Suchen
Company Topimage

exploqii GmbH – a KnowBe4 company

http://www.knowbe4.de/
Firma bearbeiten

03.04.2020

Wie Cyberkriminelle File-Sharing-Dienste für Phishing-Attacken einsetzen

Autor: Eric Howes, Principal Lab Researcher bei KnowBe4

Böswillige Akteure nutzen seit langem File-Sharing-Sites und -Dienste, um ihre bösartigen Dateien zu speichern und zu verteilen. Wenn sie dies tun, verwenden sie in der Regel einen grundlegenden Dienst, um Download-Links zu generieren, auf die jeder klicken kann, ohne sich beim Hosting-Dienst anzumelden. Cyberkriminelle entwerfen außerdem ihre eigenen E-Mails. Dies reduziert die Wahrscheinlichkeit, dass der genutzte Dienst einen Fehler erkennt (z.B. Massenspamfluten) und bietet mehr Flexibilität, um den Social Engineering Hook im Nachrichtentext anzupassen. WeTransfer, Dropbox, Google Drive, etc. sind Hosting-Dienste, die bösartige Dateien herausziehen und die Links dadurch kaputt machen.

 

Die weniger fleißigen unter den Cyberkriminellen versuchen natürlich gar nicht erst, ihre bösartigen Dateien über legitime Online-Dienste zu hosten und zu verteilen. Sie fälschen einfach Dienste wie Dropbox und Docusign in Phishing-E-Mails. Einige dieser E-Mails sind geschickter gestaltet als andere. Selbst wenn sie gut gemacht werden, sind solche Phishing-E-Mails jedoch vergleichsweise leicht zu erkennen, da die eingebetteten Links nicht auf Dropbox oder Docusign verweisen.

 

Hier ist ein Beispiel für eine gefälschte Dropbox-Phishing-E-Mail:

 

Der Link in dieser bösartigen E-Mail führt zu einer gefälschten Dropbox-Downloadseite:

 

Schlimmer noch, die Bösewichte vermasseln oft das Format der E-Mail, gelegentlich sogar mit falschen Firmenlogos - z.B. Google-, Adobe- oder Microsoft-Logos in gefälschte Dropbox-E-Mails, wie in dem Beispiel oben.

 

Beispiele für Phishing mit File-Sharing-Services

Im Laufe des letzten Monats wurden scheinbar legitime Dropbox-E-Mails bemerkt. Sie enthielten Links zu Dateien und hatten verdächtig ähnlich klingende Namen wie die, die von den Cyberkriminellen routinemäßig verwendet werden. Wenn jedoch ein Nutzer auf die Links klickt, um sie zu überprüfen, kam die Aufforderung sich bei dem Dienst anzumelden. Das war in der Regel ein Zeichen dafür, dass die betroffenen Dateien legal waren.

 

Trotzdem war hier etwas nicht in Ordnung. Angesichts der präsentierten Dateinamen war es ausgeschlossen, dass diese Dateien harmlos waren. Also wurde entschieden, eine Anmeldung bei Dropbox durchzuführen und zu überprüfen, ob diese Vermutung richtig war. Dabei wurden dann sieben Dropbox-E-Mails entdeckt, die alle die gleiche Datei enthielten.

Nach der Anmeldung bei Dropbox, handelte es sich bei der Datei um ein bösartiges PDF, wie es normalerweise als Anhang zu einer Phishing-E-Mails ausgeliefert wird.

 

Der Link in diesem PDF öffnet eine gefälschte Microsoft-Login-Seite, die auf einer eher bösartigen Domain gehostet wird.

 

Aber es gab noch etwas anderes, das durch die Prüfung bemerkt wurde.

 

Eine Mauer der Schande

 

Es war interessant zu sehen, dass dieses bösartige PDF auf Dropbox viele Male versendet wurde. Schauen Sie sich den Abschnitt Kommentare auf der rechten Seite der PDF-Downloadseite an:

 

Dort findet man leichtgläubige Nutzer, die in die Falle getappt sind und ihre E-Mail-Adressen hilfreich zur Verfügung stellen, damit die Angreifer ihnen noch mehr bösartige Dateien schicken können.

 

Die Cyberkriminellen haben hier eine kalkulierte Entscheidung getroffen: Sie verzichten auf öffentlich zugängliche Download-Links; sie verwenden Dropbox selbst, um die Links über offizielle Dropbox-E-Mail-Nachrichten zu versenden und verlangen dann, dass sich die Benutzer bei Dropbox anmelden. Und das alles tun sie von einem Dropbox-Konto aus, das zweifellos gefährlich ist.

 

Dabei haben die Angreifer zweifellos das potenzielle Publikum für ihre bösartigen Dateien eingeschränkt (nicht jeder wird ein Dropbox-Konto haben). Aber sie hatten den Vorteil, dass sie ihre bösartigen Links hinter Dropbox selbst tarnten. Sie versendeten Phishing-E-Mails, die für die Benutzer glaubwürdig erschienen (denn sie stammen von Dropbox selbst), und sie reduzierten die Chancen, dass Link-Checker (die heute in gehosteten Diensten wie Office 365 und Proofpoint weit verbreitet sind, um nur zwei zu nennen) in der Lage sind, die schädlichen Links zu verfolgen und zu identifizieren.

 

Eine Möglichkeit seine Mitarbeiter auf diese Art von E-Mail-Phishing via File-Sharing zu schützen, kann ein kostenloser Phishing-Sicherheitstest sein. Dieser sagt den zuständigen IT-Sicherheitsbeauftragten schnell, wer in ihrem Unternehmen Hilfe im Umgang mit ausgeklügelten Phishing-E-Mails benötigt. Die Testergebnisse geben auch ein umfassenderes Bild von der Anfälligkeit des Unternehmens für Phishing-Angriffe generell und ermöglicht die Einführung eines „New-School Security Awareness Trainings“. Alle Mitarbeiter werden dann geschult und bleiben auf dem Laufenden, wie sie mit den bösartigen E-Mails umgehen sollen, die jeden Tag in ihren Posteingangsordnern landen.

 

Fazit

Cyberkriminelle haben einen anderen Weg gefunden, um ihre Opfer zum „Klick“ zu verführen. Jetzt nutzen sie Seiten wie Dropbox, Google Drive und andere Datei-Hosting-Seiten für ihre bösen Angriffe. Sie legen eine bösartige Datei auf diese Websites, und sie verwenden diese Website, um ihnen eine Einladung zum Anmelden und Öffnen/Klicken auf diese infizierte Datei zu senden. Die Einladungen sehen echt aus, weil sie echt sind. Sie kamen wirklich von dieser Seite und sind identisch mit den normalen Einladungen. Worauf ist also zu achten?

 

  • Die E-Mail lädt ein, eine freigegebene Datei irgendwo in der Cloud zu öffnen, um die der Empfänger nicht gebeten hat.

 

  • E-Mails, die dazu auffordern, dass sich der Empfänger auf einer Website anmeldet, um etwas angeblich Wichtiges anzusehen.

 

Nutzer sollten daran denken, niemals auf Links in E-Mails zu klicken, die von ihnen nicht erwartet oder nicht angefragt wurden. Wenn Nutzer sich dennoch dazu entscheiden, sich bei einer File-Sharing-Site wie Dropbox anzumelden, sollten sie die Adresse in ihren Browser eingeben oder ein Lesezeichen verwenden. Darüber hinaus sollte der Nutzer das Lesezeichen zuvor selbst gesetzt haben.