Bedrohungsanalyse

    Angreifer nutzen bekannte Infrastrukturen zum Sammeln von Anmeldeinformationen

    Das Threat Research Team von Mimecast hat eine Zunahme von Angreifern festgestellt, die bekannte Infrastrukturen nutzen, um Benutzer zur Angabe ihrer persönlichen Anmeldedaten zu verleiten.

    by Meni Farjon
    51BLOG_1.jpg

    Wichtige Punkte

    • Das Sammeln von Zugangsdaten erweist sich für Cyberkriminelle als sehr lukrativ und führt zu einem Anstieg der Angriffe.
    • Cyberkriminelle nutzen zunehmend bekannte Infrastrukturen, um Anmeldedaten zu sammeln.
    • Sichere E-Mail-Gateways sind einzigartig positioniert, um diese Art von Angriffen zu stoppen.

    Anmerkung der Redaktion: Diese Entdeckung ist dem Mimecast-Forscher Nir Steinfeld zu verdanken. 

    Gestohlene Anmeldedaten sind eine der effektivsten und gängigsten Methoden, um die Schutzmaßnahmen eines Unternehmens zu durchbrechen. Böswillige Akteure stehlen diese Zugangsdaten durch Credential Harvesting-Angriffe, oft über E-Mail-Phishing. Sobald sie in ihrem Besitz sind, werden die Benutzerdaten verwendet, um einfachen Zugang zu Systemen zu erhalten, oder sie können sogar im Dark Web gehandelt oder verkauft werden, um weitere bösartige Aktivitäten zu finanzieren. 

    Als Teil ihrer Online-Angriffsbemühungen stellen Cyberkriminelle Phishing-Websites bereit, auf die Benutzer geleitet werden, wenn sie auf die bösartigen Links in den erhaltenen Phishing-E-Mails klicken. Auf diesen gefälschten Websites, die oft echte, bekannte Websites imitieren, geben die Benutzer ihre Anmeldedaten ein, um sie dann zu stehlen. 

    Diese Phishing-Websites wurden ursprünglich auf verdächtigen Domains gehostet, die von den meisten Sicherheitsprogrammen eher leicht entdeckt werden können.

    Um zu verhindern, dass ihre bösartigen Websites so leicht entdeckt werden, nutzen Cyberkriminelle die von bekannten Unternehmen bereitgestellte Infrastruktur, um die Quelle ihrer Webseiten zu verschleiern und den Anschein zu erwecken, dass sie legitime Domänen und Zertifikate verwenden.

    Eine kürzlich von Nir Steinfeld durchgeführte Mimecast-Bedrohungsstudie entdeckte eine groß angelegte Kampagne - über 10.000 Webseiten in weniger als einem Monat -, die die Google-Infrastruktur ausnutzt, um Sicherheitsebenen zu umgehen, Nutzer zu erreichen und sie dann dazu zu verleiten, ihre persönlichen Anmeldedaten preiszugeben.

    Die Kampagne fand in der ganzen Welt statt, unter anderem in Europa, Südafrika, den USA und Australien.

    Die Technik

    Google Translate bietet einen Online-Dienst für die Übersetzung von Websites. Wenn Sie eine URL angeben, erhalten Sie eine identische Webseite, deren Text in die gewünschte Sprache übersetzt ist.

    Abbildung 1: Die Übersetzungsfunktion von Google Translate für Websites

    So kann ein Nutzer beispielsweise die URL des deutschen Nachrichtenmagazins Der Spiegel eingeben und die gesamte Seite in eine der von Google Translate unterstützten Sprachen übersetzen lassen.

    Abbildung 2: www.spiegel.de