Eine neue Phishing-Kampagne lockt Computernutzer via E-Mail auf gefälschte Office 365-Seiten. Zu diesem Zweck missbrauchen Cyberkriminelle Server von Samsung, Adobe und der Universität Oxford, wie Sicherheitsforscher herausgefunden haben.
Unternehmen nutzen immer häufiger Office 365. Davon profitieren auch Cyberkriminelle, die mittels Phishing-Kampagnen spezifisch diese Plattform ins Visier nehmen, schreiben die Forscher des Sicherheitsunternehmens Checkpoint in einem Blogbericht.
Anlass für den Bericht ist eine neue Office 365-Phishingkampagne, von der die Forscher im April erstmals Notiz genommen haben. Zunächst als simpel eingeschätzt, entpuppte sich die Kampagne im Verlauf der Nachforschungen als weitaus umfangreicher, als gedacht. So hackten die Cyberkriminellen Server von Samsung, Adobe und der Universität Oxford, um sie für ihre Zwecke zu nutzen und den Umfang der Kampagne zu vergrössern. Dies jedoch ohne die gehackten Server zu schädigen, wie es heisst.
Umleitung auf gefälschte Office 365-Webseiten
Opfer der Attacke erhalten zunächst eine E-Mail mit anscheinend «verpassten» Sprachnachrichten. Darin werden sie aufgefordert, auf eine Schaltfläche zu klicken, die sie angeblich zu ihrem Office 365-Konto weiterleitet. Stattdessen landen sie nach dem Anklicken auf einer gefälschten Office 365-Anmeldeseite.
Technisch umfasst der Phishing-Vorgang laut den Forschern zwei Schritte: zuerst missbrauchen die Angreifer einen bestehenden Umleitungsmechanismus auf einer echten Domain, in einem weiteren Schritt werden die Opfer schliesslich auf eine gefälschte Office 365-Seite umgeleitet.
Bei dem Umleitungsmechanismus handelt es sich laut dem Bericht um denjenigen des Adobe-Servers für Email-Marketingkampagnen auf einer Domain von Samsung. Die Hacker profitierten dadurch vom Umstand, dass Anti-Viren-Software den Zugriff auf Domains, die als «seriös» eingeschätzt werden – wie diejenigen von Samsung – in der Regel nicht blockiert.
Antiviren-Software: eine unverzichtbare Waffe gegen Phishing
Unter den Opfern des Angriffs sind gemäss dem Bericht bisher rund 43% europäische Unternehmen, die übrigen stammen aus Asien und dem Mittleren Osten. Versendet wurden die Phishing-Mails von verschiedenen, von den Angreifern generierten Adressen, die sich zur Universität Oxford (UK) zurückverfolgen liessen.
Obschon es den Hackern im vorliegenden Beispiel, dank Missbrauch einer «seriösen» Domain gelungen ist, Sicherheitssoftware zu täuschen, sind solche Programme zur Abwehr von Phishing-Attacken unverzichtbar. Denn ein Virenschutz, wie Bitdefender, erkennt und blockiert missbräuchliche Mails, die zu Phishing-Zwecken verwendet werden. Regelmässige Aktualisierungen der verwendeten Software garantieren zudem, dass Nutzer auch gegen neue Methoden und Tricks von Hackern gewappnet sind.
