Viele Cyber-Sicherheitstools suchen, wenn es um das Identifizieren von verdächtigen E-Mails geht, inzwischen nach schädlichen Dokumenten und bekannten Blacklist-URLs. Angriffe mit E-Mails von Hackern, die Social-Engineering-Techniken einsetzen, weisen jedoch nur selten derart offensichtliche Merkmale auf. Die Hacker verlassen sich auf gestresste Mitarbeiter, die so unter Zeitdruck sind, dass sie sich von gefälschten Anfragen überrumpeln lassen. Business E-mail Compromise (BEC) ist inzwischen eine der schädlichsten und teuersten Arten von Phishing. Während Ransomware-Angriffe in der Öffentlichkeit viel Aufsehen erregen, beliefen sich laut Experten die durch BEC-Betrügereien im Jahr 2022 verursachten Kosten auf insgesamt 2,7 Milliarden US-Dollar – verglichen mit lediglich 34 Millionen US-Dollar Schaden durch Ransomware. Die kriminellen BEC-Akteure, die ihre Taktiken ständig weiterentwickeln, haben im letzten Jahr Unternehmen und Organisationen aller Größenordnungen in mehr als 150 Ländern auf der ganzen Welt ins Visier genommen.
Forscher eines international agierenden Sicherheitsanbieters haben bei der Analyse einer Phishing-Kampagne den Trend bestätigt gefunden, dass Hacker, um unter dem Radar von Anti-Phishing-Software zu bleiben, aktuell vermehrt auf eine Kombination von legitimen Web-Adressen mit betrügerischen Websites setzen. Die Threat-Intelligence-Abteilung des israelischen Anbieters Check Point hat sich mit einer Betrugskampagne auseinandergesetzt, die das Amazon-Tochterunternehmen AWS für das Versenden von Phishing-E-Mails nutzt, um den Nachrichten einen täuschend echten Anstrich zu geben.
Laut der Analyse der Sicherheitsexperten weisen die von den Betrügern verschickten E-Mails auf ein echtes AWS-S3-Bucket hin. Da jeder, der über gewisse Programmierfähigkeiten verfügt, die für erfahrene Hacker kein Hindernis darstellen, eine statische, aber auch eine dynamische Seite bei AWS aufsetzen kann, handelt es sich bei der Domäne tatsächlich um ein echtes AWS-S3-Bucket. Nach Anklicken des in der Nachricht enthaltenen Links wird der Nutzer auf eine gefälschte Microsoft-Anmeldeseite weitergeleitet. Besonders perfide: Die E-Mail-Adresse des per Phishing angeschriebenen Nutzers ist bereits eingetragen, um den Nutzer in falscher Sicherheit zu wiegen. Außerdem ist die E-Mail-Adresse des Nutzers ein Teil der URL, damit es so aussieht, als wäre er schon angemeldet gewesen. Die Gefahr, dass sich Nutzer davon täuschen lassen und ihr Passwort eingeben, ist entsprechend hoch. Sicherheitsforscher raten Anwendern im Arbeitsumfeld wie im Privaten größte Vorsicht walten zu lassen und sich vor der Eingabe von Passwörtern stets die Zeit zu nehmen, um die Absender-Adresse und die URL einer Seite im Detail zu prüfen.
