Zscaler berichtet über groß angelegte Phishing Attacken
Zscaler gehört zu den Marktführern im Segment der Cloud Security. Das firmeneigenen „ThreatLabZ-Team“ beobachtet die Hackerszene, scannt Domains und warnt in regelmäßiger Folge vor Übergriffen durch Cyberkriminelle.Jetzt hat das Unternehmen groß angelegte Angriffe mittels gefälschter Domains enttarnt.
Die Sicherheitsexperten warnen vor Phishing-Angriffen mit „Microsoft Azure Custom“-Domains. Betroffen sind u.a. Outlook und Onedrive. Das Team hat in den vergangenen sechs Wochen rund 2.000 Attacken registriert und einige genauer untersucht. Das Research Team hat zwei Angriffsmodi „zerlegt“ und erklärt die Abläufe genauer, um Domainbetreiber auf verschiedenen Portalen vor den Gefahren durch diese Attacken zu informieren.
Spam- Mails mit unberechtigt genutzten SSL Zertifikaten
In einem der untersuchten Hacks wurde eine Spam Mail identifiziert, die einen geschäftlichen Hintergrund vorgab. In der Mail stand, dass bereits zuvor sieben Mails van den Empfänger versendet wurden, die aber in Quarantäne sind. Deshalb rät der Absender, der Empfänger soll sich auf der Zielseite mit seinem Firmen Account anmelden und bieten gleichzeitig einen Link an. Dieser führt zu einer gefälschten Domain. Um deren angebliche Echtheit zu zeigen, wurden SSL Zertifikate missbraucht und eingefügt. Loggt sich der Nutzer dort ein, werden seine Daten von den Hackern Gestohlen und üblicherweise missbraucht.
Infizierte Anhänge – getarnt als Sprachnachricht
Eine weitere Masche der Hacker ist laut Zscaler der Versand von Spam Mails mit angeblichen Sprachnachrichten, die als HTML Datei versendet werden. Klickt der Empfänger auf den Anhang, erfolgt eine Weiterleitung über Azure auf eine Phishing Domain. Dort werden die Daten über ein Java Script abgefragt und per Code an den Server der Hacker gesendet.
Zscaler hat bei seinen Tests folgende weitere Azure Domains identifiziert : Microsoft Phishing, OneDrive Phishing, Adobe Document Phishing und Blockchain Phishing und die entsprechenden Anbieter informiert. Microsoft hat bereits reagiert und die angegebenen Domains für eigene Überprüfungen kurzzeitig offline gestellt. Die Sicherheitsforscher registrierten eine stärkere Zunahme von Angriffen auf Cloud Plattformen. Deshalb empfehlen sie den besonderen Schutz dieser Domains durch den Einsatz sogenannter „Sandbox“ Funktionen, die vorhandene Sicherheitseinrichtungen wirkungsvoll ergänzen.