Anzeige

AWS

Quelle: Gil C - Shutterstock.com

Amazon ist ein attraktives Ziel für Cyberkriminelle, die das Vertrauen und das Image des Unternehmens bei seiner Kundschaft mit Phishing E-Mails ausnutzen wollen. Die überwiegende Mehrheit dieser Phishing-E-Mails täuschen vor, von Amazon zu sein, um einzelne Benutzer und deren persönliche Amazon-Konten zu phishen.

Von gefälschten Benachrichtigungen über das Zurücksetzen von Passwörtern bis hin zu E-Mails über fehlgeschlagene Zahlungen – gefälschte Amazon-Phishing-E-Mails führen die übliche Palette von Social-Engineering-Methoden aus, um Benutzer dazu zu verleiten, Anmeldedaten und Kreditkarteninformationen preiszugeben.

Phishing-E-Mail mit Bezug zu Amazon

Es gibt jedoch noch eine andere, weniger bekannte Variante von Phishing-E-Mails mit Bezug zu Amazon. Diese Art von Phishing-E-Mails zielt nicht auf Verbraucher, sondern auf die Amazon-AWS-Konten von Unternehmen ab. AWS-Accounts stehen bei Cyberkriminellen hoch im Kurs, da sie eine Fülle von verwertbaren Daten enthalten können. Kompromittierte AWS-Konten könnten auch von Hackern ausgenutzt werden, die einen eigenen Bedarf an einer robusten, zuverlässigen Plattform für Cloud Computing-Dienste haben. Eine solche Plattform für eigene Aktivitäten kostenlos zu nutzen, ist durchaus attraktiv.

Ausgangspunkt ist wie immer eine einfache E-Mail. Untenstehend der Screenshot einer solchen Phishing-E-Mail:

 

Abbildung 1: Phishing-E-Mail, die auf Unternehmen mit AWS-Konten abzielt.

 

Dies ist eine außergewöhnlich ausgefeilte Phishing-E-Mail. Das Design ist einfach, aber sieht dem Original verblüffend ähnlich. Sogar die Fußzeile der E-Mail enthält die richtigen Angaben. Auch die E-Mailadresse des Absenders scheint auf den ersten Blick in Ordnung (asawsamazses.com). Sie verwendet einen geschickt überzeugenden Mischmasch aus zufälligen Buchstaben, Akronymen und Abkürzungen, um eine Art „look-alike“-Domain oder „Domain-Doppelgänger“ zu imitieren.

Eine genaue Untersuchung der URL zeigt, dass die Benutzer zu Amazon selbst umgeleitet werden, sobald sie ihre AWS-Anmeldedaten herausgerückt haben. Und es scheint, dass die gefälschte AWS-Domain durch Amazons eigenen Domain-Registrator registriert wurde, genau an dem Tag, an dem diese Phishing E-Mail an die Benutzer versendet wurde.

Als Aufhänger für die gefälschten E-Mails werden alle gängigen Typen verwendet: Rechnungen, Zahlungsaufforderungen, Mahnungen, Passwort-Informationen und so weiter. Obwohl die E-Mails, die zur Durchführung dieser speziellen Art von Phishing-Angriffen verwendet werden, in der Regel recht einfach gestaltet sind, sind die potenziellen Auswirkungen auf eine anvisierte Organisation alles andere als einfach und unkompliziert. In der Tat könnte sich ein kompromittiertes AWS-Konto als verheerend für eine Organisation erweisen.

Ein kompromittiertes AWS-Konto bietet Angreifern eine Vielzahl von Möglichkeiten, Betrug zu begehen. Angreifer, die die Kontrolle über das AWS-Konto einer Organisation haben, könnten möglicherweise:

  • sensible Daten aus dem Konto kopieren, um sie für weitere Angriffe auf Kunden, Partner oder Klienten auszunutzen.
  • Lösegeld für die Daten der Organisation zu verlangen, nachdem sie aus dem Konto exfiltriert wurden oder nachdem eine Organisation aus dem Konto gesperrt wurde.
  • die Geschäfte der Organisation sabotieren, indem sie in ihrem AWS-Konto gespeicherte Daten zerstören oder korrumpieren (unter Umständen in Verbindung mit einer Lösegeldforderung).
  • Geld und Finanzdaten von Konten abzuschöpfen, die für einen Online-Shop oder eine Finanzdienstleistung verwendet werden.
  • das AWS-Konto eines Unternehmens als Phishing-Plattform zu verwenden, was die Ausnutzung des Kontos zur Verbreitung von Malware sowie von Phishing-Webseiten oder anderen Dateien, die bei Phishing-Angriffen verwendet werden, beinhalten könnte.

Natürlich hängt das, was mit einem kompromittierten AWS-Konto gemacht werden könnte, davon ab, wofür diese Konten überhaupt verwendet werden – welche Daten in dem Konto gespeichert werden, wie das Konto konfiguriert ist und ob das Konto für öffentliche oder kundenorientierte Funktionen verwendet wird oder nicht.

Logische Ziele für solche Phishing-Aktionen sind normalerweise Mitarbeiter der IT-Abteilung. Darüber hinaus sind auch leitende Angestellte innerhalb einer Organisation mögliche Opfer für Phishing-E-Mails zum Thema AWS - wenn man davon ausgeht, dass diese Personen AWS-bezogene E-Mails an die Person weiterleiten könnten, die Zugang zum Root-Benutzer hatte.

Schlussfolgerung

Phishing E-Mails mit AWS als Ziel sind nicht annähernd so häufig wie andere. Leider muss aber davon ausgegangen werden, dass mehr und mehr Cyberkriminelle diese Art von Konten attackieren werden. Die beste Verteidigung besteht darin, die Benutzer mit New School Security Awareness-Trainings zu schulen. Ein Teil dieses Trainings besteht darin, die Benutzer regelmäßig mit simulierten Phishing-Angriffen zu testen – insbesondere diejenigen Mitarbeiter, die die Schlüsselressourcen im Unternehmen verwalten.

 

Eric Howes, Principal Lab Researcher
Eric Howes
Principal Lab Researcher, KnowBe4

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Hacker Stop
Aug 21, 2020

So lassen sich erfolgreiche Cyberangriffe verhindern

Cyberangriffe auf Unternehmen sind zahlreich. Wie der Bericht des Kriminologischen…
Spam Briefkasten
Aug 17, 2020

So rüsten sich Unternehmen gegen Malware

Nach dem Urlaub quillt bei vielen Mitarbeitern das Postfach vor ungelesenen Nachrichten…
Phishing
Aug 13, 2020

Die meistimitierten Marken bei Phishing-Attacken

Phishing gehört zu den häufigsten Betrugsversuchen im Internet. Die Ziele der Attacken…

Weitere Artikel

Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…
Cybercrime

eCrime nimmt an Volumen und Reichweite weiter zu

CrowdStrike, ein Anbieter von Cloud-basiertem Endpunktschutz, gab heute die Veröffentlichung des CrowdStrike Falcon OverWatchTM 2020 Threat Hunting Report bekannt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!