Thought Leadership
Eine aktuelle Analyse von Check Point Software zeigt eine groß angelegte Phishing-Kampagne, die vor allem Unternehmen aus dem Finanzbereich, aber auch zahlreiche weitere Branchen ins Visier nimmt.
Die Angreifer geben sich als Dienste für Dateifreigabe und elektronische Unterschriften aus und imitieren vertraute Benachrichtigungen, um Nutzer zum Anklicken präparierter Links zu bewegen.
Wie die Täuschung funktioniert
Die Kriminellen verschickten innerhalb von zwei Wochen mehr als 40.000 manipulierte E-Mails an rund 6100 Organisationen. Ein zentraler Trick bestand darin, bösartige Links so wirken zu lassen, als seien sie durch die Sicherheitsinfrastruktur des legitimen Dienstes Mimecast geprüft worden. Die Angreifer nutzten eine echte Weiterleitungsfunktion von Mimecast, um ihre URLs glaubwürdig erscheinen zu lassen.
Die Nachrichten enthielten nachgeahmte Logos von Microsoft und Office, visuelle Elemente der Originaldienste und Bezeichnungen, die realen Systemmeldungen sehr ähnlich sehen. Dadurch wirken die gefälschten Dokumenthinweise für viele Empfänger authentisch.
Mimecast selbst betont, dass keine Schwachstelle ausgenutzt wurde. Stattdessen nutzten die Täter übliche Weiterleitungsmechanismen, um ihre Ziele zu verschleiern. Der Anbieter verweist darauf, dass seine Schutzfunktionen solche Angriffe normalerweise erkennen und blockieren.
Eine zweite Variante im Stil von DocuSign
Neben der Hauptkampagne identifizierten die Forscher eine kleinere Variante, die DocuSign-Benachrichtigungen kopiert. Sie verwendet eine andere Art der Weiterleitung, wodurch die eigentliche Zieladresse vollständig verborgen bleibt. Der Weg führt über eine Bitdefender GravityZone URL und anschließend über einen Trackingdienst von Intercom. Diese Methode macht die gefälschten Links noch schwerer erkennbar.
Die Kampagne traf Organisationen in den USA, Europa, Kanada, Asien und weiteren Regionen. Besonders häufig betroffen sind Beratung, Technologie, Bau, Immobilien und weitere Sektoren, in denen regelmäßig Dokumente ausgetauscht werden. Auch Unternehmen aus Gesundheitswesen, Logistik, Energie, Medien, Bildung und Behörden erschienen in den Telemetriedaten.
Die regionale Verteilung der 40.000 erfassten E-Mails zeigt deutliche Schwerpunkte in den USA und Europa.
Wichtige Schutzmaßnahmen
Um das Risiko für erfolgreiche Phishing-Angriffe zu senken, empfehlen Sicherheitsexperten folgende Schritte:
• Links in E-Mails stets vorsichtig prüfen
• Absenderadressen mit dem angezeigten Namen vergleichen
• Formatierungsfehler, untypische Sprache oder verfälschte Logos erkennen
• Mauszeiger über Links bewegen und Zieladresse prüfen
• Dokumente direkt über den echten Dienst statt über E-Mail-Links öffnen
• Mitarbeitende regelmäßig zu neuen Phishing-Techniken schulen
• Sicherheitslösungen wie Anti-Phishing, URL-Filter und Meldefunktionen nutzen
Check Point weist darauf hin, dass die Angreifer vertraute Dienste so überzeugend nachgeahmt haben wie selten zuvor. Gerade die Nutzung echter Weiterleitungsdienste erhöht die Glaubwürdigkeit und erschwert die Erkennung durch Menschen und automatisierte Filter. Der Vorfall verdeutlicht, wie wichtig Wachsamkeit und kontinuierliche Sensibilisierung bleiben, selbst wenn E-Mails auf den ersten Blick legitim wirken.
