Schemata verstecken sich hinter SharePoint, um Opfer Phishing-Angriffen auszusetzen

Phishing Attack Using SharePoint

Wir haben auf diesen Seiten oft gesagt, dass Phishing in technischer Hinsicht die einfachste Form der Internetkriminalität ist. Ein erfolgreicher Phishing-Angriff erfordert jedoch noch einige Vorbereitungen, insbesondere wenn die Betrüger es ernst meinen mit dem, was sie tun. Kürzlich schrieb Milo Salvia von Cofense über einen Phishing-Angriff, der zum Beispiel gegen britische Finanzinstitute gerichtet war, und es muss gesagt werden, dass dieser größtenteils ziemlich gut durchdacht war.

Eine überzeugende Phishing-E-Mail

Die Gauner begannen damit, das E-Mail-Konto eines Mitarbeiters von Independent Legal Assessors Ltd. (ILA), einem in London ansässigen Unternehmen, das juristische Dienstleistungen anbietet, zu kompromittieren. Die Signatur der Phishing-E-Mail deutet darauf hin, dass sie von David Philips gesendet wurde, der laut LinkedIn ILA-Direktor ist. Wir sollten jedoch darauf hinweisen, dass Cofense die Absenderadresse redigiert hat und wir nicht sicher sind, wer bei der Anwaltskanzlei die Kontrolle verloren hat von ihrem E-Mail-Konto.

Obwohl es ziemlich kurz ist, weist die E-Mail selbst nicht die üblichen Tipp- oder Grammatikfehler auf. Es ist gut formatiert, was erneut zeigt, dass die Gauner wirklich ein überzeugendes Schema erstellen wollten. Laut der Nachricht sendet Herr Philips "einen Vorschlag", den das Ziel überprüfen muss, bevor "weitere Vereinbarungen" getroffen werden. Der besagte Vorschlag kann angeblich von einem im Nachrichtentext enthaltenen Link heruntergeladen werden.

Der Link ist mit dem Click-Time-URL-Schutz von Symantec umhüllt, der wahrscheinlich dazu dient, das Ziel zu beruhigen. Schließlich dient dieser Dienst dazu, die URL zu überprüfen, auf die er bei jedem Klicken eines Benutzers auf den Link verweist. Wenn etwas nicht stimmt, sollte der gesamte Datenverkehr blockiert werden. Die URL, auf die der Link verweist, war jedoch als solche nicht schädlich.

Neben der Übernahme des ILA-E-Mail-Kontos haben die Hacker ein Profil auf der SharePoint-Plattform für die Zusammenarbeit gefährdet und damit ein OneNote-Dokument hochgeladen. Die Datei sah aus wie ein Vorschlag, aber der Text war absichtlich unscharf. Unten befand sich ein Link, über den das Ziel angeblich eine lesbare Version des Vorschlags herunterladen konnte. Wie Sie sich vielleicht vorstellen können, führt dies zur Phishing-Seite.

Laut Milo Salvia haben die Gauner eine legitime Website kompromittiert, um ihre Phishing-Seite zu hosten. Die whois-Informationen zur Domain deuten jedoch darauf hin, dass dies möglicherweise nicht der Fall ist. Die Admin-E-Mail-Adresse wurde auch für die Registrierung einiger Domains verwendet , die so aussehen, als wären sie speziell für Tippfehler entwickelt worden .

Der Quellcode der Phishing-Seite zeigte Salvia, dass die gestohlenen Anmeldeinformationen direkt per E-Mail an ein Google Mail-Konto gesendet wurden, das nach Ansicht der Forscher auch von den Phishern kompromittiert wurde.

Eine weniger als überzeugende Phishing-Seite

An diesem Punkt haben wir offenbar einen gut durchdachten Phishing-Angriff. Die erste E-Mail stammt von einer legitimen Adresse, der URL-Schutz zum Zeitpunkt des Klickens soll sicherstellen, dass keine Fehler vorliegen, und das SharePoint-Dokument führt zu einem falschen Sicherheitsempfinden. Die Phisher haben es wirklich versucht, und Sie würden davon ausgehen, dass angesichts all dessen der gesamte Vorgang des Diebstahls von Anmeldeinformationen mit einer Phishing-Seite abgeschlossen wird, die dem Original so nahe wie möglich kommt. Überraschenderweise haben sich die Betrüger jedoch nicht so sehr um den letzten, wichtigsten Teil des gesamten Angriffs gekümmert.

Das Phishing-Portal sieht aus wie die Anmeldeseite für Office365 for Business, aber der von Cofense bereitgestellte Screenshot zeigt, dass es sich um eine sehr billige Imitation handelt. Den Opfern wurde die Möglichkeit eingeräumt, sich entweder mit ihren Office365-Anmeldeinformationen oder mit dem Benutzernamen und dem Kennwort eines anderen E-Mail-Anbieters anzumelden. Normalerweise geschieht dies, um die Menge der gestohlenen Informationen zu maximieren. In diesem speziellen Fall würde es jedoch jedem, der gesehen hat, wie die ursprüngliche Anmeldeseite aussieht, schwer fallen, das Phishing-Portal zu glauben. Es stellt sich heraus, dass es sich tatsächlich um ein Phishing-Kit handelt, das von einer Gruppe namens Blackshop Tools verkauft wird. Angesichts der geringen Qualität können wir uns vorstellen, dass dies eine der billigeren Optionen ist.

Obwohl der Rest des Angriffs gut geplant war, sollte die offensichtlich gefälschte Phishing-Seite für die meisten Menschen eine Warnung sein. Wenn sie das nächste Mal versuchen, Anmeldeinformationen zu stehlen, entscheiden sich die Betrüger möglicherweise für ein Phishing-Kit höherer Qualität. Dies bedeutet, dass Sie genauso vorsichtig sein sollten wie immer, auch wenn die Kommunikation in Ihrem Posteingang völlig legitim aussieht.

Bis Duran
September 13, 2019
News
Deutsch
September 13, 2019
News

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 4 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.