Tausende von Microsoft 365-Anmeldeinformationen wurden entdeckt, die im Klartext auf Phishing-Servern gespeichert sind, als Teil einer ungewöhnlichen, gezielten Kampagne zum Sammeln von Anmeldeinformationen gegen Immobilienfachleute. Die Angriffe demonstrieren das wachsende, sich entwickelnde Risiko, das herkömmliche Benutzername-Passwort-Kombinationen darstellen, sagen Forscher, insbesondere da Phishing immer raffinierter wird und grundlegende E-Mail-Sicherheit umgeht.
Forscher von Ironscales entdeckten die Offensive, bei der sich Cyberangreifer als Mitarbeiter zweier bekannter Finanzdienstleister im Immobilienbereich ausgaben: First American Financial Corp. und United Wholesale Mortgage. Laut Analysten nutzen die Cyberkriminellen die Konten, um Phishing-E-Mails an Immobilienmakler, Immobilienanwälte, Titelmakler sowie Käufer und Verkäufer zu versenden und sie auf gefälschte Microsoft 365-Anmeldeseiten zu lenken, um Anmeldeinformationen zu erfassen.
Die E-Mail-Warnung zielt darauf ab, dass angehängte Dokumente überprüft werden müssen oder dass neue Nachrichten auf einem sicheren Server gehostet werden, gemäß a Veröffentlichung vom 15. September auf der Kampagne von Ironscales. In beiden Fällen leiten eingebettete Links die Empfänger zu den gefälschten Anmeldeseiten und fordern sie auf, sich bei Microsoft 365 anzumelden.
Einmal auf der bösartigen Seite, beobachteten die Forscher eine ungewöhnliche Wendung im Verfahren: Die Angreifer versuchten, das Beste aus ihrer Zeit mit den Opfern zu machen, indem sie versuchten, mehrere Passwörter aus jeder Phishing-Sitzung herauszukitzeln.
„Jeder Versuch, diese 365-Anmeldeinformationen einzureichen, gab einen Fehler zurück und forderte den Benutzer auf, es erneut zu versuchen“, heißt es in dem Artikel der Forscher. „Benutzer werden dieselben Zugangsdaten in der Regel mindestens noch einmal einreichen, bevor sie Variationen anderer Passwörter ausprobieren, die sie möglicherweise in der Vergangenheit verwendet haben, was Kriminellen eine Goldgrube an Zugangsdaten bietet, die sie verkaufen oder für Brute-Force- oder Credential-Stuffing-Angriffe verwenden können Greifen Sie auf beliebte Finanz- oder Social-Media-Konten zu.“
Die Sorgfalt, mit der Opfer mit einem gut durchdachten Plan anvisiert werden, ist einer der bemerkenswertesten Aspekte der Kampagne, sagt Eyal Benishti, Gründer und CEO von Ironscales, gegenüber Dark Reading.
„Das geht nach Menschen, die im Immobilienbereich arbeiten (Immobilienmakler, Titelmakler, Immobilienanwälte), indem eine E-Mail-Phishing-Vorlage verwendet wird, die eine sehr bekannte Marke und einen bekannten Handlungsaufruf vortäuscht ('Diese sicheren Dokumente überprüfen' oder 'Diese sichere Nachricht lesen')“, sagt er.
Es ist unklar, wie weit sich die Kampagne ausbreiten wird, aber die Untersuchung des Unternehmens ergab, dass bisher mindestens Tausende gephishing wurden.
„Die Gesamtzahl der Phishing-Angriffe ist unbekannt, wir haben nur einige wenige Fälle untersucht, die unsere Kunden trafen“, sagt Benishti. „Aber allein aus der kleinen Stichprobe, die wir analysiert haben, wurden mehr als 2,000 eindeutige Anmeldeinformationen in mehr als 10,000 Übermittlungsversuchen gefunden (viele Benutzer haben dieselben oder alternative Anmeldeinformationen mehrmals angegeben).“
Das Risiko für die Opfer ist hoch: Transaktionen im Zusammenhang mit Immobilien sind oft das Ziel ausgeklügelter Betrugsmaschen, insbesondere Transaktionen Beteiligung von Immobilientitelgesellschaften.
„Basierend auf Trends und Statistiken wollen diese Angreifer wahrscheinlich die Anmeldeinformationen verwenden, um es ihnen zu ermöglichen, Überweisungen im Zusammenhang mit Immobilientransaktionen abzufangen/zu leiten/umzuleiten“, so Benishti.
Microsoft Safe Links fällt bei der Arbeit herunter
Bemerkenswert (und bedauerlich) war bei dieser speziellen Kampagne auch, dass eine grundlegende Sicherheitskontrolle offensichtlich versagt hat.
In der ersten Phishing-Runde versuchte die URL, auf die angeklickt werden sollte, nicht, sich zu verbergen, stellten die Forscher fest – beim Bewegen der Maus über den Link wurde eine URL mit roter Flagge angezeigt: „https://phishingsite.com /folde…[dot]shtm.“
Nachfolgende Wellen versteckten die Adresse jedoch hinter einer URL für sichere Links – eine Funktion in Microsoft Defender, die URLs scannen soll, um schädliche Links aufzuspüren. Safe Link überschreibt den Link mit einer anderen URL unter Verwendung einer speziellen Nomenklatur, sobald dieser Link gescannt und als sicher erachtet wird.
In diesem Fall machte es das Tool nur schwieriger, das tatsächliche „Das ist ein Phishing!“ visuell zu überprüfen. Link, und ermöglichte es den Nachrichten auch, E-Mail-Filter leichter zu passieren. Microsoft hat auf eine Bitte um Stellungnahme nicht reagiert.
„Safe Links hat mehrere bekannte Schwachstellen, und die Erzeugung eines falschen Sicherheitsgefühls ist die wesentliche Schwachstelle in dieser Situation“, sagt Benishti. „Safe Links hat keine Risiken oder Täuschungen im Zusammenhang mit dem ursprünglichen Link entdeckt, sondern den Link so umgeschrieben, als ob dies der Fall wäre. Benutzer und viele Sicherheitsexperten bekommen ein falsches Sicherheitsgefühl, weil eine Sicherheitskontrolle vorhanden ist, aber diese Kontrolle ist weitgehend wirkungslos.“
Ebenfalls zu beachten: In den E-Mails von United Wholesale Mortgage wurde die Nachricht auch als „sichere E-Mail-Benachrichtigung“ gekennzeichnet, enthielt einen Haftungsausschluss und war mit einem gefälschten „Secured by Proofpoint Encryption“-Banner versehen.
Ryan Kalember, Executive Vice President für Cybersicherheitsstrategie bei Proofpoint, sagte, dass es seinem Unternehmen nicht fremd sei, von der Marke gekapert zu werden, und fügte hinzu, dass die gefälschte Verwendung seines Namens tatsächlich eine bekannte Cyberangriffstechnik sei, nach der die Produkte des Unternehmens suchen.
Es ist eine gute Erinnerung daran, dass sich Benutzer nicht auf das Branding verlassen können, um die Richtigkeit einer Nachricht zu bestimmen, bemerkt er: „Bedrohungsakteure geben oft vor, bekannte Marken zu sein, um ihre Ziele zur Preisgabe von Informationen zu verleiten“, sagt er. „Sie geben sich auch oft als bekannte Sicherheitsanbieter aus, um ihren Phishing-E-Mails mehr Legitimität zu verleihen.“
Auch Bösewichte machen Fehler
In der Zwischenzeit profitieren möglicherweise nicht nur die OG-Phisher von den gestohlenen Anmeldeinformationen.
Bei der Analyse der Kampagne stießen die Forscher in den E-Mails auf eine URL, die dort nicht hätte sein sollen: ein Pfad, der auf ein Computerdateiverzeichnis verweist. In diesem Verzeichnis befanden sich die unrechtmäßig erlangten Gewinne der Cyberkriminellen, dh jede einzelne Kombination aus E-Mail und Passwort, die an diese bestimmte Phishing-Site gesendet wurde, in einer Klartextdatei, auf die jeder zugreifen konnte.
„Das war ein totaler Unfall“, sagt Benishti. „Das Ergebnis schlampiger Arbeit oder eher Unwissenheit, wenn sie ein von jemand anderem entwickeltes Phishing-Kit verwenden – es gibt Unmengen davon, die auf dem Schwarzmarkt erhältlich sind.“
Die gefälschten Webseitenserver (und Klartextdateien) wurden schnell heruntergefahren oder entfernt, aber wie Benishti feststellte, ist es wahrscheinlich, dass das von den Angreifern verwendete Phishing-Kit für den Klartextfehler verantwortlich ist – was bedeutet, dass sie „ihre gestohlenen Anmeldeinformationen weiterhin zur Verfügung stellen werden zur Welt.“
Gestohlene Zugangsdaten, mehr Raffinesse schüren Phish-Wahnsinn
Die Kampagne relativiert allgemein die Epidemie von Phishing und das Sammeln von Anmeldeinformationen – und was dies für die Authentifizierung in der Zukunft bedeutet, stellen die Forscher fest.
Darren Guccione, CEO und Mitbegründer von Keeper Security, sagt, dass sich Phishing in Bezug auf seine Raffinesse weiterentwickelt, was als ein fungieren sollte Klare Warnung an Unternehmen, angesichts des erhöhten Risikos.
„Böse Akteure auf allen Ebenen schneidern Phishing-Betrug mit ästhetisch basierten Taktiken wie realistisch aussehenden E-Mail-Vorlagen und bösartigen Websites, um ihre Opfer anzulocken, und übernehmen dann ihr Konto, indem sie die Anmeldeinformationen ändern, was den Zugriff durch den rechtmäßigen Eigentümer verhindert.“ erzählt er Dark Reading. „Bei einem Anbieteridentitätsangriff [wie diesem], wenn Cyberkriminelle gestohlene Zugangsdaten verwenden, um Phishing-E-Mails von einer legitimen E-Mail-Adresse zu versenden, ist diese gefährliche Taktik noch überzeugender, da die E-Mail von einer vertrauten Quelle stammt.“
Die meisten modernen Phishing-Angriffe können auch sichere E-Mail-Gateways umgehen und sogar fälschen oder untergraben Anbieter von Zwei-Faktor-Authentifizierung (2FA)., fügt Monnia Deng, Director of Product Marketing bei Bolster, hinzu, während Social Engineering im Allgemeinen in Zeiten von Cloud, Mobilität und Remote-Arbeit außerordentlich effektiv ist.
„Wenn jeder erwartet, dass seine Online-Erfahrung schnell und einfach ist, sind menschliche Fehler unvermeidlich, und diese Phishing-Kampagnen werden immer cleverer“, sagt sie. Sie fügt hinzu, dass drei Makrotrends für die Rekordzahlen von Angriffen im Zusammenhang mit Phishing verantwortlich sind: „Der pandemiebedingte Wechsel zu digitalen Plattformen für die Geschäftskontinuität, die wachsende Armee von Skript-Kiddies, die problemlos Phishing-Kits oder sogar Phishing kaufen können Abonnementdienst und die gegenseitige Abhängigkeit von Technologieplattformen, die einen Angriff auf die Lieferkette durch eine Phishing-E-Mail auslösen könnten.“
Die Realität sieht also so aus, dass das Dark Web große Caches mit gestohlenen Benutzernamen und Passwörtern hostet; Big-Data-Dumps sind keine Seltenheit und führen wiederum nicht nur zu Credential-Stuffing- und Brute-Force-Angriffen, sondern auch zu zusätzlichen Phishing-Bemühungen.
Beispielsweise ist es möglich, dass Bedrohungsakteure Informationen aus einer kürzlichen Sicherheitsverletzung von First American Financial verwendet haben, um das E-Mail-Konto zu kompromittieren, das sie zum Versenden der Phishing-Mails verwendet haben. Bei diesem Vorfall wurden 800 Millionen Dokumente mit personenbezogenen Daten offengelegt.
„Datenpannen oder -lecks haben eine längere Halbwertszeit als die Leute denken“, sagt Benishti. „Die erste amerikanische Finanzpanne ereignete sich im Mai 2019, aber die offengelegten personenbezogenen Daten können Jahre später als Waffe verwendet werden.“
Um diesen geschäftigen Markt und die Profiteure, die darin operieren, zu durchkreuzen, ist es an der Zeit, über das Passwort hinauszuschauen, fügt er hinzu.
„Passwörter erfordern eine immer höhere Komplexität und Rotationshäufigkeit, was zu einem Burnout der Sicherheit führt“, sagt Benishti. „Viele Benutzer nehmen das Risiko in Kauf, sich beim Erstellen komplexer Passwörter unsicher zu fühlen, weil es so komplex wird, das Richtige zu tun. Multifaktor-Authentifizierung hilft, ist aber keine kugelsichere Lösung. Grundlegende Veränderungen sind erforderlich, um zu bestätigen, dass Sie der sind, von dem Sie sagen, dass Sie ihn in einer digitalen Welt sind, und um Zugang zu den Ressourcen zu erhalten, die Sie benötigen.“
Wie man den Phishing-Tsunami bekämpft
Angesichts der weit verbreiteten passwortlosen Ansätze, die noch in weiter Ferne liegen, sagt Kalember von Proofpoint, dass die grundlegenden Grundsätze des Benutzerbewusstseins der Ausgangspunkt für die Bekämpfung von Phishing sind.
„Menschen sollten mit allen unerwünschten Mitteilungen vorsichtig umgehen, insbesondere mit solchen, die den Benutzer zum Handeln auffordern, wie z. B. das Herunterladen oder Öffnen eines Anhangs, das Klicken auf einen Link oder die Offenlegung von Anmeldeinformationen wie persönlichen oder finanziellen Informationen“, sagt er.
Außerdem ist es wichtig, dass jeder eine gute Passworthygiene für jeden genutzten Dienst lernt und praktiziert, fügt Benishti hinzu: „Und wenn Sie jemals benachrichtigt werden, dass Ihre Informationen möglicherweise in eine Sicherheitsverletzung verwickelt waren, setzen Sie alle Ihre Passwörter für jeden von Ihnen genutzten Dienst zurück . Wenn nicht, haben motivierte Angreifer clevere Möglichkeiten, alle Arten von Daten und Konten zu korrelieren, um das zu bekommen, was sie wollen.“
Darüber hinaus empfiehlt Ironscales regelmäßige Phishing-Simulationstests für alle Mitarbeiter und nennt eine Reihe von Faustregeln, auf die man achten sollte:
- Benutzer hätten diesen Phishing-Angriff durch einen genauen Blick auf den Absender identifizieren können
- Stellen Sie sicher, dass die Absenderadresse mit der Absenderadresse übereinstimmt und dass die Adresse von einer Domain (URL) stammt, die normalerweise mit dem Unternehmen übereinstimmt, mit dem sie zu tun haben.
- Achte auf schlechte Rechtschreibung und Grammatik.
- Fahren Sie mit der Maus über Links und sehen Sie sich die vollständige URL/Adresse des Ziels an, um zu sehen, ob es ungewöhnlich aussieht.
- Seien Sie immer sehr vorsichtig bei Websites, die Sie nach Anmeldeinformationen fragen, die ihnen nicht zugeordnet sind, wie z. B. die Microsoft 365- oder Google Workspace-Anmeldung.
