Phishing-Kampagne webt um die automatisierte E-Mail-Filterung von Microsoft
Forscher der Cyber-Sicherheitsfirma Armorblox entdeckten eine neue gerissene Phishing-Kampagne, die sich als Infosec-Firma Proofpoint ausgab und Microsoft- und Google-Seiten fälschte.
Die Kampagne nutzt mehrere clevere Social-Engineering-Tricks, um die Opfer zum Klicken zu bewegen. Berichten zufolge konzentrierte sich der Angriff auf ein großes Kommunikationsunternehmen mit globaler Präsenz.
Der Textkörper behauptet, dass der darin enthaltene Link eine sehr sichere Datei enthält, die über Proofpoint gesendet wurde. Die E-Mails verwendeten Themen rund um Hypotheken und enthielten "Re:" in ihren Betreffzeilen, was die Illusion einer zuvor bestehenden, laufenden Konversation erweckte, was die Opfer zusätzlich dazu verleitet, auf die schädlichen Links in der E-Mail zu klicken.
Sobald das Opfer auf den in der Phishing-Mail enthaltenen Link klickt, wird es auf eine Hacker-Controller-Seite weitergeleitet, die das Branding und Design von Proofpoint nachahmt. Auf der gefälschten Proofpoint-Seite befinden sich Anmeldelinks, die es dem Benutzer ermöglichen, entweder seine Google- oder Office 365-Anmeldedaten einzugeben, in der Hoffnung, zu der angeblich in der Mail enthaltenen Datei zu gelangen.
Die gefälschten Anmeldeseiten für Google bzw. Microsofts Office 365 sammelten E-Mails und Passwörter der Benutzer.
Ein weiteres merkwürdiges Detail dieser Kampagne ist, dass es den E-Mails gelungen ist, die E-Mail-Sicherheitsfilterung von Microsoft zu umgehen. Dies war möglich, da die E-Mails von einer Adresse eines echten Feuerwehrbüros in Frankreich stammten, das bereits von den kriminellen Akteuren der Kampagne kompromittiert worden war.
Dieser Vorfall dient dazu, noch einmal das Bewusstsein für die Gefahren von cleverem Social Engineering zu schärfen und wie leicht man in eine ernste Falle tappen kann, die aus einem einzigen Fehler eines einzelnen Mitarbeiters schwerwiegende Folgen und Konsequenzen für das Unternehmen oder die Einrichtung haben kann.