Phishing-Kampagne: Samsung, Adobe und Oxford als Tarnung

Cyber-Kriminelle nutzten seriöse Aushängeschilder für Angriffe

[datensicherheit.de, 18.06.2020] Laut aktuellen Erkenntnissen von Check Point waren Cyber-Kriminelle in der Lage, „die Server der renommierten Oxford Universität in Großbritannien zu hacken und darüber eine Welle an Phishing-Mails zu versenden“. Als Deckmantel hätten dabei neben der Bildungseinrichtung auch Inhalte und Services der Cyber-Giganten Samsung und Adobe gedient.

Foto: Check Point Software Technologies GmbH

Lotem Finkelsteen warnt vor „Meisterwerk“ einer Pishing-Kampage

Research-Team von Check Point hat große Welle an Phishing-Mails aufgedeckt

Das Research-Team der Check Point® Software Technologies Ltd. hat nach eigenen Angaben „eine große Welle an Phishing-Mails“ aufgedeckt, welche darauf abzielten, sich die Kontoinformationen von „Office 365“-Anwendern zu erschleichen. Versandt worden seien diese E-Mails über die SMTP-Server der Oxford Universität.
Cyber-Kriminelle seien dazu in der Lage, sich Zugang zu den Servern von Oxford zu verschaffen: „Dadurch war es ihnen möglich, ihre Phishing-Mails unter dem Deckmantel der Universität und dazugehörigen Abteilungen zu versenden.“ Somit seien diese nicht so leicht von entsprechenden Filter-Systemen erfasst worden.

Links über Weiterleitungen bekannter Marken und Anbieter verschleiert

Zusätzlich seien dann noch die enthaltenen Links über Weiterleitungen bekannter Marken und Anbieter verschleiert worden. Bereits in der Vergangenheit seien solche „Open redirects“, also nicht validierte und nicht gesicherte Weiterleitungen einer URL auf eine Webseite von Dritten für Phishing-Angriffe genutzt worden.
In der aktuellen Phishing-Nachricht führe der enthaltene Link auf eine Domain auf einem Adobe-Server, mit der Samsung während des „Cyber Monday 2018“ gearbeitet habe. Dadurch, dass diese eigentlich einst legitime Domain als Tarnung für die anschließende Weiterleitung genutzt werde, entziehe sich der Phishing-Angriff der frühzeitigen Erkennung.

Falsches Login-Formular täuscht Opfer

Wer auf den Link klickt, landet demnach dann aber nicht auf dieser von Samsung genutzten Domain, sondern werde entsprechend direkt auf die Webseite der Cyber-Kriminellen weitergeleitet, „wo ein falsches Login-Formular auf die Opfer wartet“.
Lotem Finkelsteen, „Manager of Threat Intelligence“ bei der Check Point Software Technologies GmbH, warnt daher: „Was zunächst wie eine klassische Phishing-Kampagne von ,Office 365‘ aussah, entpuppte sich als Meisterwerk: Die Nutzung bekannter und angesehener Marken, um Sicherheitsprodukten auf dem Weg zu den Opfern auszuweichen.“ Heutzutage sei dies eine „Spitzentechnik, um in einem Unternehmensnetzwerk Fuß zu fassen“.

Via Phishing könnten Hacker unbegrenzten Zugang zu Betriebsabläufen eines Unternehmens erlangen

Der Zugriff auf Firmenpost könne Hackern unbegrenzten Zugang zu den Betriebsabläufen eines Unternehmens ermöglichen – z.B. Transaktionen, Finanzberichte, Versenden von E-Mails innerhalb des Unternehmens aus einer zuverlässigen Quelle, Passwörter und sogar Adressen der Cloud-Assets eines Unternehmens.
„Um den Angriff durchzuführen, musste sich der Hacker Zugang zu den Servern von Samsung und Oxford verschaffen, was bedeutete, dass er Zeit hatte, deren innere Funktionsweise zu verstehen, so dass er unbemerkt bleiben konnte“, berichtet Finkelsteen.

Weitere Informationen zum Thema:

<cp>r, 18.06.2020
Office 365 Phishing Campaign Exploits Samsung, Adobe and Oxford Servers

Check Point / Corporate Blog, 16.06.2018
Protecting Office 365 and G Suite in a Cyber Pandemic World

datensicherheit.de, 13.06.2020
Phishing: Hacker attackieren Corona-Task-Force

datensicherheit.de, 16.05.2020
Remote-Desktop-Protocol: Neue schwerwiegende Schwachstelle entdeckt

datensicherheit.de, 07.05.2020
Serverlose Architektur: Neun Ratschläge gegen Schwachstellen