In den unendlichen Weiten des Internets lauern sie \u2013 die fiesen Phisher, immer auf der Suche nach neuen Wegen, um ahnungslose Opfer hereinzulegen. Dieses Mal haben sie es auf die Microsoft 365-Konten von Top-Managern in amerikanischen Organisationen abgesehen. Und um ihre b\u00f6sen Absichten zu verbergen, haben sie sich eine besonders hinterh\u00e4ltige Tarnung ausgedacht: die offenen Weiterleitungen von der beliebten Jobb\u00f6rse Indeed.<\/p>\n
Aber Moment mal, denkt man sich jetzt vielleicht, wie soll das denn gehen? Ganz einfach, sagen die Forscher von Menlo Security, die den Fall aufgedeckt haben. Die Phisher nutzen den omin\u00f6sen EvilProxy-Phishing-Dienst, der es schafft, Sitzungscookies zu sammeln und somit die Mehr-Faktor-Authentifizierung (MFA) zu umgehen. Da staunt der Laie und der Fachmann wundert sich.<\/p>\n
Die Phishing-Kampagne richtet sich dabei an F\u00fchrungskr\u00e4fte und hochrangige Mitarbeiter aus den verschiedensten Branchen \u2013 von der Elektronikherstellung \u00fcber Banken und Finanzen bis hin zur Immobilienverwaltung. Die Opfer erhalten E-Mails mit einem Link, der von indeed.com zu stammen scheint. Doch Vorsicht ist geboten, denn dieser harmlos wirkende Link f\u00fchrt direkt zu einer fiesen Phishing-Seite, die als Reverse-Proxy f\u00fcr die Microsoft-Anmeldeseite fungiert.<\/p>\n
Aber was genau ist ein Reverse-Proxy? Nun, das ist so eine Art doppeltes Spiel. Der EvilProxy-Phishing-Dienst nutzt Reverse-Proxies, um die Kommunikation und den Austausch von Benutzerdaten zwischen dem Ziel und dem echten Online-Dienst zu erleichtern. In diesem Fall wird die Microsoft-Anmeldeseite imitiert und der ahnungslose User gibt nichtsahnend seine Zugangsdaten preis. Die Phisher schnappen sich die Authentifizierungscookies und schwups, haben sie vollen Zugriff auf das Konto ihres Opfers.<\/p>\n
Die Forscher von Menlo Security haben bereits einige Artefakte des Angriffs wiederhergestellt, um den Machenschaften des EvilProxy-Phishing-Dienstes auf die Schliche zu kommen. Doch leider scheint das nur die Spitze des Eisbergs zu sein. Bereits im August 2023 hat Proofpoint vor einer weiteren EvilProxy-Kampagne gewarnt, bei der satte 120.000 Phishing-E-Mails an Hunderte von Organisationen verschickt wurden. Da scheint wohl jemand besonders motiviert zu sein.<\/p>\n
Und als w\u00e4re das noch nicht genug, nehmen die Phisher vermehrt Reverse-Proxy-Kits f\u00fcr ihre sch\u00e4ndlichen Machenschaften in Anspruch. Die Kombination mit offenen Weiterleitungen von Indeed erh\u00f6ht den Erfolg der Kampagnen zus\u00e4tzlich. Da kann man sich schon mal die Frage stellen, ob man \u00fcberhaupt noch bedenkenlos auf einen Job-Link klicken kann, ohne direkt in die F\u00e4nge fieser Phisher zu geraten.<\/p>\n
Doch bevor wir jetzt alle in Panik ausbrechen, gibt es auch gute Nachrichten. Indeed.com hat sich zu Wort gemeldet und betont, dass keine Benutzerdaten in die H\u00e4nde der B\u00f6sewichte gefallen sind. Sie haben die Sicherheitsl\u00fccke schnell behoben und arbeiten daran, ein erneutes Auftreten zu verhindern. Ein Hoch auf die flei\u00dfigen Engineering-Teams!<\/p>\n
Bis dahin hei\u00dft es wohl, besonders wachsam zu sein und jeden Job-Link mit Vorsicht zu genie\u00dfen. Denn wer wei\u00df, ob hinter dem vermeintlichen Traumjob nicht doch nur ein b\u00f6ser Phisher lauert, der darauf wartet, uns in die Falle zu locken. In diesem Sinne: Augen auf und immer sch\u00f6n misstrauisch bleiben!<\/p>\n
Schlagw\u00f6rter: PhishingKampagne + Microsoft 365Konten + EvilProxyPhishingDienst<\/p>\n","protected":false},"excerpt":{"rendered":"
In den unendlichen Weiten des Internets lauern sie \u2013 die fiesen Phisher, immer auf der Suche nach neuen Wegen, um ahnungslose Opfer hereinzulegen. Dieses Mal haben sie es auf die Microsoft 365-Konten von Top-Managern in amerikanischen Organisationen abgesehen. Und um ihre b\u00f6sen Absichten zu verbergen, haben sie sich eine besonders...<\/p>\n","protected":false},"author":4,"featured_media":153,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-154","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/154","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=154"}],"version-history":[{"count":1,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/154\/revisions"}],"predecessor-version":[{"id":246,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/154\/revisions\/246"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/153"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=154"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=154"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=154"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}