Check Point enthüllt: 40.000 Phishing-E-Mails als SharePoint- und e-Signing-Dienste getarnt

Sicherheitsforscher von Check Point haben entdeckt, dass Cyberkriminelle über 40.000 Phishing-E-Mails an etwa 6.100 Unternehmen verschickt. Alle Links wurden über https://url.za.m.mimecastprotect.com geleitet, um eine vertraute Weiterleitung nachzuahmen.

Die Hacker missbrauchten dabei die Funktion zum Umschreiben sicherer Links von Mimecast und nutzten sie als Vorwand, um ihre Links sicher und authentifiziert erscheinen zu lassen. Da Mimecast Protect eine vertrauenswürdige Domäne ist, hilft diese Technik den bösartigen URLs, sowohl automatische Filter als auch das Misstrauen der Benutzer zu umgehen.

Die Sicherheitsforscher identifizierten auch eine kleinere Operation, die DocuSign-Benachrichtigungen imitiert. Wie der Hauptangriff, so gibt sie sich als vertrauenswürdige SaaS-Plattform aus und nutzt eine legitime Umleitungsinfrastruktur, aber die Technik, die zur Maskierung des bösartigen Ziels verwendet wird, unterscheidet sich erheblich.

Bei der Hauptkampagne fungiert die sekundäre Umleitung als offene Umleitung, sodass die endgültige Phishing-URL im Abfrage-String sichtbar ist, obwohl sie in vertrauenswürdige Dienste eingebunden ist. Bei der DocuSign-Variante wird der Link über eine Bitdefender GravityZone-URL und dann über den Click-Tracking-Dienst von Intercom geleitet, wobei die eigentliche Zielseite vollständig hinter einer tokenisierten Weiterleitung verborgen ist. Dieser Ansatz verbirgt die endgültige URL vollständig und macht die DocuSign-Variante noch unauffälliger und schwieriger zu erkennen.

Die Kampagne zielte in erster Linie auf Unternehmen in den USA, Europa, Kanada, APAC und dem Nahen Osten ab. Weitere Details lesen Sie hier: https://ots.de/6CHQUQ

Pressekontakt:

Kafka Kommunikation GmbH & Co. KG
Auf der Eierwiese 1
82031 Grünwald
Tel.: 089 74747058-0
info@kafka-kommunikation.de

Original-Content von: Check Point Software Technologies Ltd., übermittelt durch news aktuell

  itsecurity, software