Phishing-Welle auf Microsoft 365-Konten von Führungskräften in den USA entdeckt – Wie Indeed zur Tarnung missbraucht wurde
In den unendlichen Weiten des Internets lauern sie – die fiesen Phisher, immer auf der Suche nach neuen Wegen, um ahnungslose Opfer hereinzulegen. Dieses Mal haben sie es auf die Microsoft 365-Konten von Top-Managern in amerikanischen Organisationen abgesehen. Und um ihre bösen Absichten zu verbergen, haben sie sich eine besonders hinterhältige Tarnung ausgedacht: die offenen Weiterleitungen von der beliebten Jobbörse Indeed.
Aber Moment mal, denkt man sich jetzt vielleicht, wie soll das denn gehen? Ganz einfach, sagen die Forscher von Menlo Security, die den Fall aufgedeckt haben. Die Phisher nutzen den ominösen EvilProxy-Phishing-Dienst, der es schafft, Sitzungscookies zu sammeln und somit die Mehr-Faktor-Authentifizierung (MFA) zu umgehen. Da staunt der Laie und der Fachmann wundert sich.
Die Phishing-Kampagne richtet sich dabei an Führungskräfte und hochrangige Mitarbeiter aus den verschiedensten Branchen – von der Elektronikherstellung über Banken und Finanzen bis hin zur Immobilienverwaltung. Die Opfer erhalten E-Mails mit einem Link, der von indeed.com zu stammen scheint. Doch Vorsicht ist geboten, denn dieser harmlos wirkende Link führt direkt zu einer fiesen Phishing-Seite, die als Reverse-Proxy für die Microsoft-Anmeldeseite fungiert.
Aber was genau ist ein Reverse-Proxy? Nun, das ist so eine Art doppeltes Spiel. Der EvilProxy-Phishing-Dienst nutzt Reverse-Proxies, um die Kommunikation und den Austausch von Benutzerdaten zwischen dem Ziel und dem echten Online-Dienst zu erleichtern. In diesem Fall wird die Microsoft-Anmeldeseite imitiert und der ahnungslose User gibt nichtsahnend seine Zugangsdaten preis. Die Phisher schnappen sich die Authentifizierungscookies und schwups, haben sie vollen Zugriff auf das Konto ihres Opfers.
Die Forscher von Menlo Security haben bereits einige Artefakte des Angriffs wiederhergestellt, um den Machenschaften des EvilProxy-Phishing-Dienstes auf die Schliche zu kommen. Doch leider scheint das nur die Spitze des Eisbergs zu sein. Bereits im August 2023 hat Proofpoint vor einer weiteren EvilProxy-Kampagne gewarnt, bei der satte 120.000 Phishing-E-Mails an Hunderte von Organisationen verschickt wurden. Da scheint wohl jemand besonders motiviert zu sein.
Und als wäre das noch nicht genug, nehmen die Phisher vermehrt Reverse-Proxy-Kits für ihre schändlichen Machenschaften in Anspruch. Die Kombination mit offenen Weiterleitungen von Indeed erhöht den Erfolg der Kampagnen zusätzlich. Da kann man sich schon mal die Frage stellen, ob man überhaupt noch bedenkenlos auf einen Job-Link klicken kann, ohne direkt in die Fänge fieser Phisher zu geraten.
Doch bevor wir jetzt alle in Panik ausbrechen, gibt es auch gute Nachrichten. Indeed.com hat sich zu Wort gemeldet und betont, dass keine Benutzerdaten in die Hände der Bösewichte gefallen sind. Sie haben die Sicherheitslücke schnell behoben und arbeiten daran, ein erneutes Auftreten zu verhindern. Ein Hoch auf die fleißigen Engineering-Teams!
Bis dahin heißt es wohl, besonders wachsam zu sein und jeden Job-Link mit Vorsicht zu genießen. Denn wer weiß, ob hinter dem vermeintlichen Traumjob nicht doch nur ein böser Phisher lauert, der darauf wartet, uns in die Falle zu locken. In diesem Sinne: Augen auf und immer schön misstrauisch bleiben!
Schlagwörter: PhishingKampagne + Microsoft 365Konten + EvilProxyPhishingDienst
Wie bewerten Sie den Schreibstil des Artikels?