{"id":319188,"date":"2025-12-10T16:12:56","date_gmt":"2025-12-10T15:12:56","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=319188"},"modified":"2025-12-10T16:12:56","modified_gmt":"2025-12-10T15:12:56","slug":"40-000-phishing-e-mails-als-sharepoint-und-e-signing-dienste-getarn","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/12\/10\/40-000-phishing-e-mails-als-sharepoint-und-e-signing-dienste-getarn\/","title":{"rendered":"40.000 Phishing-E-Mails als SharePoint- und E-Signing-Dienste getarn"},"content":{"rendered":"

\"SicherheitSicherheitsforscher von Check Point sind einer <\/span>neue<\/span>n<\/span> Welle von Betr\u00fcgereien im Finanzbereich<\/span> auf der Spur.<\/span> Der Dienst Mimecast<\/span> wurde dabei f\u00fcr die Phishing-Betr\u00fcgereien missbraucht, um die F\u00e4lschungen der Mails legitim erscheinen zu lassen. Auch <\/span>DocuSign<\/span> musste f\u00fcr die Cyber-Kriminellen als Deckmantel herhalten.\u00a0<\/span><\/span><\/p>\n

<\/p>\n

In einer Warnung vor der neuen, gro\u00dfangelegten Phishing-Kampagne, die vor allem auf den Finanzbereich zielt, erkl\u00e4ren die E-Mail-Sicherheitsforscher von Check Point, dass Angreifer sich als File-Sharing- und E-Signatur-Dienste ausgeben, um K\u00f6der mit Finanzthemen zu versenden, die wie legitime Benachrichtigungen aussehen.<\/p>\n

Missbrauch von Mimecast<\/h2>\n

Bei diesem Vorfall versendeten die Cyber-Kriminellen in den letzten zwei Wochen \u00fcber 40.000 Phishing-E-Mails an etwa 6100 Unternehmen. Alle b\u00f6sartigen Links wurden \u00fcber https:\/\/url.za.m.mimecastprotect.com geleitet, um das Vertrauen zu st\u00e4rken, indem vertraute Weiterleitungen nachgeahmt wurden.<\/p>\n

Die Hacker missbrauchten dabei die Funktion zum Umschreiben sicherer Links von Mimecast und nutzten sie als Vorwand, um ihre Links sicher und authentifiziert erscheinen zu lassen. Da Mimecast Protect eine vertrauensw\u00fcrdige Dom\u00e4ne ist, hilft diese Technik den b\u00f6sartigen URLs, sowohl automatische Filter als auch das Misstrauen der Benutzer zu umgehen. Um die Glaubw\u00fcrdigkeit zu erh\u00f6hen, kopierten die E-Mails offizielle visuelle Elemente des Dienstes (Logos von Microsoft und Office-Produkten), verwendeten Kopf- und Fu\u00dfzeilen im Stil des Dienstes sowie Schaltfl\u00e4chen zum \u00dcberpr\u00fcfen von Dokumenten und f\u00e4lschten Anzeigenamen wie \u201eX \u00fcber SharePoint (Online)\", \u201eeSignDoc \u00fcber Y\" und \u201eSharePoint\", die authentischen Benachrichtigungsmustern sehr \u00e4hnlich sind.<\/p>\n

\"Phishing-Mail\n\"
\nAbbildung 1: Beispiel einer SharePoint-Phishing-E-Mail, die Check Point abgefangen hat (Check Point Software Technologies Ltd.).<\/em><\/p>\n

Mimecast hat bereits eine Klarstellung zu dem Vorfall abgegeben: \"Die von Check Point beschriebene Kampagne nutzte legitime URL-Weiterleitungsdienste, um b\u00f6sartige Links zu verschleiern, nicht aber eine Schwachstelle von Mimecast. Die Angreifer missbrauchten vertrauensw\u00fcrdige Infrastrukturen \u2013 darunter den URL-Rewriting-Dienst von Mimecast \u2013 um das tats\u00e4chliche Ziel von Phishing-URLs zu verschleiern. Dies ist eine g\u00e4ngige Taktik, bei der Cyber-Kriminelle bekannte Domains nutzen, um einer Entdeckung zu entgehen.<\/em><\/p>\n

Kunden von Mimecast sind f\u00fcr diese Art von Angriffen nicht anf\u00e4llig. Die Erkennungsmodule von Mimecast identifizieren und blockieren diese Angriffe. Unsere URL-Scan-Funktionen erkennen und blockieren b\u00f6sartige URLs automatisch vor der Zustellung. Nach der Zustellung \u00fcberpr\u00fcft unser URL-Umschreibungsdienst die Links beim Anklicken und bietet so eine zus\u00e4tzliche Schutzebene, die Bedrohungen auch dann erkennt, wenn sie hinter legitimen Weiterleitungsketten versteckt sind.<\/em><\/p>\n

Wir arbeiten kontinuierlich daran, unseren Schutz vor sich weiterentwickelnden Phishing-Techniken zu verbessern. Kunden k\u00f6nnen unsere Analyse \u00e4hnlicher Kampagnen aus dem Jahr 2024 hier einsehen<\/a>.\u00a0<\/em>Wir sch\u00e4tzen es sehr, dass Check Point seine Erkenntnisse im Rahmen eines Responsable Disclosure-Prozesses mit uns geteilt hat.<\/em>\"<\/p>\n

Verwandte Variante: DocuSign-\u00e4hnliches Phishing<\/h2>\n

Neben der gro\u00dfen SharePoint- und E-signing-Kampagne identifizierten die Sicherheitsforscher auch eine kleinere, aber verwandte Operation, die DocuSign-Benachrichtigungen imitiert. Wie der Hauptangriff, so gibt sie sich als vertrauensw\u00fcrdige SaaS-Plattform aus und nutzt eine legitime Umleitungsinfrastruktur, aber die Technik, die zur Maskierung des b\u00f6sartigen Ziels verwendet wird, unterscheidet sich erheblich.<\/p>\n

Bei der Hauptkampagne fungiert die sekund\u00e4re Umleitung als offene Umleitung, sodass die endg\u00fcltige Phishing-URL im Abfrage-String sichtbar ist, obwohl sie in vertrauensw\u00fcrdige Dienste eingebunden ist. Bei der DocuSign-Variante wird der Link \u00fcber eine Bitdefender GravityZone-URL und dann \u00fcber den Click-Tracking-Dienst von Intercom geleitet, wobei die eigentliche Zielseite vollst\u00e4ndig hinter einer tokenisierten Weiterleitung verborgen ist. Dieser Ansatz verbirgt die endg\u00fcltige URL vollst\u00e4ndig und macht die DocuSign-Variante noch unauff\u00e4lliger und schwieriger zu erkennen.<\/p>\n

\"Phishing-Mail\n\"
\nAbbildung 2: Beispiel einer DocuSign-Phishing-E-Mail, die Check Point abgefangen hat (Check Point Software Technologies Ltd.).<\/em><\/p>\n

Die Kampagne zielte in erster Linie auf Unternehmen in den USA, Europa, Kanada, Asien und Pazifik und dem Nahen Osten ab, wobei der Schwerpunkt auf den Sektoren Beratung, Technologie sowie Bau\/Immobilien lag. Weitere Opfer gab es in den Bereichen Gesundheitswesen, Finanzen, Fertigung, Medien und Marketing, Transport und Logistik, Energie, Bildung, Einzelhandel, Gastgewerbe und Reisen sowie Beh\u00f6rden. Diese Sektoren sind attraktive Ziele, da sie routinem\u00e4\u00dfig Vertr\u00e4ge, Rechnungen und andere Transaktionsdokumente austauschen, was den K\u00f6der des Dateiaustauschs und der E-Signatur-Imitation sehr \u00fcberzeugend macht und die Erfolgsaussichten erh\u00f6ht.<\/p>\n

Erkenntnisse aus der Telemetrie<\/h2>\n

Daten aus der Harmony Email Telemetrie von Check Point zeigen, dass in den letzten zwei Wochen \u00fcber 40 000 Phishing-E-Mails an etwa 6100 Unternehmen versendet wurden. Die Aufschl\u00fcsselung nach Regionen ist wie folgt:<\/p>\n