Inhaltsverzeichnis
Phishing – neuer Angriff hat Unternehmensbenutzer im Visier
Cybersicherheitsanalysten von Zscaler, einem amerikanischen Cloud-basierten Unternehmen für Informationssicherheit, haben eine neue groß angelegte Phishing-Kampagne aufgedeckt, die auf E-Mail-Benutzer von Microsoft abzielt. Die Hauptzielgruppe der Attacke sind Unternehmensbenutzer, insbesondere Endbenutzer in Unternehmensumgebungen, die Microsoft-E-Mail-Dienste verwenden. In diesem Blogbeitrag erfahren Sie alles Wissenswerte über die Phishing-Attacke.
Die Strategie der Angreifer: Umgehung der Multi-Faktor-Authentifizierung
Die Angreifer verwenden sogenannte Adversary-in-The-Middle (AiTM)-Techniken, um den Schutz durch Multi-Faktor-Authentifizierung (MFA) zu umgehen. Microsoft hat Anfang Juli 2022 Informationen über einen ähnlichen Angriff veröffentlicht. Der von Microsoft beschriebene Angriff zielte auf mehr als 10.000 Organisationen ab und nutzte AiTM-Techniken, um den MFA-Schutz zu umgehen.
Die mehrstufige Authentifizierung ist unter anderem bei Windows Server 2016, Windows Server 2019 und Windows Server 2022 im Rahmen der Remotedesktopdienste eine wichtige Funktionalität, die die Sicherheit deutlich erhöht.
Zscaler beschreibt den neuen Angriff als hoch entwickelt. Es „verwendet eine AiTM-Angriffstechnik, die in der Lage ist, die Multi-Faktor-Authentifizierung zu umgehen“ und „mehrere Umgehungstechniken, die in verschiedenen Phasen des Angriffs verwendet werden, um herkömmliche E-Mail-Sicherheits- und Netzwerksicherheitslösungen zu umgehen“.
Das sind die Ziele – bislang nicht der deutschsprachige Raum
Die Mehrheit der Organisationen, auf die die böswillige Kampagne abzielt, hat ihren Sitz in den Vereinigten Staaten, Großbritannien, Neuseeland und Australien. Die Hauptsektoren sind die FinTech-, Kredit-, Finanz-, Versicherungs-, Buchhaltungs-, Energie- und Federal Credit Union-Industrie.
Es kann nicht ausgeschlossen werden, dass die Angriffe ausweitet werden und bald auch Unternehmen in Deutschland, Österreich und in der Schweiz betroffen sein werden.
So wird der Angriff durchgeführt
Der Angriff beginnt damit, dass Phishing-E-Mails an Microsoft-E-Mail-Adressen gesendet werden. Alles hängt von diesen Phishing-E-Mails und den damit interagierenden Benutzern ab. Schädliche E-Mails können einen direkten Link zu einer Phishing-Domäne oder HTML-Anhänge enthalten, die den Link beherbergen. In jedem Fall ist es erforderlich, dass der Benutzer den Link aktiviert, um die Infektionskette zu starten.
Ähnlich wie bei der Phishing-Kampagne, die Microsoft zuvor beschrieben hat, verwenden Phishing-E-Mails in der ungedeckten Kampagne verschiedene Themen, um die Aufmerksamkeit der Benutzer zu erregen. Eine E-Mail deutete an, dass sie eine Rechnung zur Überprüfung enthielt, eine andere, dass ein neues Dokument eingegangen sei, das online eingesehen werden müsse.
Die Kampagne verwendet mehrere Umleitungstechniken. Beispielsweise wurde der legitime CodeSandbox-Dienst in der Kampagne verwendet, um „schnell neue Codeseiten zu erstellen, einen Umleitungscode mit der URL der neuesten Phishing-Site darin einzufügen und den Link zum gehosteten Umleitungscode massenhaft an die Opfer zu senden“.
Die Phishing-Sites verwendeten Fingerabdrucktechniken, um festzustellen, ob der Seitenbesucher ein gezieltes Opfer der Kampagne oder jemand anderes ist. Zscaler glaubt, dass dies getan wird, um Sicherheitsforschern den Zugriff auf die Phishing-Seiten zu erschweren.
Proxy-basierte AiTM-Phishing-Angriffe sitzen zwischen dem Gerät des Benutzers und dem Zieldienst. Sie kontrollieren den Datenfluss und manipulieren ihn. Am Ende werden Sitzungscookies erfasst, die während des Vorgangs generiert werden, um auf den E-Mail-Dienst zuzugreifen, ohne sich erneut anmelden oder den Anmeldevorgang mit MFA abschließen zu müssen.
Der Benutzer ist bei Phishing oftmals die Schwachstelle
Phishing-Kampagnen werden immer ausgefeilter, aber die meisten von ihnen haben gemeinsam, dass sie eine Benutzeraktivität erfordern. Erfahrene Benutzer wissen, wie man E-Mails analysiert, um herauszufinden, ob sie von einem legitimen Absender stammen. Allerdings verfügen nicht alle Anwender über diese Fähigkeiten.
Sowohl im Privatbereich als auch im unternehmerischen Umfeld ist eine aktuelle Virensoftware unerlässlich. Bei Softwarekaufen24 finden Sie unterschiedliche Softwarelösungen, die Sie vor den verschiedensten Attacken und Cyberbedrohungen schützt. Unter anderem G Data Internet Security 2022 und Bitdefender Internet Security 2022 erfreuen sich einer großen Beliebtheit.