Sicherheitsforscher von Check Point haben vor einiger Zeit einen weiteren Dienst entdeckt, der für fortschrittliche Phishing-Kampagnen von Hackern missbraucht wird. Diesmal erfolgt der Missbrauch für Phishing-Kampagnen über die Amazon Web Services (AWS). Das Programm wird zum Versenden von Phishing-E-Mails genutzt, um diesen einen täuschend echten Anstrich zu geben.
Anzeige
In einer Meldung zeigen die Check Point Sicherheitsforscher eine solche Phishing-Mail, die dem Empfänger vorgaukelt, dass das Passwort für Office 365 abläuft. Im Mail-Programm wird zwar angegeben, dass die Mail von einem nicht vertrauenswürdigen (d.h. unbekannten) Absender stammt. Aber nicht jeder Nutzer liest so etwas.
Check Point schreibt dazu, dass einige Benutzer an dieser Stelle schon stutzen und abbrechen. Einige Sicherheitsprogramme könnten die Nachricht zudem abfangen, weil die Absender-Adresse vielleicht unbekannt ist. Jedoch weist der Link auf einen echten AWS-S3-Bucket, was die Betrügerei wiederum verschleiert haben. Folgt der Nutzer dem Link in der Mail, wird er zur folgenden Seite geleitet.
Anzeige
Bei der Zielseite fällt auf, dass die Domäne tatsächlich ein echter AWS-S3-Bucket ist. Dies ist möglich, da jeder eine statische oder dynamische Seite bei AWS aufsetzen kann. Es benötigt hierfür zwar einige Programmierfähigkeiten, aber für erfahrene Hacker stellt das kein Hindernis dar. In diesem Fall wurde eine Microsoft-Anmeldeseite gefälscht und die E-Mail-Adresse des Nutzers wurde bereits eingetragen, sodass dieser nur noch sein Passwort eingeben muss – verlockend, um den Nutzer zu täuschen. Außerdem ist die E-Mail-Adresse des Nutzers ein Teil der URL, damit es so aussieht, als wäre er schon angemeldet gewesen.
Im Gegensatz zu den bisher vorgestellten BEC-3.0-Angriffen, verlangt dieser höherwertige Programmierfähigkeiten und technisches Verständnis. Jedoch bleibt das Niveau so tief, dass jeder durchschnittliche Hacker dazu in der Lage ist. Zwar ist der Angriff nicht so überzeugend, aber immer noch gefährlich genug, um viele Leute zu täuschen, schreibt Check Point. Hintergrund ist, dass ein legitimes Tool, AWS, missbraucht wird, um den Angriff zu verschleiern. Hier hilft der Blick auf die Absender-Adresse und die URL am meisten, um den Betrug zu enttarnen.
Die Sicherheitsforscher raten Unternehmen und Privat-Anwendern größte Vorsicht walten zu lassen. Außerdem empfehlen Sie, KI-gestützte IT-Sicherheitslösungen zu implementieren, die nach verschiedenen Indikatoren Ausschau halten können, eine E-Mail-Sicherheitslösung einzuführen, die Dokumente und Dateien prüft, sowie eine URL-Sicherheitslösung, die Websites prüft und emuliert.
Anzeige
Finde ich jetzt nicht weiter dramatisch das hier AWS genutzt wird. Entweder man schaut hin oder nicht. Microsoft selbst bietet im sogenannten "Microsoft Azure Blob Storage"(core.windows.net) auch Webhosting an, wo haufenweise Office Phising zu finden ist. Das ist schon problematischer weil es auf einer tatsächlichen MS Domain läuft.
malware-research.org/simple-rule-to-protect-against-spoofed-windows-net-phishing-attacks
spielt keine Rolle woher Phishing kommt, entweder man fällt darauf rein oder nicht!
Phisihing läßt sich zu 100% eleminieren, wenn man sich an einfache Regeln hält.
Eine davon ist das man niemals nie auf Links in solchen e-Mails, Messenger & Co. klickt.
Fordert man mich in einr Mail auf irgendwie meine Daten zu verifizieren, einzugeben etc, denkt man mal scharf nach, dann ist das in 80% der Fälle bereits klar. In den restlichen 20% der Fälle ruft man seinen Account direkt auf (nicht per Klick auf den Link) und loggt sich da ein, dann ist das auch klar ersichtlich ob echt oder Phishing.
Auf Phishing muss kein Mensch reinfallen, wenn doch ist das verdient!
Und diese Regel kann sowohl ein Kind wie auch ne 90+ jährige Person verstehen, dazu braucht es weder einen IQ eines Raketenwissentschaftlers noch den Nobelpreis, auch Stresslevel und Tageszeit spielen dabei keine Rolle.
Da braucht es dann auch keine aufwendige Mail-Sicherheitslösungen und URL Sicherheitslösungen, welche Phishing Gefährdete eh nich konfigurieren können.
Firmen haben es da etwas schwerer, die erwarten auch mal unerwarte Nachrichten, aber für
die zwei, drei anderen Regeln braucht es etwas technisches Verständnis, aber auch das ist lernbar.
Und dafür gibt es Admins (Die sich damit auch gleich qualifizieren oder disqualifizieren).
Phising ist und bleib was es ist: Dummenfang!
"Eine davon ist das man niemals nie auf Links in solchen e-Mails, Messenger & Co. klickt."
Ich korrigiere:
Eine davon ist, das man niemals nie nicht auf Links in e-Mails, Messenger & Co. klickt.
Eine doppelte Verneinung ist eine Bejahung :-) und zudem gilt das für ausnahmslos alle Mails, Messengernachrichten und sonstige Möglichkeiten, einen Link zu empfangen.
naja nicht für alle, wenn ich direkt eine Veriffizierungsmail etc. angefordert habe und diese dann wenige Sekunden/Minuten danach kriege… ist das ja Ok! Aber das weis man dann ja auch!
Auch da prüft man aber zuerst den richtigen Absender.
Es gibt absolut keinen trifftigen Grund auf Phishing reinzufallen.
Falsch!
Das alles setzt voraus, dass der Empfänger einer Phishing Mail überhaupt auf die Idee kommt das es so was wie eine Fälschung an dieser Stelle überhaupt geben kann und das setze ich weder als gegeben noch als Allgemeinwissen voraus.
Dazu gibt es immer noch zu viele Menschen denen der Bezug und das Verständnis für die Technik fehlt und es wird immer wieder genug (sehr) junge Menschen geben, die das auch alles erst lernen müssen.
Dazu kommt oft genug falsches Verhalten von Firmen, die angeblich niemals solche Mails schicken würden und es dann doch tun – z.B. Telekom "Mehr Datenschutz mit Ihrer E-Mail-Bestätigung" usw. – und immer noch nicht behobene Sünden in Mailsoftware (egal ob Nativ oder als Webdienst) – die einzig und alleine den Wahren Absender im Header groß und deutlich anzeigen sollten und nicht irgend ein Attribut, dass sich beliebig fälschen lässt SPF/DKIM/und co. hin oder her.
"Auf Phishing muss kein Mensch reinfallen, wenn doch ist das verdient!" und
"Phising ist und bleib was es ist: Dummenfang!"
Steckt schon eine ordentliche Portion fachmännische Überheblichkeit in solche Aussagen, wie ich finde. Und selbst wenn eine Person evtl. einen "etwas niederen IQ" haben sollte, hat diese Person nicht alleine deswegen einfach per se "etwas verdient". Und ja, z. B. auch: "Unwissenheit schützt nicht vor Strafe", ist auch so eine Tatsache die natürlich stimmt. Und trotzdem hat auch hier niemand einen Schaden automatisch "verdient". Niemand kann alles wissen und jeder macht mal einen Fehler. Und gerade im IT-Bereich werden inzwischen sehr viele (und gerade ältere) Mitmenschen mehr oder weniger durch die gesellschaftlichen Entwicklungen/Erwartungen dazu "genötigt", sich mit diesem – aus ihrer Sicht – "Kram" beschäftigen zu müssen. Wenn man auf etwas keine Lust hat, dann wird man sich damit auch nicht sonderlich umfangreich beschäftigen – zumindest nicht so wie wir, die Leser hier. Pauschale "100 %-Urteile" über andere sind immer schnell gefällt …
Meine Mutter z. B. (mit fast 80) würde diesen Blog hier niemals lesen, weil:
– 0,0 Interesse und
– mind. 95 % der Themen würde sie nicht mal ansatzweise verstehen …
Dann informier ich mich oder nutze es nicht! Deine Oma kommt ja auch nicht auf die Idee die Bremsen am Auto selber zu wechseln!
Du hilfst nicht wenn du den Leuten ständig sagts ihr könnt nix dafür das ihr darauf reingefallen seid, sondern indem man ihnen klar sagt was sie falsch machen und ne Lösung bietet! Und die lautet eben man klickt nicht aus ner Mail Message sonstwas auf nen Link und gibt seine Daten preis!
Mit hast Pech gehabt kann jedem passieren lernt da niemand. Das muss echt wehtun!
Außerdem kann ich aus Erfahrung sagen die "Silbersurfer" sind die die am wenigsten darauf reinfallen den die haben solche Angst das sie lieber dreimal fragen/prüfen.
Die Antwort zeigt mir, dass du anscheinend nicht verstanden hast, was ich mit meinem Post ausdrücken wollte (?!) Und eigentlich schreibst du auch an meiner Antwort – zumindest indirekt – vorbei …
Und deshalb nochmals, ich bleibe dabei:
Einen "Schaden" hat pers se (zunächst) niemand "verdient". Entsprechendes "Lehrgeld" mag im einen oder anderen Fall evtl. "recht hilfreich" zur Erkenntnisgewinnung sein, aber es hat eben niemand pauschal "verdient". Und nicht jeder, der einen Fehler macht (oder eben in eine dumme Falle tappt) ist deshalb auch gleich wirklich "dumm" – dies bezogen auf "Dummenfang". Denn wenn dem wirklich so wäre, dann hätten wir nun mal 100 % "Dumme" (Jetzt schreibe bitte nicht, dass du noch niemals (!) einen Fehler gemacht hast … ;-))
PS: "Meine Oma" ist im Übrigen schon seit fast 30 Jahren tot – es war meine Mutter … Aber auch die würde natürlich keine Bremsen am Auto wechseln – ebenso wenig wie ich mir erlauben würde in ihre Küche zu kommen und ihre Kochkünste in Frage zu stellen …
Was mich ausserdem ärgert ist wenn solche Phisher, so wie hier von Gü, als Hacker bezeichnet werden. Das ist eine Aufwertung die die nicht verdient haben.
@Luzifer
@Windowsnutze1969
Ich habe die Erfahrung gemacht, dass Phisher deshalb so erfolgreich sind, weil die Leute (egal ob alt oder jung, erfahren oder unerfahren) ganz einfach geil auf alles neue sind. Egal ob per Mail, WhatsApp, etc übermittelt. Viele User denken sich etwas dabei, wenn man wieder einmal ein paar Millionen gewonnen hat oder eine Diktatorswitwe finanziell unterstützen soll. Doch es gibt leider immer noch einen nicht unerheblichen Rest der Anwender, die Geräte ein- und das Hirn ausschalten. Beim eher älteren Teil dieser Gruppe überwiegt eben noch immer die soziale Komponente und die Objektivität bleibt im Hintergrund. Dies macht sich an den vielen "Enkel-Trick"-Opfern bemerkbar.
Die Argumentation hinsichtlich der Datenweitergabe und -nutzung stößt bei einem sehr großen Teil auf Verwunderung und Unverständnis. "Ich habe doch nichts zu verbergen" oder "ist mir völlig wurscht, Hauptsache es ist gratis" sind dann die Antworten auf einen Versuch der Aufklärung. Den "Wert" der Daten können oder wollen diese Leute nicht einschätzen.
Die Aussage, dass es die Betroffenen "verdienen" geschädigt zu werden, ist schon etwas gewagt, allerdings schadet gewisses "Lehrgeld" bestimmt nicht. Und ganz ehrlich: Auch in Expertenkreisen wird immer wieder über Backups diskutiert, obwohl bestimmt schon jeder einmal wichtige Daten verloren hat.
Die Grenzen zwischen Unwissenheit, Fahrlässigkeit, Dummheit, Faulheit sind halt sehr verschwommen…