Phishing
Office 365 Phishing-Kampagne nutzt Samsung, Adobe und Oxford
Kriminelle waren in der Lage, die Server der renommierten Oxford Universität in Großbritannien zu hacken und darüber eine Welle an Phishing-Mails zu versenden.
Das Check Point Research Team von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein weltweit führender Anbieter von Cyber-Security-Lösungen, deckte eine große Welle an Phishing-Mails auf, die darauf abzielten, sich die Kontoinformationen von Office 365-Anwendern zu erschleichen. Versandt wurden die Mails über die SMTP-Server der Oxford Universität.
Als Deckmantel dienten dabei neben der Bildungseinrichtung auch Inhalte und Services der Cyber-Giganten Samsung und Adobe
Cyberkriminelle waren dazu in der Lage, sich Zugang zu den Servern von Oxford zu verschaffen. Dadurch war es ihnen möglich, ihre Phishing-Mails unter dem Deckmantel der Universität und dazugehörigen Abteilungen zu versenden. Somit wurden diese nicht so leicht von entsprechenden Filter-Systemen erfasst. Zusätzlich wurden dann noch die enthaltenen links über Weiterleitungen bekannter Marken und Anbieter verschleiert. Bereits in der Vergangenheit wurden solche „Open redirects“, also nicht validierte und nicht gesicherte Weiterleitungen einer URL auf eine Webseite von dritten, für Phishing-Angriffe genutzt.
In der aktuellen Phishing-Nachricht führt der enthaltene Link auf eine Domain auf einem Adobe-Server, mit der Samsung während dem Cyber Monday 2018 arbeitete. Dadurch, dass diese eigentlich einmal legitime Domain als Tarnung für die anschließende Weiterleitung genutzt wird, entzieht sich der Phishing-Angriff der frühzeitigen Erkennung. Wer auf den link klickt landet dann aber nicht auf der Domain, die Samsung nutzte, sondern wird entsprechend direkt auf Seite der Kriminellen weitergeleitet, wo ein falsches Login-Formular auf die Opfer wartet.
Lotem Finkelsteen, Manager of Threat Intelligence bei Check Point Software Technologies GmbH, warnt entsprechend: „Was zunächst wie eine klassische Phishing-Kampagne von Office 365 aussah, entpuppte sich als Meisterwerk: die Nutzung bekannter und angesehener Marken, um Sicherheitsprodukten auf dem Weg zu den Opfern auszuweichen. Heutzutage ist dies eine Spitzentechnik, um in einem Unternehmensnetzwerk Fuß zu fassen. Der Zugriff auf Firmenpost kann Hackern unbegrenzten Zugang zu den Betriebsabläufen eines Unternehmens ermöglichen, z. B. Transaktionen, Finanzberichte, Versenden von E-Mails innerhalb des Unternehmens aus einer zuverlässigen Quelle, Passwörter und sogar Adressen der Cloud-Assets eines Unternehmens. Um den Angriff durchzuführen, musste sich der Hacker Zugang zu den Servern von Samsung und Oxford verschaffen, was bedeutete, dass er Zeit hatte, deren innere Funktionsweise zu verstehen, so dass er unbemerkt bleiben konnte.“
Alles weitere über die Phishing-Kampagne lesen Sie im Blog der Security-Forscher .