Check Point Software Technologies Ltd. (NASDAQ: CHKP), warnt vor einer großangelegten Phishing-Kampagne. Cyber-Kriminellen haben in den letzten zwei Wochen über 40 000 Phishing-E-Mails an etwa 6100 Unternehmen verschickt. Alle Links wurden über https://url.za.m.mimecastprotect.com geleitet, um eine vertraute Weiterleitung nachzuahmen.
Die Hacker missbrauchten dabei die Funktion zum Umschreiben sicherer Links von Mimecast und nutzten sie als Vorwand, um ihre Links sicher und authentifiziert erscheinen zu lassen. Da Mimecast Protect eine vertrauenswürdige Domäne ist, hilft diese Technik den bösartigen URLs, sowohl automatische Filter als auch das Misstrauen der Benutzer zu umgehen.
DocuSign-Phishing mit Umleitungsmethode
Die Sicherheitsforscher identifizierten auch eine kleinere Operation, die DocuSign-Benachrichtigungen imitiert. Wie der Hauptangriff, so gibt sie sich als vertrauenswürdige SaaS-Plattform aus und nutzt eine legitime Umleitungsinfrastruktur, aber die Technik, die zur Maskierung des bösartigen Ziels verwendet wird, unterscheidet sich erheblich.
Bei der Hauptkampagne fungiert die sekundäre Umleitung als offene Umleitung, sodass die endgültige Phishing-URL im Abfrage-String sichtbar ist, obwohl sie in vertrauenswürdige Dienste eingebunden ist. Bei der DocuSign-Variante wird der Link über eine Bitdefender GravityZone-URL und dann über den Click-Tracking-Dienst von Intercom geleitet, wobei die eigentliche Zielseite vollständig hinter einer tokenisierten Weiterleitung verborgen ist. Dieser Ansatz verbirgt die endgültige URL vollständig und macht die DocuSign-Variante noch unauffälliger und schwieriger zu erkennen.
Die Kampagne zielte in erster Linie auf Unternehmen in den USA, Europa, Kanada, APAC und dem Nahen Osten ab.
Organisationen und Einzelpersonen müssen präventive Maßnahmen durchführen, um ihr Risiko zu verringern. Einige Möglichkeiten, sich zu schützen, sind:
- Gehen Sie in E-Mails eingebettete Links immer mit Vorsicht an, insbesondere wenn sie unerwartet oder dringend erscheinen.
- Achten Sie auf Details in der E-Mail, wie Abweichungen zwischen dem angezeigten Namen und der tatsächlichen Absenderadresse, Unstimmigkeiten in der Formatierung, ungewöhnliche Schriftgrößen, Logos oder Bilder von schlechter Qualität und alles, was fehl am Platz wirkt.
- Bewegen Sie den Mauszeiger über Links, bevor Sie diese anklicken, um das tatsächliche Ziel zu überprüfen und sicherzustellen, dass es mit dem Dienst übereinstimmt, der die Nachricht angeblich gesendet hat.
- Öffnen Sie den Dienst selbst im Browser und suchen Sie direkt nach dem Dokument, anstatt Links in E-Mails zu verwenden.
- Informieren Sie Mitarbeiter und Sicherheits-Teams regelmäßig über neue Phishing-Techniken, damit sie wissen, wie verdächtige Muster aussehen.
- Nutzen Sie Sicherheitslösungen, wie E-Mail-Bedrohungserkennung, Anti-Phishing-Engines, URL-Filter und Tools zur Benutzerberichterstattung, um den Gesamtschutz zu erhöhen.
Check Point hat bereits in den vergangenen Jahren über ähnliche Phishing-Kampagnengeschrieben. Diesen Angriff macht allerdings einzigartig, wie leicht Angreifer vertrauenswürdige File-Sharing-Dienste imitieren konnten, um Benutzer auszutricksen. Er unterstreicht die Notwendigkeit einer kontinuierlichen Sensibilisierung, insbesondere, wenn E-Mails anklickbare Links, verdächtige Absenderangaben oder ungewöhnliche E-Mail-Inhalte enthalten.
Weitere Informationen finden Sie hier: https://blog.checkpoint.com/email-security/40000-phishing-emails-disguised-as-sharepoint-and-and-e-signing-services-a-new-wave-of-finance-themed-scams/
