Die Sicherheitsforscher von Check Point haben eine Phishing-Kampagne entdeckt, deren Akteuren ein Maleur geschah – welches die Tat für die Opfer verschlimmerte: Die Zugangsdaten waren über Google sichtbar.
San Carlos, Kalifornien – 01. Februar 2021 – Die Sicherheitsforscher von Check Point® Software Technologies Ltd. (NASDAQ: CHKP) haben eine Phishing-Kampagne aufgedeckt, die Tausende von Kennwörtern verschiedener E-Mail-Adressen stahl. Hauptsächlich war Outlook über Office 365 betroffen. Dies Zugangsdaten wurden in Webpages gespeichert, die von Google indexiert werden. Das hatten die Hacker wohl nicht bedacht. So waren die gestohlenen Passwörter über die Google-Suche auffindbar – ein gefundenes Fressen für andere listige Kriminelle. Laut dem Verizon’s Data Breach Investigation Report 2020 machen Phishing, Diebstahl von Zugangsdaten und Business E-Mail Compromise (BEC) als Angriffswege mittlerweile 67 Prozent aller erfolgreichen Datenlecks aus.
Im August 2020 begann die Kampagne: Phishing-Mails tarnten sich als Benachrichtigung von Xerox-Scannern und forderten die Adressaten auf, eine angehängte html-Datei zu öffnen. Diese war so präpariert, dass sie die Microsoft Office 365 Advanced Threat Protection (ATP) umgehen konnte. Danach wurden die Angestellten auf eine gefälschte und personalisierte Phishing-Seite geleitet, wo sie sich anmelden sollten – wie sonst auch bei Outlook 365. Die Zugangsdaten von über 1000 Angestellten wurden auf diese Weise gestohlen. Sie waren eigentlich auf ebenfalls infizierten Servern in einer Text-Datei gespeichert worden, welche jedoch von der Google-Suche erfasst und indexiert wurden. Daher konnten die Kennwörter plötzlich frei über die Google-Suche gefunden und in noch größerem Ausmaß missbraucht werden.
Hauptsächlich traf es Unternehmen der Branchen Energie und Bau. Dahinter kamen Informationstechnologie und Gesundheitswesen.
Christine Schönig, Regional Director Security Engineering CER, Office of the CTO, bei Check Point Software Technologies GmbH, fasst die Nachforschung zusammen: „Bei gestohlenen Passwörtern denkt man natürlich zuerst an einen Verkauf im Darknet. In diesem Fall aber hatte jeder versierte Internet-Nutzer, und somit also die gesamte Öffentlichkeit, ungewollt Zugriff auf die gestohlenen Informationen.
Eigentlich bestand die Strategie der Angreifer darin, die Daten über infizierte Server auf speziellen, von ihnen erstellten Webseiten zu speichern. Nach Ablauf der Phishing-Kampagne selbst sollten diese entsprechenden Webseiten dann nach den infizierten Server durchsucht werden, um in Ruhe die Anmeldedaten zu sammeln. Die Angreifer vergaßen jedoch, das nicht nur sie die Server erfassen können, sondern ebenso die Google-Suche.
Hierbei handelt es sich also um ein weiteres und sehr gutes Beispiel dafür, wie wichtig es ist, das Bewusstein für eine gute IT-Absicherung zu stärken. Die gesammelten Kennwörter standen einem enorm großen Publikum zur Verfügung, obwohl dies höchst ungewollt seitens der Angreifer geschehen ist. Die Methode ließe sich aber zu viel gefährlicheren Zwecken mit sensibleren Daten bewusst anwenden, um jemanden zum Beispiel zu erpressen.“
Alles zur Xerox-Phishing-Kampagne lesen Sie hier: https://blog.checkpoint.com/2021/01/21/cyber-criminals-leave-stolen-phishing-credentials-in-plain-sight/
Alle Berichte von Check Point finden Sie unter: https://blog.checkpoint.com/
Alle Berichte des Check Point Research Teams finden Sie unter: https://research.checkpoint.com/
Folgen Sie Check Point auf:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
Folgen Sie Check Point Research hier:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Über Check Point Research
Check Point Research bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die größere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Die Lösungen schützen Kunden vor Cyber-Angriffen der 5. Generation mit einer branchenführenden Fangrate von Malware, Ransomware und anderen gezielten Angriffen. Check Point bietet die mehrstufige Sicherheitsarchitektur ‚Infinity‘ Total Protection mit Gen V Advanced Threat Prevention, die alle Netzwerke, Clouds und mobilen Operationen eines Unternehmens, sowie die Geschäftsinformationen auf diesen Geräten, vor allen bekannten Angriffen schützt. Check Point liefert zudem das umfassendsten und intuitivsten Single Point of Control Management-System der Branche. Check Point schützt über 100 000 Unternehmen jeder Größe in der ganzen Welt.
