Anmeldedaten-Phishing-Kampagne über Google Apps Anmeldedaten-Phishing-Kampagne über Google Apps - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


18.03.2015 Monika Schaufler*

Anmeldedaten-Phishing-Kampagne über Google Apps

Anmeldedaten-Phishing ist nach wie vor eine beliebte Technik bei Malware-Kampagnen, wobei ein häufiges Ziel Outlook-Webanmeldedaten sind, über die andere Webmail-Konten geöffnet werden. Im Zuge der wachsenden Verbreitung cloudbasierter Dokumente wurde dieses Verhalten auch als Lockmittel in Nachrichten von Phishing-Kampagnen eingesetzt – was deren Glaubwürdigkeit und Effektivität steigerte.

Realistisch anmutende Google-Landingpage

Realistisch anmutende Google-Landingpage

© Proofpoint

In einer kürzlich durchgeführten Studie haben Forscher von Proofpoint auf die Hauptbestandteile von Attacken dieser Art hingewiesen – sowie auf eine clevere Innovation, die in letzter Zeit von Hackern eingeführt wurde. Anmeldedaten-Phishing über Google-Apps gehört zu den gängigsten E-Mail-gebundenen Bedrohungen, die Proofpoint derzeitig beobachtet. Besonders diejenigen Organisationen, die Google-Apps regulär intern nutzen, sind hier besonders Klick-anfällig.

Im untenstehenden Beispiel wird durch das Klicken auf den Link eine sehr realistisch anmutende Google-Landingpage für gemeinsam verwendete Dokumente aufgerufen, statt das potenzielle Opfer direkt auf eine (gefälschte) Login-Seite zu leiten.

(c) Proofpoint

Die Seite ist die perfekte Nachbildung einer echten Google-Seite – mit dem einzigen Unterschied, dass sie über HTTP statt HTTPS vorgehalten wird. Wird dieses Warnsignal missachtet, klickt der Empfänger auf die Download-Schaltfläche und sieht dann die Google-Anmeldeseite, die ebenfalls ihrem Original zum Verwechseln ähnelt.

(c) Proofpoint

Zur Steigerung der Flexibilität unterstützt das bösartige Dokument auch Logins anderer Webmail-Dienste wie Yahoo, Hotmail, AOL und sogar eine "weitere" Option, bei der das Opfer beliebige Anmeldedaten eines Unternehmens eingeben kann. Dadurch können die Hacker ihren Einflussbereich erweitern, da sie ein breiteres Spektrum von Anmeldedaten einziehen und anwenden können.

Normalerweise fliegt das Anmeldedaten-Phishing auf, sobald das Opfer seine Anmeldedaten eingegeben hat. In diesem Fall jedoch wird der Login-Prozess weiter durchgezogen, indem tatsächlich ein Dokument vorgehalten wird.

(c) Proofpoint

Diese Technik mindert das Risiko, dass der Benutzer sofort erkennt, dass etwas nicht stimmt, und gibt dem Hacker mehr Zeit, von den gestohlenen Anmeldedaten Gebrauch zu machen. Schon einige Stunden reichen aus, damit der Hacker mithilfe der gestohlenen Anmeldedaten die nächste Runde Nachrichten senden kann.

Ein weiterer Vorteil des Aufrufs von Phishing-Kampagnen über manipulierte Google-Konten liegt darin, dass mit einem relativ geringen Aufwand eine sehr glaubwürdige, gezielte Phishing-Attacke möglich ist: Die Kontaktliste des Opfers wird abgegrast und dazu verwendet, die Empfängerliste für den nächsten Schritt der Kampagne aufzufüllen.

Bei einer ähnlichen Angriffstechnik wird ein gefälschtes Dropbox-Dokument verwendet, um Anmeldedaten zum cloudbasierten Dokumenten-Austauschdienst zu erfassen. Wie beim Anmeldedaten-Phishing über Google-Apps, so ist auch hier die Login-Seite, die dem Empfänger vorgehalten wird, täuschend echt:

(c) Proofpoint

Dieses Beispiel stammt aus der Cloud-Dokument-Phishing-Kampagne eines Akteurs, der tendenziell Kampagnen mit begrenzterem Umfang vorzieht und dabei oft weniger als drei URLs auf 30 bis 50 Nachrichten pro Woche verteilt. Häufig hat er es auf zehn Organisationen abgesehen, manchmal waren es jedoch bis zu dreißig. Anfangs zielte er auf Organisationen im Reklame- und Gastgewerbe; dann, darauf aufbauend, auf Unternehmen des Finanzsektors. Der Hacker hat anscheinend seine Strategie geändert und geht nun weniger gezielt, dafür viel opportunistischer vor. Der relative Wert dieser Technik wird in gewisser Weise dadurch hervorgehoben, dass das Abschürfen von E-Mail-Adressen von Führungskräften aus dem Reklame- und Gastgewerbe – bewusst oder unbewusst – dazu geführt hat, dass leitende Angestellte des Finanzsektors in den nachfolgenden Runden von Phishing-E-Mails im Visier standen.

Attacken über cloudbasierte Dokumentendienste und -anwendungen verleihen dem Wert eines gehackten E-Mail-Kontos noch zusätzliche Möglichkeiten, indem sie weitere Gelegenheiten zur Einleitung von Kampagnen erschaffen, die gezielter und zugleich effektiver sind. Das Anmeldedaten-Phishing über cloudbasierte Dokumente wird zunehmend beliebter, da die Hacker sich seine Vorteile zunutze machen, um ihren Vorsprung vor den Abwehrmechanismen zu wahren, die häufig noch auf allseits bekannten, leicht zu überwindenden Techniken beruhen.

* Monika Schaufler ist Regional Sales Director CEMEA bei Proofpoint.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr
  • ITSDONE GRUPPE

    ITSDONE GRUPPE Office Software, Kaufmännische Software (ERP), Datenbanken, Server-Betriebssysteme, Programmiersprachen, Betriebssysteme für PCs, Netzwerk- und Systemüberwachung,... mehr
  • MIC – managing international customs & trade compliance

    MIC – managing international customs & trade compliance Supply Chain Management, Kaufmännische Software (ERP), Expertensysteme, E-Procurement und Supply Chain Management, B2B Dienste und Lösungen mehr
  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr

Hosted by:    Security Monitoring by: