Kampagne mit "Adaptive Phishing"-Techniken entdeckt

Es wurde eine Kampagne aufgedeckt, die eine Technik namens "Adaptive Phishing" einsetzt, bei der Parameter in Phishing-URLs ausgenutzt werden, um eine Webseite mit einem minimalen Layout zu erstellen und dem Opfer zu präsentieren. Dieses Layout enthält Logos und domänenspezifische Verweise auf die Organisation des Opfers, um die Glaubwürdigkeit und Wirksamkeit des Angriffs zu erhöhen.

Die Analyse der URL ergab einige hervorstechende Komponenten, die im Folgenden beschrieben werden:

• awstrack.me: Der erste Teil verweist auf den rechtmäßigen Dienst von Amazon Web Services (AWS), der die Überwachung von Link-Klicks und die Erfassung von Besucherdaten (wie IP-Adresse, Geolocation, Geräteinformationen usw.) ermöglicht;
• ipfs.io: eine dezentrale Dateispeicherplattform, die es ermöglicht, Inhalte zu hosten, ohne dass ein zentraler Server erforderlich ist. Die Nutzung einer solchen Ressource trägt dazu bei, dass die Inhalte scheinbar legitim sind und die Kontrollen der Sicherheitssysteme umgangen werden;
• E-Maildes Opfers: Am Ende der URL steht die E-Mail des Benutzers, die später vom Angreifer verwendet wird, um eine individuelle Seite zur Anforderung von Anmeldeinformationen für das Opfer zu erstellen.

Folgt das Opfer dem Link, wird eine kurze Ladeanimation der angeforderten Ressource angezeigt, und anschließend wird es auf eine Landing Page geleitet, die einige Hinweise auf seine Organisation enthält.

Im Einzelnen nutzen die Angreifer die APIs legitimer Dienste wie Clearbit.com und Thum.ioaus :
https://logo.clearbit.com/<domain>.<tld>
https://image.thum.io/get/width/1200/https://<domain>.<tld>

um das Logo bzw. einen Screenshot der Homepage der Organisation zu erhalten.

Diese Angaben ermöglichen es, eine scheinbar authentische Landing Page zu erstellen, um die Phishing-Kampagne plausibler zu machen.
Wenn der Benutzer seine Anmeldedaten angibt, sendet das Portal die E-Mail-Adresse, das Passwort und die IP des Opfers an einen Telegram-Bot.
Gleichzeitig wird dem Benutzer eine Meldung angezeigt, dass die eingegebenen Anmeldedaten falsch sind, und er wird aufgefordert, es erneut zu versuchen.

Die Analyse des Codes zeigt, dass die Fehlermeldung fünf erneute Versuche zulässt, an deren Ende das Opfer auf die Domain seiner eigenen Organisation umgeleitet wird. Durch dieses Verhalten können die Angreifer die Wahrscheinlichkeit erhöhen, gültige Anmeldedaten zu erhalten, da der Benutzer durch die Eingabe verschiedener Zeichenkombinationen die Wahrscheinlichkeit erhöht, dass korrekte Informationen aufgezeichnet werden.

Abhilfemaßnahmen

Benutzer und Organisationen können dieser Art von Angriffen begegnen, indem sie die erhaltenen E-Mails sorgfältig prüfen und folgende zusätzliche Maßnahmen ergreifen

• regelmäßige Schulungen durchführen, die darauf abzielen, Phishing zu erkennen, bei unerwarteten Mitteilungen vorsichtig zu sein und darauf zu achten, dass man seine persönlichen Daten nur auf rechtmäßigen Websites eingibt;
• die Eingabe sensibler Daten auf Portalen zu vermeiden, deren Zuverlässigkeit unbekannt ist;
• die Absender der erhaltenen Mitteilungen und deren Zuverlässigkeit genau zu überprüfen;
• solche Mitteilungen nicht weiter zu verfolgen.

SOC