Angreifer nutzen bekannte Infrastrukturen zum Sammeln von Anmeldeinformationen

Anmerkung der Redaktion: Diese Entdeckung ist dem Mimecast-Forscher Nir Steinfeld zu verdanken. 

Gestohlene Anmeldedaten sind eine der effektivsten und gängigsten Methoden, um die Schutzmaßnahmen eines Unternehmens zu durchbrechen. Böswillige Akteure stehlen diese Zugangsdaten durch Credential Harvesting-Angriffe, oft über E-Mail-Phishing. Sobald sie in ihrem Besitz sind, werden die Benutzerdaten verwendet, um einfachen Zugang zu Systemen zu erhalten, oder sie können sogar im Dark Web gehandelt oder verkauft werden, um weitere bösartige Aktivitäten zu finanzieren. 

Als Teil ihrer Online-Angriffsbemühungen stellen Cyberkriminelle Phishing-Websites bereit, auf die Benutzer geleitet werden, wenn sie auf die bösartigen Links in den erhaltenen Phishing-E-Mails klicken. Auf diesen gefälschten Websites, die oft echte, bekannte Websites imitieren, geben die Benutzer ihre Anmeldedaten ein, um sie dann zu stehlen. 

Diese Phishing-Websites wurden ursprünglich auf verdächtigen Domains gehostet, die von den meisten Sicherheitsprogrammen eher leicht entdeckt werden können.

Um zu verhindern, dass ihre bösartigen Websites so leicht entdeckt werden, nutzen Cyberkriminelle die von bekannten Unternehmen bereitgestellte Infrastruktur, um die Quelle ihrer Webseiten zu verschleiern und den Anschein zu erwecken, dass sie legitime Domänen und Zertifikate verwenden.

Eine kürzlich von Nir Steinfeld durchgeführte Mimecast-Bedrohungsstudie entdeckte eine groß angelegte Kampagne - über 10.000 Webseiten in weniger als einem Monat -, die die Google-Infrastruktur ausnutzt, um Sicherheitsebenen zu umgehen, Nutzer zu erreichen und sie dann dazu zu verleiten, ihre persönlichen Anmeldedaten preiszugeben.

Die Kampagne fand in der ganzen Welt statt, unter anderem in Europa, Südafrika, den USA und Australien.

Die Technik

Google Translate bietet einen Online-Dienst für die Übersetzung von Websites. Wenn Sie eine URL angeben, erhalten Sie eine identische Webseite, deren Text in die gewünschte Sprache übersetzt ist.

Abbildung 1: Die Übersetzungsfunktion von Google Translate für Websites

So kann ein Nutzer beispielsweise die URL des deutschen Nachrichtenmagazins Der Spiegel eingeben und die gesamte Seite in eine der von Google Translate unterstützten Sprachen übersetzen lassen.

Abbildung 2: www.spiegel.de

Abbildung 3: Übersetzte Version von www.spiegel.de

Der potenzielle Schaden

Die von Nir entdeckten Phishing-Seiten wurden alle über Cloudflare IPFS oder andere Hosting-Dienste gehostet und mit der Website-Übersetzung von Google Translate getarnt.

Einige dieser Seiten waren mehr als einen Monat lang online, bevor sie entdeckt wurden. VirusTotal, das viele Scan-Engines zusammenfasst, zeigt, dass die Original-URLs mehr Erkennungen erhalten als diejenigen, die die Domain von Google Translate verwenden. Dies zeigt, wie effektiv dieser Angriffsvektor ist.

Abbildung 4: VT-Status für die ursprüngliche URL (von 15 Anbietern gekennzeichnet) und für dieselbe URL mit Google Translate (von nur 6 Anbietern gekennzeichnet)

Die Seite ist der offiziellen Anmeldeseite von Microsoft "Outlook im Web" nachempfunden.

Abbildung 5: Die ursprüngliche Phishing-Webseite

Die Funktion von Google Translate fügt eine obere Leiste hinzu, in der die Nutzer ihre bevorzugte Sprache einstellen und zur ursprünglichen URL zurückkehren können.

Abbildung 6: Phishing-Seite für Outlook mit Google Translate

Die meisten Nutzer werden die URL öffnen, das Erscheinungsbild der Outlook-Anmeldung erkennen ꟷ und höchstwahrscheinlich die Verwendung von Google Translate hier nicht bemerken ꟷ und annehmen, dass sie einen offiziellen Microsoft-Dienst nutzen.

Bei seinen Nachforschungen untersuchte Nir das Zertifikat der gesendeten URLs und entdeckte eine legitime Google Trust Services-Signatur (Abbildung 7). Die Tatsache, dass es sich bei dem Zertifikat und der Domain um das offizielle Zertifikat und die offizielle Domain von Google handelt, kann in vielen Fällen dazu beitragen, dass die URL Sicherheitsgateways umgeht, die die vertrauenswürdigen Dienste von Google automatisch genehmigen.

Abbildung 7: Das Zertifikat für eine Webseite mit der Funktion von Google Translate

Mimecasts Rand

Sicherheitstools, die auf Blocklisten und Signaturen beruhen, können diese Art von Angriffen wahrscheinlich nicht erkennen. Mimecasts sicheres E-Mail-Gateway in der Cloud, Email Security (Gateway), wurde entwickelt, um jede Art von E-Mail-Umgebung, auch die komplexeste, sicher zu halten. Mit seinen erweiterten Verwaltungsfunktionen und einer Reihe von ergänzenden Lösungen und Integrationen ist es ideal für IT- und Sicherheitsteams, die Risiken kontrollieren und die Komplexität eindämmen möchten.

Email Security (Gateway) analysiert Seiten in Echtzeit und nutzt dabei fortschrittliche natürliche Sprach- und Bildverarbeitung, um Heuristiken über den potenziellen Schaden auf einer Webseite zu erstellen, was zur Erkennung dieser Art von Angriffen führt. Während andere Sicherheitstools es den Anwendern ermöglichen, bösartige Websites zu besuchen und ihre Anmeldedaten einzugeben, nur um sie dann zu stehlen, verhindert Mimecasts Email Security (Gateway), dass die bösartige E-Mail überhaupt zugestellt wird, weil es erkennt, dass der Website-Link in der E-Mail in Wirklichkeit eine bösartige Website ist, die Google Translate verwendet, um ihre schändlichen Absichten zu verschleiern.

Nächste Schritte

Fachleute, die sich über Angriffe wie den in dieser neuen Untersuchung des Mimecast Threat Research-Teams entdeckten Sorgen machen, sollten regelmäßig diesen Blog besuchen, um sich über neue Entdeckungen zu informieren. Und wenn sie es noch nicht getan haben, sollten sie den Einsatz eines fortschrittlichen E-Mail-Sicherheitstools wie Email Security (Gateway) in Betracht ziehen, um diese Angriffe zu stoppen, bevor sie an die Benutzer weitergeleitet werden.