DRP und TFC von BlueVoyant decken mehrstufige Phishing Kampagne auf

Das Digital Risk Protection (DRP)-Team und die Threat Fusion Cell (TFC) von BlueVoyant haben kürzlich eine ausgeklügelte, mehrstufige Phishing-Kampagne entdeckt, analysiert und erfolgreich abgewehrt. Ziel der Angreifer waren dabei die sensiblen Kundendaten von Finanzinstituten und Kreditgenossenschaften in den USA und Europa.

Die Kampagne begann bereits im Juli des vergangenen Jahres, erklärt Eric Litowsky, Sales Director bei BlueVoyant . Um an die Zugangsdaten ihrer Opfer zu gelangen, registrierten die Angreifer massenhaft gefälschte Domains mit einer ungewöhnlichen Namensstruktur: Jede Domain startete mit „digit“, gefolgt von zwei durch Bindestriche getrennten, scheinbar zufälligen Zeichenfolgen – oft inspiriert von pseudo-griechischer oder lateinischer Morphologie – und endete auf TLDs wie .shop, .cfd oder .buzz.

Im November zeigte die Kampagne eine deutliche Weiterentwicklung. Den digit-Domains wurden nun Subdomains einer .co.com-Domain vorgeschaltet. Diese zusätzlichen Seiten waren so konzipiert, dass automatisierte Sicherheits-Scanner fehlgeleitet wurden: Direkte Anfragen führten zu fehlerhaften „www[.]www“-URLs, sodass der bösartige Inhalt verborgen blieb. Nur echte Nutzer, die über einen Link in einer Phishing-E-Mail kamen, sahen die täuschend echte, gefälschte Login-Seite – zunächst mit einem inaktiven CAPTCHA zur Verzögerung, bevor ein kodiertes Skript sie auf die endgültige Phishing-Seite leitete.

Auf dieser Seite wurden die Opfer mit einer gefälschten Anmeldeaufforderung ihrer angeblichen Bank konfrontiert. Wer seine Daten eingab, erhielt anschließend lediglich eine generische Fehlermeldung über ein vermeintliches technisches Problem – während die Angreifer die Zugangsdaten erbeuteten. Mit diesem mehrstufigen Vorgehen konnten sie die Erfolgsquote deutlich erhöhen und die Entdeckungswahrscheinlichkeit minimieren.

Trotz der Raffinesse der Kampagne konnte das DRP-Team von BlueVoyant die Bedrohung erkennen und stoppen. In enger Zusammenarbeit mit Hosting-Anbietern und Domain-Registraren wurden die schädlichen Domains abgeschaltet und die Angriffsstruktur zerschlagen. Dank kontinuierlicher Überwachung und automatisierter Erkennung können ähnliche Kampagnen in Zukunft noch schneller identifiziert und neutralisiert werden.

BlueVoyant rät Unternehmen dringend, proaktive Sicherheitsstrategien umzusetzen. Dazu gehören Mitarbeiterschulungen zur Erkennung verdächtiger Domains, die konsequente Nutzung von Multi-Faktor-Authentifizierung, die Überwachung des Dark Web sowie der Einsatz moderner Sicherheitslösungen, die komplexe, mehrstufige Angriffsszenarien erkennen und abwehren können.