite dargestellt.
Im Rahmen unserer Nachforschungen klickten wir auf den bösartigen Link und eine benutzerdefinierte Anmeldeseite von Cloudflare lud dynamisch das Firmenlogo und das Hintergrundbild der berühmten Cloudflare-Lavalampen-Wand.
Abbildung 2: Gefälschte Anmeldeseite für Microsoft-Anmeldeinformationen mit Cloudflare-Branding
Nach der Eingabe von Anmeldedaten, die der Angreifer abfängt, wird die Website zu Office.com umgeleitet.
Ein weiterer häufig genutzter Dienst, der für Phishing-E-Mails missbraucht wird, ist SendGrid, wie in der Abbildung unten zu sehen ist. Dabei wird dieses E-Mail-Marketingunternehmen für die Durchführung von PayPal-Telefonbetrug missbraucht. Die Verwendung von SendGrid ermöglicht es böswilligen Akteuren, herkömmliche E-Mail-Sicherheitsmethoden wie Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication Reporting and Conformance (DMARC) zu umgehen und ihren Kampagnen Glaubwürdigkeit zu verleihen.
Abbildung 3: Per SendGrid versendeter PayPal-Telefonbetrug
Bei dieser und ähnlichen Betrugsmaschen wird versucht, Benutzer dazu zu bringen, die angegebene Telefonnummer anzurufen, die an ein Callcenter weitergeleitet wird, in dem böswillige Akteure darauf warten, die Opfer zur Installation von Schadsoftware zu überreden, um per Telefon Bankdaten stehlen zu können.
89 Prozent aller E-Mail-Authentifizierungen stoppen Bedrohungen nicht. Da Phishing immer mehr zunimmt und seinen Weg in die Posteingänge der Nutzer findet, ist es wichtiger denn je, die Cyberresilienz innerhalb der Firmenkultur zu stärken und Ihr Unternehmen vor E-Mail-basierten Bedrohungen zu schützen.
Cloudflare Email Security nutzt fortschrittliches maschinelles Lernen und künstliche Intelligenz, um neue Taktiken aufzudecken, mit denen böswillige Akteure traditionelle Sicherheitsmaßnahmen und Cloud-E-Mail-Anbieter in Echtzeit umgehen. Fordern Sie eine kostenlose Analyse des Phishing-Risikos an, um herauszufinden, welche Phishing-Angriffe Ihre derzeitigen E-Mail-Sicherheitssysteme möglicherweise durchlassen.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträgerinnen und -träger aus der Tech-Branche heute von Bedeutung sind.
Vertiefung des Themas:
Holen Sie sich den Bericht zu Phishing-Bedrohungen 2023 und erfahren Sie alles über aktuelle Trends und Empfehlungen, um Angriffe wirksam zu verhindern.
Autor
Maaz Qureshi
Threat Response Engineer, Cloudflare
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Legitime Dienste werden genutzt, um böswillige Nutzlasten zu versenden
89 % aller Fälle von E-Mail-Authentifizierung stoppen die Bedrohung nicht
Wie präventive E-Mail-Sicherheit neue Taktiken aufdeckt, die herkömmliche Sicherheitsvorkehrungen umgehen