Neue Mail Phishing-Masche nutzt die nahende DSGVO

Originalbeitrag von Jindrich Karasek

Die in Kürze in Kraft tretende europäische Datenschutz-Grundverordnung (DSGVO) und auch die neuerlichen Datendiebstähle sowie Eingriffe in die Privatsphäre von Nutzern haben bei Unternehmen eine Änderung im Umgang mit den User-Daten angestoßen. Gerade in diesen Tagen versenden viele Organisationen Mails, um von ihren Nutzern ein Update der Profile zu fordern oder sie zu strengerer Sicherheit zu ermahnen. Diese Mails von unterschiedlichen Unternehmen sehen alle gleich aus, enthalten eine Standardanrede und –nachricht, die die Gründe für die erforderlichen Updates der Policy erklärt, und schließlich einen deutlich sichtbaren Button zum Anklicken. Es war nur eine Frage der Zeit, bis böswillige Akteure sich diese Art von Mails zunutze machen, um Links zu Phishing-Seiten an User zu verschicken. Sie beherrschen es auch ziemlich gut, große Unternehmen nachzuahmen, um als legitime Aufforderung durchzugehen. Email Phishing ist immer noch sehr erfolgreich, und die Akteure kommen so an persönliche Daten heran, an Finanzkontoinformationen, vertrauliche Unternehmensdaten oder gar den Zugang zum Netzwerk des Opfers.

Am 30. April entdeckten die Sicherheitsforscher einen neuen Apple-ID Phishing-Betrug, der die bekannte Social Engineering-Taktik einsetzt — die Drohung, einen Dienst einzustellen, wenn das Opfer nicht bestimmte persönliche Daten wie Apple ID und Passwort angibt. Die zugehörige Website ist inzwischen offline.

Analyse der Phishing Taktik

Die Phishing-Mail sah wie eine legitime Mail von Apple aus und informierte den Empfänger, dass sein Konto wegen ungewöhnlicher Aktivitäten eingeschränkt wurde. Deshalb sollte er seine Zahlungsinformationen über den angegebenen Link erneuern. Die Mail schien verdächtig, weil sie an einen Empfänger ging, der keine Apple-Produkte einsetzte. Zudem scheint es nicht logisch, dass ungewöhnliche Aktivitäten durch Erneuerung von Zahlungsinfos abgestellt würden. Es zeigte sich, dass der angegebene Button auf eine Site führte, die keinen Bezug zum Apple-Domänennamen hatte.

Bild 1. eine legitim aussehende Phishing Mail, deren Absender nicht Apple ist

Die Site, auf die der Button führte, war mit dem Advanced Encryption Standard (AES) verschlüsselt, um Reputations Crawler und andere Sicherheitsmechanismen zu täuschen. Technische Einzelheiten liefert der Originalbeitrag.

Aufgrund der Daten aus dem Trend Micro ™ Smart Protection Network™ konnten die am meisten betroffenen Länder ermittelt werden:

Bild 2. vom Phishing-Betrug betroffenen Länder

Gegenmaßnahmen und Lösungen

Awareness und die geeignete Schulung zum Thema Phishing- und Social Engineering-Angriffe sind die besten Möglichkeiten, sich vor dieser Art von Bedrohung zu schützen. Im Allgemeinen weisen Phishing-Mails folgende Charakteristiken auf, die Verdacht erregen:

  • Die URL steht nicht in Bezug zu der in der Nachricht erwähnten Organisation,
  • sie fordern vertrauliche Informationen wie Kreditkartennummern und Kennwörter,
  • es gibt Schreib- und Grammatikfehler,
  • sie drängen zur Eile, drohen mit dem Löschen von Konten oder dem Einstellen eines Dienstes,
  • der Stil der Nachricht ist steif oder passt nicht zum Kommunikationsstil der sendenden Person oder Organisation,
  • es gibt unbekannte Personen in der CC-Liste.

Auch sollten Nutzer bei Links zu Apple ID Login, Google Login-Seiten, PayPal, sozialen Netzwerken oder anderen kritischen Seiten hellhörig werden. Auch andere bösartige Links oder Anhänge könnten dabei sein, sodass das Scanning von Anhängen ein Muss ist. Zudem sollten Nutzer die Dringlichkeit der verlangten Informationen prüfen.

Trend Micro™ InterScan™ Messaging Security kann Mailbedrohungen in der Cloud stoppen, Daten mithilfe von Data Loss Prevention schützen und verschlüsseln sowie gezielte Mailangriffe, Ransomware sowie APTs abwehren als Teil der Trend Micro Network Defense-Lösung. Die verbesserte Web Reputation blockt Mails mit bösartigen URLs in der Nachricht oder in Anhängen und wird durch das Trend Micro™ Smart Protection Network™ unterstützt.

Trend Micro™ Maximum Security bietet Schutz für mehrere Geräte und vor Ransomware, Blocken bösartiger Links in Mails und Instant Messaging. Auch sind Spam-Filter und Anti-Phishing-Fähigkeiten vorhanden.

Indicator of Compromise

Bösartige Mails:

  • base@aso-ler.rs
  • webmaster@magicdream.in.ua
  • from@noname.com

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.