Check-Point-Tochter Avanan warnt vor neuen Phishing-Varianten

Missbrauch von iCloud, PayPal & Co.

5. April 2023, 8:00 Uhr | Wilhelm Greiner
Angreifer nutzen neuerdings Cloud-Services bekannter Anbieter wie Microsoft für ihre Phishing-Nachrichten.
© Check Point Software Technologies

Eine neue Phishing-Variante geht um: Angreifer missbrauchen bekannte Dienste wie iCloud, PayPal, Google Docs oder auch Fedex, um in deren Namen bösartige Nachrichten zu versenden. Davor warnt Avanan, die E-Mail-Security-Tochter des israelischen Security-Anbieters Check Point. Für solche „Phishing Scams 3.0“ benötige der Angreifer lediglich ein kostenloses Konto beim jeweiligen Cloud-Dienst.

Betrug mittels geschäftlicher E-Mails (Business E-Mail Compromise, BEC) ist nochmals raffinierter geworden. So haben Avanans Sicherheitsforscher im Februar und März 2023 insgesamt 33.817 E-Mail-Angriffe beobachtet, bei denen die Angreifer ihre Nachrichten als die bekannter Unternehmen und Dienste tarnten.

„Ein traditioneller BEC-Angriff hängt davon ab, wie gut eine einflussreiche Person innerhalb eines Unternehmens oder ein vertrauenswürdiger Partner nachgeahmt werden kann“, sagt Jeremy Fuchs, Sprecher bei Avanan. Später habe die Angreiferseite ihre Angriffe auf die Übernahme von Nutzerkonten verlagert, die einer Organisation oder einem von deren Geschäftspartnern gehören. So konnten sie sich in den legitimen E-Mail-Verkehr einschleusen und antworten, als ob sie der echte Mitarbeiter wären.

„Jetzt erleben wir etwas Neues, denn die Angreifer nutzen legitime Dienste, um ihren Angriff durchzuführen“, so Fuchs weiter. „Bei solchen Betrügereien erhält das Opfer eine E-Mail von echten Firmen und Programmen, zum Beispiel PayPal, Google Docs oder iCloud, die einen Link zu einer betrügerischen Website enthält.“

Der Ablauf:

  • Die Angreifer erstellen ein kostenloses Konto, bespielsweise bei Paypal.
  • Die Angreifer machen E-Mail-Adressen potenzieller Opfer ausfindig.
  • Die Angreifer erstellen zum Beispiel eine gefälschte Nachricht, die vorgibt, dem Nutzer werde etwas in Rechnung gestellt oder eine Neuerung stehe bevor.
  • Die Angreifer versenden die E-Mail – die dann augenscheinlich von einem vertrauenswürdigen Online-Dienst stammt.

Fuchs betont, dass diese beliebten Dienste weder Schadcode noch eine Schwachstelle enthalten: Die Angreiferseite nutzt lediglich den guten Ruf dieser Services, um per E-Mail die gewünschte Reaktion der Zielperson zu provozieren.

Anbieter zum Thema

zu Matchmaker+
E-Mail-Benachrichtigung von Google mit schädlichem Inhalt. 
E-Mail-Benachrichtigung von Google mit schädlichem Inhalt. 
© Check Point Software Technologies

Im Beispiel rechts hat der Angreifer einen Kommentar zu einem Google Sheet hinzugefügt. Dazu musste er lediglich ein kostenloses Google-Konto eröffnen, ein Google-Dokument erstellen und die Zielperson darin erwähnen. Der Empfänger erhält dann eine E-Mail-Benachrichtigung.
 
Dem Endanwender erscheint dies als typische E-Mail, insbesondere wenn er Google Workspace verwendet. Selbst wenn dies nicht der Fall ist, muss er sich nicht wundern, da viele Unternehmen Cloud-Services wie Google Workspace und Microsoft 365 einsetzen. Die in die Nachrichten eingebetteten Links – oder Links in dort hinterlegten Dokumenten – können dann zum Beispiel zu mit Malware oder Cryptomining-Software verseuchten Websites führen.

Fuchs’ Rat: „Ich empfehle allen Nutzern dringend, eine Zwei-Faktor-Authentifizierung einzuführen und E-Mail-Filter zu verwenden, um sich gegen diese Art von Angriffen zu schützen.“


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu CONNECT GmbH KOMMUNIKATIONSSYSTEME

Weitere Artikel zu Cybercrime

Weitere Artikel zu Pei Tel Communications GmbH

Weitere Artikel zu Broadcom

Matchmaker+