Office 365 Phishing-Kampagne nutzt Samsung, Adobe und Oxford

Lotem Finkelsteen Check Point

Kriminelle waren in der Lage, die Server der renommierten Oxford Universität in Großbritannien zu hacken und darüber eine Welle an Phishing-Mails zu versenden. Als Deckmantel dienten dabei neben der Bildungseinrichtung auch Inhalte und Services der Cyber-Giganten Samsung und Adobe.

San Carlos, Kalifornien – 23. Juni 2020 – Das Check Point Research Team von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein weltweit führender Anbieter von Cyber-Sicherheitslösungen, deckte eine große Welle an Phishing-Mails auf, die darauf abzielten, sich die Kontoinformationen von Office 365-Anwendern zu erschleichen. Versandt wurden die Mails über die SMTP-Server der Oxford Universität.

Cyberkriminelle waren dazu in der Lage, sich Zugang zu den Servern von Oxford zu verschaffen. Dadurch war es ihnen möglich, ihre Phishing-Mails unter dem Deckmantel der Universität und dazugehörigen Abteilungen zu versenden. Somit wurden diese nicht so leicht von entsprechenden Filter-Systemen erfasst. Zusätzlich wurden dann noch die enthaltenen links über Weiterleitungen bekannter Marken und Anbieter verschleiert. Bereits in der Vergangenheit wurden solche „Open redirects“, also nicht validierte und nicht gesicherte Weiterleitungen einer URL auf eine Webseite von dritten, für Phishing-Angriffe genutzt.

In der aktuellen Phishing-Nachricht führt der enthaltene Link auf eine Domain auf einem Adobe-Server, mit der Samsung während dem Cyber Monday 2018 arbeitete. Dadurch, dass diese eigentlich einmal legitime Domain als Tarnung für die anschließende Weiterleitung genutzt wird, entzieht sich der Phishing-Angriff der frühzeitigen Erkennung. Wer auf den link klickt landet dann aber nicht auf der Domain, die Samsung nutzte, sondern wird entsprechend direkt auf Seite der Kriminellen weitergeleitet, wo ein falsches Login-Formular auf die Opfer wartet.

Lotem Finkelsteen, Manager of Threat Intelligence bei Check Point Software Technologies GmbH, warnt entsprechend: „Was zunächst wie eine klassische Phishing-Kampagne von Office 365 aussah, entpuppte sich als Meisterwerk: die Nutzung bekannter und angesehener Marken, um Sicherheitsprodukten auf dem Weg zu den Opfern auszuweichen. Heutzutage ist dies eine Spitzentechnik, um in einem Unternehmensnetzwerk Fuß zu fassen. Der Zugriff auf Firmenpost kann Hackern unbegrenzten Zugang zu den Betriebsabläufen eines Unternehmens ermöglichen, z. B. Transaktionen, Finanzberichte, Versenden von E-Mails innerhalb des Unternehmens aus einer zuverlässigen Quelle, Passwörter und sogar Adressen der Cloud-Assets eines Unternehmens. Um den Angriff durchzuführen, musste sich der Hacker Zugang zu den Servern von Samsung und Oxford verschaffen, was bedeutete, dass er Zeit hatte, deren innere Funktionsweise zu verstehen, so dass er unbemerkt bleiben konnte.“

Alles über die Phishing-Kampagne lesen Sie im Blog der Sicherheitsforscher unter:https://research.checkpoint.com/2020/phishing-campaign-exploits-samsung-adobe-and-oxford-servers/

Alle Berichte des Check Point Research Teams finden Sie unter: https://research.checkpoint.com/

Alle Blogbeiträge von Check Point lesen Sie hier: https://blog.checkpoint.com/

Folgen Sie Check Point auf:

Twitter: http://www.twitter.com/checkpointsw

Facebook: https://www.facebook.com/checkpointsoftware

Blog: http://blog.checkpoint.com

YouTube: http://www.youtube.com/user/CPGlobal

LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

Folgen Sie Check Point Research hier:

Blog: https://research.checkpoint.com/

Twitter: https://twitter.com/_cpresearch_ 

Über Check Point Research

Check Point Research bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die größere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.

Über Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Die Lösungen schützen Kunden vor Cyber-Angriffen der 5. Generation mit einer branchenführenden Fangrate von Malware, Ransomware und anderen gezielten Angriffen. Check Point bietet die mehrstufige Sicherheitsarchitektur ‚Infinity‘ Total Protection mit Gen V Advanced Threat Prevention, die alle Netzwerke, Clouds und mobilen Operationen eines Unternehmens, sowie die Geschäftsinformationen auf diesen Geräten, vor allen bekannten Angriffen schützt. Check Point liefert zudem das umfassendsten und intuitivsten Single Point of Control Management-System der Branche. Check Point schützt über 100 000 Unternehmen jeder Größe in der ganzen Welt.