Phishing Maleur
Xerox-Phishing-Kampagne lässt tausende gestohlener Passwörter über Google finden
Check Point deckt Xerox-Phishing-Kampagne auf
Die Sicherheitsforscher von Check Point haben eine Phishing-Kampagne entdeckt, deren Akteuren ein Maleur geschah – welches die Tat für die Opfer verschlimmerte: Die Zugangsdaten waren über Google sichtbar.
Die Security-Forscher von Check Point haben eine Phishing-Kampagne aufgedeckt, die Tausende von Kennwörtern verschiedener E-Mail-Adressen stahl. Hauptsächlich war Outlook über Office 365 betroffen.
Dies Zugangsdaten wurden in Webpages gespeichert, die von Google indexiert werden. Das hatten die Hacker wohl nicht bedacht. So waren die gestohlenen Passwörter über die Google-Suche auffindbar – ein gefundenes Fressen für andere listige Kriminelle. Laut dem Verizon’s Data Breach Investigation Report 2020 machen Phishing, Diebstahl von Zugangsdaten und Business E-Mail Compromise (BEC) als Angriffswege mittlerweile 67 Prozent aller erfolgreichen Datenlecks aus.
Im August 2020 begann die Kampagne: Phishing-Mails tarnten sich als Benachrichtigung von Xerox-Scannern und forderten die Adressaten auf, eine angehängte html-Datei zu öffnen.
Diese war so präpariert, dass sie die Microsoft Office 365 Advanced Threat Protection (ATP) umgehen konnte. Danach wurden die Angestellten auf eine gefälschte und personalisierte Phishing-Seite geleitet, wo sie sich anmelden sollten – wie sonst auch bei Outlook 365. Die Zugangsdaten von über 1000 Angestellten wurden auf diese Weise gestohlen. Sie waren eigentlich auf ebenfalls infizierten Servern in einer Text-Datei gespeichert worden, welche jedoch von der Google-Suche erfasst und indexiert wurden. Daher konnten die Kennwörter plötzlich frei über die Google-Suche gefunden und in noch größerem Ausmaß missbraucht werden.
Hauptsächlich traf es Unternehmen der Branchen Energie und Bau. Dahinter kamen Informationstechnologie und Gesundheitswesen.
Christine Schönig, Regional Director Security Engineering CER, Office of the CTO, bei Check Point Software Technologies , fasst die Nachforschung zusammen: „Bei gestohlenen Passwörtern denkt man natürlich zuerst an einen Verkauf im Darknet. In diesem Fall aber hatte jeder versierte Internet-Nutzer, und somit also die gesamte Öffentlichkeit, ungewollt Zugriff auf die gestohlenen Informationen.
Eigentlich bestand die Strategie der Angreifer darin, die Daten über infizierte Server auf speziellen, von ihnen erstellten Webseiten zu speichern. Nach Ablauf der Phishing-Kampagne selbst sollten diese entsprechenden Webseiten dann nach den infizierten Servern durchsucht werden, um in Ruhe die Anmeldedaten zu sammeln. Die Angreifer vergaßen jedoch, dass nicht nur sie die Server erfassen können, sondern ebenso die Google-Suche.
Hierbei handelt es sich also um ein weiteres und sehr gutes Beispiel dafür, wie wichtig es ist, das Bewusstsein für eine gute IT-Absicherung zu stärken. Die gesammelten Kennwörter standen einem enorm großen Publikum zur Verfügung, obwohl dies höchst ungewollt seitens der Angreifer geschehen ist. Die Methode ließe sich aber zu viel gefährlicheren Zwecken mit sensibleren Daten bewusst anwenden, um jemanden zum Beispiel zu erpressen.“