Schemata verstecken sich hinter SharePoint, um Opfer Phishing-Angriffen auszusetzen

Phishing Attack Using SharePoint

Wir haben auf diesen Seiten oft gesagt, dass Phishing in technischer Hinsicht die einfachste Form der Internetkriminalität ist. Ein erfolgreicher Phishing-Angriff erfordert jedoch noch einige Vorbereitungen, insbesondere wenn die Betrüger es ernst meinen mit dem, was sie tun. Kürzlich schrieb Milo Salvia von Cofense über einen Phishing-Angriff, der zum Beispiel gegen britische Finanzinstitute gerichtet war, und es muss gesagt werden, dass dieser größtenteils ziemlich gut durchdacht war.

Eine überzeugende Phishing-E-Mail

Die Gauner begannen damit, das E-Mail-Konto eines Mitarbeiters von Independent Legal Assessors Ltd. (ILA), einem in London ansässigen Unternehmen, das juristische Dienstleistungen anbietet, zu kompromittieren. Die Signatur der Phishing-E-Mail deutet darauf hin, dass sie von David Philips gesendet wurde, der laut LinkedIn ILA-Direktor ist. Wir sollten jedoch darauf hinweisen, dass Cofense die Absenderadresse redigiert hat und wir nicht sicher sind, wer bei der Anwaltskanzlei die Kontrolle verloren hat von ihrem E-Mail-Konto.

Obwohl es ziemlich kurz ist, weist die E-Mail selbst nicht die üblichen Tipp- oder Grammatikfehler auf. Es ist gut formatiert, was erneut zeigt, dass die Gauner wirklich ein überzeugendes Schema erstellen wollten. Laut der Nachricht sendet Herr Philips "einen Vorschlag", den das Ziel überprüfen muss, bevor "weitere Vereinbarungen" getroffen werden. Der besagte Vorschlag kann angeblich von einem im Nachrichtentext enthaltenen Link heruntergeladen werden.

Der Link ist mit dem Click-Time-URL-Schutz von Symantec umhüllt, der wahrscheinlich dazu dient, das Ziel zu beruhigen. Schließlich dient dieser Dienst dazu, die URL zu überprüfen, auf die er bei jedem Klicken eines Benutzers auf den Link verweist. Wenn etwas nicht stimmt, sollte der gesamte Datenverkehr blockiert werden. Die URL, auf die der Link verweist, war jedoch als solche nicht schädlich.

Neben der Übernahme des ILA-E-Mail-Kontos haben die Hacker ein Profil auf der SharePoint-Plattform für die Zusammenarbeit gefährdet und damit ein OneNote-Dokument hochgeladen. Die Datei sah aus wie ein Vorschlag, aber der Text war absichtlich unscharf. Unten befand sich ein Link, über den das Ziel angeblich eine lesbare Version des Vorschlags herunterladen konnte. Wie Sie sich vielleicht vorstellen können, führt dies zur Phishing-Seite.

Laut Milo Salvia haben die Gauner eine legitime Website kompromittiert, um ihre Phishing-Seite zu hosten. Die whois-Informationen zur Domain deuten jedoch darauf hin, dass dies möglicherweise nicht der Fall ist. Die Admin-E-Mail-Adresse wurde auch für die Registrierung einiger Domains verwendet , die so aussehen, als wären sie speziell für Tippfehler entwickelt worden .

Der Quellcode der Phishing-Seite zeigte Salvia, dass die gestohlenen Anmeldeinformationen direkt per E-Mail an ein Google Mail-Konto gesendet wurden, das nach Ansicht der Forscher auch von den Phishern kompromittiert wurde.

Eine weniger als überzeugende Phishing-Seite

An diesem Punkt haben wir offenbar einen gut durchdachten Phishing-Angriff. Die erste E-Mail stammt von einer legitimen Adresse, der URL-Schutz zum Zeitpunkt des Klickens soll sicherstellen, dass keine Fehler vorliegen, und das SharePoint-Dokument führt zu einem falschen Sicherheitsempfinden. Die Phisher haben es wirklich versucht, und Sie würden davon ausgehen, dass angesichts all dessen der gesamte Vorgang des Diebstahls von Anmeldeinformationen mit einer Phishing-Seite abgeschlossen wird, die dem Original so nahe wie möglich kommt. Überraschenderweise haben sich die Betrüger jedoch nicht so sehr um den letzten, wichtigsten Teil des gesamten Angriffs gekümmert.

Das Phishing-Portal sieht aus wie die Anmeldeseite für Office365 for Business, aber der von Cofense bereitgestellte Screenshot zeigt, dass es sich um eine sehr billige Imitation handelt. Den Opfern wurde die Möglichkeit eingeräumt, sich entweder mit ihren Office365-Anmeldeinformationen oder mit dem Benutzernamen und dem Kennwort eines anderen E-Mail-Anbieters anzumelden. Normalerweise geschieht dies, um die Menge der gestohlenen Informationen zu maximieren. In diesem speziellen Fall würde es jedoch jedem, der gesehen hat, wie die ursprüngliche Anmeldeseite aussieht, schwer fallen, das Phishing-Portal zu glauben. Es stellt sich heraus, dass es sich tatsächlich um ein Phishing-Kit handelt, das von einer Gruppe namens Blackshop Tools verkauft wird. Angesichts der geringen Qualität können wir uns vorstellen, dass dies eine der billigeren Optionen ist.

Obwohl der Rest des Angriffs gut geplant war, sollte die offensichtlich gefälschte Phishing-Seite für die meisten Menschen eine Warnung sein. Wenn sie das nächste Mal versuchen, Anmeldeinformationen zu stehlen, entscheiden sich die Betrüger möglicherweise für ein Phishing-Kit höherer Qualität. Dies bedeutet, dass Sie genauso vorsichtig sein sollten wie immer, auch wenn die Kommunikation in Ihrem Posteingang völlig legitim aussieht.

September 13, 2019

Antworten

WICHTIG! Um fortfahren zu können, müssen Sie die folgende einfache Mathematik lösen.
Please leave these two fields as is:
Was ist 6 + 5 ?