Office 365 Phishing-Kampagne nutzt Samsung, Adobe und Oxford

Das Check Point Research Team, ein Anbieter von Cyber-Sicherheitslösungen, deckte eine große Welle an Phishing-Mails auf, die darauf abzielten, sich die Kontoinformationen von Office 365-Anwendern zu erschleichen. Versandt wurden die Mails über die SMTP-Server der Oxford Universität. 

Cyberkriminelle waren dazu in der Lage, sich Zugang zu den Servern von Oxford zu verschaffen. Dadurch war es ihnen möglich, ihre Phishing-Mails unter dem Deckmantel der Universität und dazugehörigen Abteilungen zu versenden. Somit wurden diese nicht so leicht von entsprechenden Filter-Systemen erfasst. Zusätzlich wurden dann noch die enthaltenen links über Weiterleitungen bekannter Marken und Anbieter verschleiert. Bereits in der Vergangenheit wurden solche „Open redirects“, also nicht validierte und nicht gesicherte Weiterleitungen einer URL auf eine Webseite von dritten, für Phishing-Angriffe genutzt.  

Anzeige

In der aktuellen Phishing-Nachricht führt der enthaltene Link auf eine Domain auf einem Adobe-Server, mit der Samsung während dem Cyber Monday 2018 arbeitete. Dadurch, dass diese eigentlich einmal legitime Domain als Tarnung für die anschließende Weiterleitung genutzt wird, entzieht sich der Phishing-Angriff der frühzeitigen Erkennung. Wer auf den link klickt landet dann aber nicht auf der Domain, die Samsung nutzte, sondern wird entsprechend direkt auf Seite der Kriminellen weitergeleitet, wo ein falsches Login-Formular auf die Opfer wartet.

Nutzung bekannter und angesehener Marken

Lotem Finkelsteen, Manager of Threat Intelligence bei Check Point Software Technologies GmbH, warnt entsprechend: „Was zunächst wie eine klassische Phishing-Kampagne von Office 365 aussah, entpuppte sich als Meisterwerk: die Nutzung bekannter und angesehener Marken, um Sicherheitsprodukten auf dem Weg zu den Opfern auszuweichen. Heutzutage ist dies eine Spitzentechnik, um in einem Unternehmensnetzwerk Fuß zu fassen. Der Zugriff auf Firmenpost kann Hackern unbegrenzten Zugang zu den Betriebsabläufen eines Unternehmens ermöglichen, z. B. Transaktionen, Finanzberichte, Versenden von E-Mails innerhalb des Unternehmens aus einer zuverlässigen Quelle, Passwörter und sogar Adressen der Cloud-Assets eines Unternehmens. Um den Angriff durchzuführen, musste sich der Hacker Zugang zu den Servern von Samsung und Oxford verschaffen, was bedeutete, dass er Zeit hatte, deren innere Funktionsweise zu verstehen, so dass er unbemerkt bleiben konnte.“

www.checkpoint.com

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.