Riesige Verbreitung

Genialer Phishing-Trick ließ Admins verzweifeln

Symbolbild.

(Bild: stock.adobe.com)

Phishing-Kampagnen, bei denen Cyberkriminelle es auf wertvolle Daten ihrer Opfer abgesehen haben, sind mit etwas Erfahrung gut zu erkennen: Gefälschte Mailadressen, unerwartete E-Mails, schlechte Sprachkenntnisse und dubiose Links weisen oft auf den Betrugsversuch hin. Der IT-Security-Experte Craig Hays ist nun aber auf eine Phishing-Kampagne aufmerksam geworden, die nicht in die üblichen Schubladen passt und mit einem laut Hays „genialen“ Trick in kürzester Zeit zahlreiche Opfer fand.

In einem Beitrag auf medium.com erklärt Hays, wie die Phishing-Betrüger die IT-Abteilung einer nicht näher benannten Organisation gehörig auf Trab hielten. Alles begann am Dienstagvormittag, als die IT-Verantwortlichen eine Phishing-Meldung von einem Mitarbeiter erhielten. Was zunächst nach den üblichen Betrugsversuchen aussah, die jeden Tag auf die Organisation losgelassen werden, entwickelte sich schnell zu einer erstaunlich weitreichenden Cyberattacke.

„Riesige Welle von Kontenübernahmen“
Schon wenige Minuten nach der ersten Meldung gingen weitere Benachrichtigungen in der IT-Abteilung ein. Zu diesem Zeitpunkt dachte man laut dem Bericht noch, es seien schlicht mehrere Mitarbeiter auf die Nachricht hereingefallen. Doch noch während der Untersuchung der ersten paar Vorfälle wurde klar: Die Organisation wurde Opfer einer „riesigen Welle von Kontenübernahmen“, schreibt Hays.

Das war entweder eine wirklich, wirklich effektive Phishing-Attacke. Oder jemand hat schon seit einiger Zeit Zugangsdaten gestohlen.

Craig Hays, IT-Security-Experte

„Wir sahen, dass von seltsamen Orten überall auf der Welt auf alle Accounts zugegriffen wurde und eine Menge E-Mails versendet wurden“, sagt Hays. Zu diesem Zeitpunkt wurde ihm klar, dass man es hier nicht mit einer klassischen Phishing-Kampagne mit leicht zu entlarvenden Massenmails zu tun hatte. „Das war entweder eine wirklich, wirklich effektive Phishing-Attacke. Oder jemand hat schon seit einiger Zeit Zugangsdaten gestohlen.“

(Bild: ©Maksim Kabakou - stock.adobe.com)

„Phänomenale Zahl“ von Konten gekapert
Wie die Drahtzieher der Kampagne an diese Daten gekommen sein könnten, war zunächst unklar: Niemand hatte E-Mails eines unbekannten Absenders bekommen, wie sie normalerweise bei Phishing-Kampagnen eingesetzt werden. Erst nach eingehender Analyse wurde Hays klar, nach welchem Muster die Angreifer vorgingen: Sie hatten in der Tat einige E-Mail-Konten in dem Unternehmen übernommen und brachten diese dazu, laufende E-Mail-Konversationen automatisch mit einer Phishing-Nachricht zu beantworten, die einen Link enthielt, der zu einem internen Dokument führen sollte. Tatsächlich diente der Link dazu, noch mehr Zugangsdaten zu erbeuten und weitere E-Mail-Accounts zu übernehmen. Auch Kunden und Partner des Unternehmens erhielten in Folge immer mehr betrügerische Mails. Hays spricht von einer „genialen“ Methode, die ihn „in Ehrfurcht“ dabei zusehen ließ, wie in kürzester Zeit „eine phänomenale Zahl von Konten“ gekapert wurde.

Zwei-Faktor-Authentifizierung löste Problem
Tatsächlich war die Attacke laut Hays fast schon zu effektiv: Weil die Sache so schnell außer Kontrolle geriet und die IT-Verantwortlichen schließlich eine Quarantäneregel einrichten konnten, die sie stoppte, konnte sie ihr volles Potenzial nach Einschätzung des Experten nicht entfalten. Sie zeigt aber, dass Cyberkriminelle bei solchen Kampagnen immer fortschrittlichere Methoden einsetzen und ihre Gegenspieler in der IT-Security-Branche ständig neu herausfordern.

(Bild: ©tippapatt - stock.adobe.com)

In der Organisation, die Opfer der Kampagne wurde, hat man die Lehren aus dem Angriff gezogen und eine Zwei-Faktor-Authentifizierung für den Zugriff auf die E-Mail-Konten eingeführt - also einen Zusatzschlüssel am Smartphone, der verhindert, dass jemand allein mit Benutzername und Kennwort in ein E-Mail-Konto eindringen kann.

Das Resümee des Experten: „Das Ziel der Angreifer war vermutlich, Zugangsdaten für den Verkauf im Darkweb zu sammeln. Sie haben ihr Ziel erreicht, indem sie eine Menge Zugangsdaten gesammelt haben, waren dabei aber zu auffällig und lösten sofort Alarm aus, wodurch sie den Vorteil wieder verspielten, den sie sich vorher verschafft hatten.“