Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Groß angelegte Phishing-Angriffe klauen Zugangsdaten

Aktuell warnen Experten vor Phishing-Kampagnen, die sich eine raffinierte Taktik zunutze machen: Angreifer manipulieren HTTP-Header-Einträge, um täuschend echte Anmeldeseiten zu erzeugen, die nur ein Ziel haben – die Login-Daten der Nutzer abzugreifen.

Bedrohungen
Lesezeit 4 Min.

Wie Forscher von Palo Alto Networks Unit 42, Yu Zhang, Zeyu You und Wei Wang erklären, unterscheiden sich diese Phishing-Angriffe von anderen, die normalerweise HTML-Inhalte verwenden. Stattdessen nutzen diese Angriffe den Antwort-Header, den der Server vor dem Laden der HTML-Inhalte sendet. Bösartige Links sorgen dafür, dass der Browser die Webseite automatisch aktualisiert oder neu lädt, ohne dass der Nutzer etwas tun muss.

Zwischen Mai und Juli 2024 wurden groß angelegte Phishing-Aktivitäten beobachtet, die sich gegen große Unternehmen in Südkorea sowie gegen Regierungsbehörden und Schulen in den USA richteten. Insgesamt wurden rund 2.000 bösartige URLs mit diesen Kampagnen in Verbindung gebracht.

Über 36 Prozent der Angriffe betrafen den Unternehmens- und Wirtschaftssektor, gefolgt von Finanzdienstleistungen (12,9 Prozent), Behörden (6,9 Prozent), dem Gesundheitssektor (5,7 Prozent) und der IT-Branche (5,4 Prozent).

Diese Angriffe sind Teil einer Reihe raffinierter Taktiken von Cyberkriminellen, die ihre Absichten geschickt verschleiern und Nutzer dazu zu bringen, sensible Daten preiszugeben. Dabei nutzen sie aktuelle Top-Level-Domains (TLDs) und Domänennamen für Phishing- und Umleitungsangriffe.

Die Infektionsketten funktionieren, indem bösartige Links über spezielle Header-Refresh-URLs verbreitet werden, die die E-Mail-Adressen der betroffenen Personen enthalten. Der schädliche Link, auf den umgeleitet wird, ist dabei im Antwort-Header eingebettet, der automatisch eine Weiterleitung auf die Zielseite auslöst.

Startpunkt ist immer eine E-Mail mit einem Link, der eine echte oder gehackte Webseite nachahmt. Wer auf den Link klickt, wird auf eine Seite weitergeleitet, die von den Angreifern kontrolliert wird und darauf abzielt, die Anmeldedaten zu stehlen.

Um den Phishing-Versuch glaubwürdiger wirken zu lassen, sind die gefälschten Login-Seiten bereits mit der E-Mail-Adresse der Empfänger vorausgefüllt. Zudem nutzen die Angreifer oft seriöse Domains von Diensten wie URL-Verkürzern, Tracking-Tools und Marketing-Plattformen, um ihre Angriffe zu tarnen. „Durch das geschickte Nachahmen legitimer Domains und die gezielte Umleitung auf echte Seiten können die Angreifer ihre wahren Absichten verbergen und die Erfolgschancen für Datendiebstahl deutlich erhöhen“, erklärten die Forscher. Diese Angriffe zeigen die ausgeklügelten Methoden, mit denen Cyberkriminelle versuchen, unentdeckt zu bleiben und ihre Opfer zu täuschen.

Phishing und die Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC) sind nach wie vor ein beliebter Weg für Angreifer, um Informationen abzuschöpfen und finanziell motivierte Angriffe durchzuführen. Laut dem U.S. Federal Bureau of Investigation (FBI) haben BEC-Angriffe US-amerikanische und internationale Organisationen zwischen Oktober 2013 und Dezember 2023 schätzungsweise 55,49 Milliarden US-Dollar gekostet, wobei im selben Zeitraum über 305.000 Betrugsfälle gemeldet wurden.

Diese Entwicklung findet vor dem Hintergrund zahlreicher Betrugskampagnen statt, die seit mindestens Juli 2023 Deepfake-Videos mit Prominenten, CEOs, Nachrichtensprechern und hochrangigen Regierungsvertretern einsetzen, um für falsche Investitionsprogramme wie Quantum AI zu werben. Diese Betrugskampagnen werden über Beiträge und Anzeigen auf verschiedenen sozialen Medien verbreitet. Sie leiten die Nutzer auf gefälschte Webseiten, auf denen sie aufgefordert werden, ein Formular auszufüllen, um sich anzumelden. Danach werden sie von einem Betrüger telefonisch kontaktiert, der sie auffordert, eine Anfangsgebühr von zweihundertfünfzig US-Dollar zu zahlen, um Zugang zum vermeintlichen Dienst zu erhalten.

Anschließend werden die Opfer angewiesen, eine spezielle App herunterzuladen, über die sie weiter „investieren“ sollen. Diese App zeigt auf einem Dashboard kleine Gewinne an, um Vertrauen zu erwecken. Wenn die Opfer schließlich versuchen, ihr Geld abzuheben, verlangen die Betrüger entweder Abhebungsgebühren oder geben andere Gründe an, wie etwa angebliche Steuerprobleme, um die Auszahlung zu verweigern. Die Betrüger sperren dann möglicherweise das Konto der Opfer und behalten das restliche Geld ein, wodurch die Betroffenen den Großteil ihrer Investition verlieren.

Die Entdeckung folgt auch auf die Enthüllung eines versteckten Bedrohungsakteurs, der sich als legitimes Unternehmen ausgibt. Er bietet Cyberkriminellen automatisierte Dienste an, um CAPTCHAs zu lösen, damit sie leichter in IT-Netzwerke eindringen können.

Das Unternehmen, das in der Tschechischen Republik unter dem Namen Greasy Opal agiert, soll seit 2009 aktiv sein. Es bietet ein umfassendes Toolkit an, das Credential Stuffing, die Erstellung gefälschter Massenkonten, Browser-Automatisierung und Social-Media-Spam umfasst – alles für einen Preis von 190 US-Dollar und weitere zehn US-Dollar pro Monat für ein Abonnement. Greasy Opal kombiniert mehrere Dienstleistungen, die das gesamte Spektrum der Cyberkriminalität abdecken, und hat damit ein erfolgreiches Geschäftsmodell entwickelt. Die Einnahmen des Unternehmens für 2023 werden auf mindestens 1,7 Millionen US-Dollar geschätzt.

Laut Arkose Labs verwendet Greasy Opal hochentwickelte OCR-Technologie, um textbasierte CAPTCHAs selbst dann effektiv zu knacken, wenn sie verzerrt, gedreht oder verdeckt sind. Die eingesetzten Algorithmen für maschinelles Lernen werden mit umfangreichen Bilddatenbanken trainiert. Einer der Kunden von Greasy Opal ist Storm-1152, eine vietnamesische Cybercrime-Gruppe, die von Microsoft bereits als Verkäufer von 750 Millionen betrügerischen Microsoft-Konten identifiziert wurde. Greasy Opal hat ein wachsendes Netzwerk aufgebaut, das inzwischen nicht nur CAPTCHA-Lösungen anbietet, sondern auch Software für SEO-Boosting und Automatisierungsdienste für Social Media, die oft für Spam und die Verbreitung von Malware genutzt werden. Diese Art von Bedrohungsakteuren zeigt einen wachsenden Trend von Unternehmen, die in einer rechtlichen Grauzone operieren und deren Produkte für illegale Aktivitäten genutzt werden.

Diesen Beitrag teilen: