Die Schadsoftware kommt per „legitimer“ E-Mail von iCloud, PayPal, Google Docs, Fedex und weiteren großen Marken.
Vor einer neuen Masche bei Phishing-Attacken warnt einer der führenden Anbieter von E-Mail-Sicherheitslösungen, der in New York ansässige Safe-Collaboration-Spezialist Avanan. Das Unternehmen, das seit 2021 zum Cyber-Sicherheitsanbieter Check Point gehört, hat festgestellt, dass kriminelle Phishing-Akteure neuerdings E-Mail-Adressen von großen Marken wie iCloud, PayPal, Google Docs und Fedex missbrauchen, um Schadsoftware-Angriffe unter deren Namen zu versenden. Die Hacker erstellen dafür lediglich ein kostenloses Konto bei einem der großen Anbieter, etwa bei Paypal, machen Nutzer-E-Mail-Adressen ausfindig, an die versendet werden kann, und versenden dann „legitime“ E-Mails mit Links zu Schadsoftware. Um die Nutzer zum Anklicken der bösartigen Links zu verleiten, erstellen die Hacker teils gefälschte Rechnungen oder kündigen Neuerungen an, die der Nutzer nach dem Klick auf den Link nutzen könne.
Die als Phishing Scam 3.0 bezeichnete Methode erfordert lediglich ein kostenloses E-Mail-Konto, mit dem die Hacker sich unter den Schirm des jeweiligen großen Markennamens begeben. Allein im Februar und März 2023 haben die Sicherheitsexperten von Avanan über 33.000 solcher E-Mail-Angriffe beobachtet, bei denen mit Schadsoftware verseuchte Nachrichten als Mail-Post legitimer, beliebter Firmen und Dienste ausgegeben wurden. Die Vorgehensweise von Cyber-Kriminellen bei Business-Email-Compromise-Kampagnen hat sich weiterentwickelt, wie sich damit zeigt. Hing der Erfolg eines BEC-Angriffs vormals noch davon ab, wie gut Adressen einer einflussreichen Person innerhalb eines Unternehmens oder eines vertrauenswürdigen Partners nachgeahmt werden konnten, hatten sich die Angreifer im letzten Jahr darauf verlegt, Nutzerkonten von innerhalb der Organisationen bzw. der Partnerorganisationen zu übernehmen, um sich in den legitimen E-Mail-Verkehr einzuschalten und so vermeintliche „Antworten“ verschicken zu können, als ob sie echte Mitarbeiter wären. Jeremy Fuchs, Sprecher bei Avanan, über die Entwicklung der Phishing-Angriffe: „Jetzt erleben wir etwas Neues, denn die Angreifer nutzen legitime Dienste, um ihren Angriff durchzuführen. Bei solchen Betrügereien erhält das Opfer eine E-Mail von echten Firmen und Programmen (z. B. PayPal, Google Docs oder iCloud).“
Wichtig dabei ist, dass die genannten beliebten Dienste dafür nicht gehackt worden sind. Stattdessen nutzen Hacker die vertrauten Namen im E-Mail-Absender der Dienste und gelangen so mit ihren Kampagnen unbemerkt in die Posteingänge vieler Nutzer. Das hebt das Level in den kriminellen E-Mail-Attacken mittels Firmen-Nachahmung auf ein neues Level, bestätigt Jeremy Fuchs von Avanan: „Ich empfehle allen Nutzern dringend, eine Zwei-Faktor-Authentifizierung einzuführen und E-Mail-Filter zu verwenden, um sich gegen diese Art von Angriffen zu schützen.“ Beispielsweise melden Hacker ein kostenloses Google-Konto an, erstellen dann ein Google-Dokument und erwähnen die anvisierte Zielperson in einem Kommentar zu einem solchen Google Sheet. Der entsprechende Nutzer erhält eine E-Mail-Benachrichtigung von Google mit schädlichem Inhalt.
Für den Empfänger ist dies eine typische E-Mail, insbesondere wenn er Google Workspace verwendet. Sogar Nutzer, die dort selbst nicht angemeldet sind, werden es nicht verwunderlich finden, wenn eine solche E-Mail in ihrem Posteingang eingeht, da viele Partnerunternehmen Workspaces von großen Anbietern verwenden. Die Sicherheitsexperten von Avanan konnten E-Mails, die von einem legitimen Absender stammten und eine rechtmäßig URL nutzen, wie etwa die von script.google.com-URL, als mit Schadsoftware verseucht enttarnen und nachverfolgen, dass es sich teils um mehr handelt, als lediglich um den Versuch, Anmeldedaten zu erbeuten. So war in einer kriminellen Kampagne nach der Phishing-Scam-3.0-Methode ein Link eingebettet, der zu einer gefälschten Krypto-Währungsseite weiterleitete. Die Cyber-Kriminellen hatten es mit gefälschten Websites aber auch direkt auf den Diebstahl von Geld abgesehen, auf verdecktes Krypto-Mining oder eine Vielzahl anderer krimineller Aktivitäten. In allen Fällen sah die E-Mail-Adresse, von der die E-Mail abgesendet wurde, laut Avanan völlig legitim aus und enthielt die korrekten Domänen, was die Erkennung und Identifizierung als Phishing-E-Mail für Durchschnittsempfänger, die keine zusätzlichen Sicherheitsmaßnahmen nutzen, erheblich erschwert.
