Ein brandneuer Phishing-Trick

Eine Zusammenfassung über Phishing

Phishing ist eine der ältesten Formen des E-Mail-Angriffs, aber immer noch eine der am häufigsten verwendeten Angriffsmethoden von Cyberkriminellen. Bei einem Phishing-Angriff versenden die Täter E-Mails, die Preise versprechen, mit der Sperrung des Kontos drohen oder eine andere dringende Situation heraufbeschwören, und fordern dann den Empfänger auf, auf einen Link zu klicken oder einen bösartigen Anhang herunterzuladen, um das Problem zu beheben oder den Preis zu erhalten.

Es gibt eine Reihe von technologischen Lösungen für die E-Mail-Sicherheit, die Unternehmen einsetzen können, um zu verhindern, dass die meisten E-Mails dieser Art jemals den Posteingang ihrer Teammitglieder erreichen. Und dank der Cybersecurity-Schulungen und des allgemeinen Wissens über Cyberangriffe sind die Benutzer von heute in der Lage, diese Art von Angriffen zu erkennen, nicht auf die Links zu klicken oder die Anhänge zu öffnen und das Sicherheitsteam ihres Unternehmens umgehend über den potenziellen Angriff zu informieren, selbst wenn eine technische Lösung versagt und eine bösartige E-Mail zugestellt wird.

Doch trotz des technologischen Fortschritts und des Erfolgs von Schulungen zum Thema Cybersicherheit sind selbst die aufmerksamsten Teammitglieder manchmal zu beschäftigt, werden abgelenkt oder versuchen einfach, zu schnell zu handeln, und klicken dennoch auf einen bösartigen Link oder öffnen eine bösartige Datei. Dieses menschliche Versagen ist der Grund, warum Cyberangriffe immer noch erfolgreich sind.

Und es ist dieser Erfolg, der die Bedrohungsakteure immer wieder nach neuen Wegen suchen lässt, um selbst die ahnungslosesten Benutzer zum Herunterladen von Malware zu verleiten oder Cyberkriminellen ungewollt hochsensible Anmeldedaten zu liefern.

Eine brandneue Art von Phishing-Angriff

Das Mimecast-Team hat kürzlich von den Bemühungen einer solchen Gruppe von Bedrohungsakteuren und einer neuen Form von Phishing-Angriffen erfahren, die sie entwickelt haben und die versuchen, eine nicht so bekannte Diskrepanz zwischen der Art und Weise, wie Webbrowser und E-Mail-Programme Webdomänen lesen, auszunutzen. Dies ist eine brandneue Methode für Angreifer, bösartige Links in E-Mail-Postfächer einzuschleusen.

Dieser kleine, aber entscheidende Unterschied in der Art und Weise, wie Webbrowser und E-Mail-Programme URLs lesen, ermöglicht es Angreifern, einen Link mit dem @-Symbol so zu gestalten, dass er von E-Mail-Sicherheitsfiltern als Kommentar und von Webbrowsern als legitime URL interpretiert wird, wie ein Bericht von Perception Point zeigt. Zum Beispiel: https[://]abc123@www[.]threatpost.com. Mit dieser neuen Angriffsmethode können Phishing-E-Mails mit dieser neuen Art von Link viele Formen der E-Mail-Sicherheit erfolgreich umgehen.

Wie Threatpost berichtet, hat das Incident Response (IR)-Team von Perception Point eine hastig gestaltete Phishing-E-Mail entdeckt, die sich als Microsoft-Benachrichtigung ausgab. Die Mitteilung informierte den Empfänger, dass er fünf neue Nachrichten erhalten hatte, und wies ihn an, einem Hyperlink zum "Persönlichen Portal" zu folgen.

Über diesen Hyperlink gelangte der Empfänger auf eine bösartige Website, die so gestaltet war, dass sie wie eine Outlook-Anmeldeseite aussah. Und obwohl der eigentliche Domänenname der Website "storageapi.fleek.co" lautete gefolgt von einer langen Reihe zufälliger Zeichen, könnten Benutzer, die nicht aufpassen oder sich zu schnell bewegen, ihre Outlook-Anmeldedaten auf dieser bösartigen Website eingegeben haben. Diese Zugangsdaten wären dann in die Hände der Cyberkriminellen gelangt, die für diesen Betrug verantwortlich sind.

Was wir über diese neue Angriffsmethode wissen

Diese brandneue Art des Phishings hat ihren Ursprung in Japan und hat es laut einer E-Mail von Motti Elloul, Vice President of Customer Success and Incident Response bei Perception Point, an Theatpost auf eine breite Palette von Zielen abgesehen, darunter Telekommunikations-, Webdienste- und Finanzunternehmen. Threatpost berichtet, dass keine der E-Mails die Benutzer dazu verleitet hat, ihre Outlook-Anmeldedaten anzugeben. Nur weil dieser eine Angriff fehlgeschlagen ist, bedeutet dies jedoch nicht, dass diese Angriffsmethode in naher Zukunft nicht immer wieder von anderen Bedrohungsakteuren für Angriffe auf andere Organisationen genutzt werden wird.

Bei der Untersuchung entdeckten die Forscher, dass der Schlüssel zum Erfolg dieses Phishing-Angriffs, der die meisten modernen E-Mail-Sicherheitstools umgeht, der Link in der E-Mail war. Einige Webbrowser erlauben es dem Benutzer, Authentifizierungsinformationen in das URL-Feld des Browsers einzugeben. Zum Beispiel: http(s)://username[:]password[@]server/resource[.]ext. Andere Browser ignorieren einfach alle Informationen, die vor dem @-Symbol eingegeben werden, und leiten den Benutzer nur zu der URL nach dem @-Symbol. Zum Beispiel: https[://]abc123@www[.]threatpost.com. In beiden Fällen leitet der Browser den Benutzer zu der URL weiter, die hinter dem @-Symbol steht. Das bedeutet, dass Angreifer nur ihre URL nach dem @-Symbol in den Link einfügen müssen, um die Benutzer auf ihre bösartige Website anstatt auf die echte Outlook-Anmeldeseite zu bringen. Zum Beispiel: https[://]outlook.live.com/owa/@www[.]candcserver.com.

Microsoft hat diese Funktion im Januar 2022 aus dem Internet Explorer entfernt. Leider verfügen jedoch viele andere Webbrowser noch über diese Funktion. Das Hauptproblem ist, dass viele der E-Mail-Sicherheitsprogramme, die Unternehmen verwenden, diese bösartigen URLs, die dieses @-Symbol in der Mitte verwenden, nicht erkennen, weil sie die Kopie nach dem @ als Kommentar und nicht als URL lesen.

Mimecast URL Protect kann diese Angriffe stoppen

Zum Glück für Mimecast-Kunden erkennt unsere TTP-URL-Schutzfunktion die auf das @-Symbol folgende URL korrekt und führt einen Scan durch, wenn ein Benutzer darauf klickt, um den Zugriff auf die Phishing-Seite zu verhindern, wenn ein bösartiges Verhalten erkannt wird. Selbst wenn ein Teammitglied die potenziell bösartige URL in der Phishing-E-Mail nicht erkennt, kann die Mimecast-Technologie den Angriff bereits im Keim ersticken und den Zugriff auf die bösartige Seite verhindern.

Um mehr zu erfahren oder eine Demo zu planen, besuchen Sie die Mimecast URL Protect Seite.