Cybercrooks verwenden Google Forms, um Anmeldeinformationen von ahnungslosen Office 365-Benutzern zu extrahieren

Mit wenigen Ausnahmen kann ein Angriff auf eine Organisation viel rentabler sein als ein Angriff auf einen Heimanwender. Unternehmen haben viel mehr zu verlieren. Sie verarbeiten Unternehmens- und Kundendaten, die nicht kompromittiert werden sollen, und wissen größtenteils, dass das Hacken ihrer Systeme erhebliche Konsequenzen haben kann. In Anbetracht dessen könnten Sie denken, dass das erfolgreiche Hacken einer Unternehmensorganisation viel mehr Raffinesse erfordert. Eine kürzlich von Cofense verfasste Phishing-Kampagne zeigt jedoch, dass dies nicht immer der Fall ist.

Office 365-Benutzer, auf die eine Phishing-Kampagne abzielt

Die Experten von Cofense gaben an, dass die Anzahl der Phishing-E-Mails für Office 365-Benutzer, die für Unternehmen aller Größen und Formen arbeiten, deutlich zugenommen hat. Die Kampagne, die sie genauer untersuchten, begann mit einem weiteren Angriff.

Die Gauner haben es irgendwie geschafft, ein E-Mail-Konto einer Person zu gefährden, die für CIM Finance, ein Finanzdienstleistungsunternehmen, arbeitet. Nach dem ersten Angriff verwendeten die Kriminellen die Systeme von CIM Finance, um eine große Anzahl von Phishing-E-Mails zu versenden, und die Tatsache, dass die Nachrichten von einem echten Unternehmen stammten, half ihnen, Anti-Spoofing-Prüfungen wie DKIM und SPF zu bestehen.

Die E-Mails selbst stammen angeblich von einem "IT-Unternehmensteam", das den Empfänger über den Ablauf seines Office 365-Kontos informiert. In der Nachricht wird angegeben, dass der Benutzer sein Kennwort aktualisieren muss, wenn sein Konto nicht gesperrt werden soll. Wie Sie vielleicht bereits vermutet haben, führt die Schaltfläche "Jetzt aktualisieren" zu einer Seite, die in keiner Weise mit Office 365 verbunden ist.

Stattdessen sehen die Opfer eine mit Google Forms erstellte Anmeldeseite, die sich als Microsoft-Seite tarnt und den Benutzer nach ihren Anmeldeinformationen fragt. Alles, was in die Felder eingegeben wird, wird mithilfe eines weiteren kostenlosen Dienstes des weltweit beliebtesten Suchmaschinenriesen - Google Drive - an die Gauner gesendet.

Ein grober Angriff, der sehr effektiv sein könnte

Die Gauner haben sich nicht viel Mühe gegeben. Die Tatsache, dass sie zunächst ein Konto bei einem legitimen Unternehmen kompromittieren, könnte Sie zu der Annahme verleiten, dass sie wissen, was sie tun, aber insgesamt haben sie nicht den Grad an Raffinesse gezeigt, den Sie von einer Gruppe von Kriminellen erwartet haben versuchen, Geschäftsbenutzer anzugreifen.

Durch die Verwendung von Google Forms zum Zusammenstellen der Phishing-Seite konnten die Gauner wahrscheinlich ein paar Dollar sparen, aber dies trug nicht dazu bei, dass der Betrug legitimer aussah. In der Tat wird auf einer Seite, die von einem Google-Dienst bereitgestellt wird, ein grünes Schlosssymbol in der Adressleiste angezeigt, das möglicherweise einige Leute zum Narren hält. Andererseits installieren weniger faule Phisher ohnehin SSL-Zertifikate auf ihren sorgfältig ausgearbeiteten Phishing-Kits, sodass dies kein großer Vorteil ist.

Das gefälschte Anmeldeformular wurde von Cofense-Forschern als "minderwertig" beschrieben, was angesichts der Einschränkungen von Google Forms nicht wirklich überraschend ist. Die Experten sagten, dass das Layout alles andere als überzeugend ist und dass einige Formatierungs- und Großschreibfehler den Betrug ziemlich schnell verraten. Die Tatsache, dass ein Benutzer, wenn er sein Passwort in das Feld eingibt, als Klartext ausgegeben wird, löst mit Sicherheit auch einige Alarmglocken aus. Oder wird es?

Ohne Zweifel ist dies alles andere als der raffinierteste Phishing-Angriff, aber die bloße Tatsache, dass er existiert, zeigt, dass die Gauner auf seinen Erfolg setzen. Jede Phishing-Kampagne beruht darauf, dass die Menschen die manchmal offensichtlichen Anzeichen eines Betrugs nicht erkennen, und die Terabyte an Terabyte gestohlener Benutzernamen und Passwörter, die jeden Tag auf den unterirdischen Märkten gehandelt werden, zeigen, dass dies häufiger geschieht als es sollte. Kein Angriff, egal wie schlecht er ausgeführt wird, sollte unterschätzt werden.