Phishing: Angriff per Voicemail-Benachrichtigung

Die E-Mail, die bei potenziellen Opfern landet, sieht so aus, als würden diese beispielsweise von Microsoft 365 (vormals Office 365) über eine aufgezeichnete Sprachnachricht benachrichtigt. Die Nachricht ist so gehalten, dass eine systemgenerierte Voicemail-Benachrichtigung imitiert wird. Der HTML-Anhang enthält JavaScript-Code, der das potenzielle Opfer auf eine Phishing-Website umleitet, die zur Eingabe der Zugangsdaten auffordert. Da das anvisierte Opfer die vermeintliche Sprachnachricht abhören möchte, werden die Anmeldedaten unter Umständen eingegeben.

Bei einigen Versionen der Phishing-Seiten haben Sicherheitsforscher von Zscaler beobachet, dass die endgültige Landingpage externes JavaScript verwendete, um die Website zum Abgreifen der Zugangsdaten im Browser anzuzeigen. Bei einigen Sprachnachricht-Kampagnen habe man zudem registriert, dass die Angreifer Googles reCAPTCHA verwendet hätten, um sich der automatischen URL-Analyse zu entziehen. Die Forscher haben mehrere neu registrierte Domänen entdeckt, die über 200 verschiedene VoIP- und Voicemail-Nachrichten als Köder für ihre Phishing-Kampagnen zum Diebstahl von Zugangsdaten verwenden.

„Da als Vorsichtsmaßnahme aufgrund der anhaltenden COVID-19-Situation nach wie vor viele Unternehmen weltweit ihre Mitarbeiter von zu Hause aus arbeiten lassen, stimmen Cyberkriminelle ihre Taktiken darauf ab, Mitarbeiterinformationen für den Zugang zu Unternehmensanwendungen abzugreifen.“, so Deepen Desai, CISO und Vice President Security Research bei Zscaler. Man habe in der jüngeren Vergangenheit einen Anstieg an Phishing-Kampagnen beobachtet, die sich unter dem Deckmantel entsprechender Benachrichtigungen tarnen, um Zugangsdaten zu Diensten wie Microsoft 365, Google oder Yahoo zu erhalten.

Die Social-Engineering-Kampagne sei darauf ausgerichtet, Anwender in Unternehmen im großen Stil zu erreichen. Werden entsprechende Zugangsdaten erbeutet, haben die Angreifer Zugriff auf Unternehmensdaten für weitere Recherchen und die Vorbereitung weiterer Angriffe. Wenn Kriminelle einmal im Unternehmensnetzwerk Fuß fassen, nutzen sie vielerlei Informationen für weitere Angriffe. Wer sich intensiver mit den technischen Details der Angriffe auseinandersetzen will, findet weiterführende Informationen in einem Blogbeitrag bei Zscaler.

Wie immer im Zusammenhang mit Angriffen via E-Mail gilt auch hier, dass Anwender bei Anhängen extrem vorsichtig agieren sollten, zudem, wenn diese nicht von vertrauenswürdigen oder bekannten Quellen stammen. Bevor Zugangsdaten eingegeben werden, sollte zudem die URL sehr genau überprüft werden, beziehungsweise nicht die aus dem Link heraus genutzte Adresse für die Eingabe zu verwenden.