Phishing-Technik setzt auf legitim aussehende Domänen

Originalartikel von Paul Miguel Babon

Die E-Mail-Bedrohungen nehmen weiterhin zu, und zugleich steigt auch die Zahl der Phishing URLs. Damit haben sich leider die Warnungen von Trend Micro zur Jahresmitte 2020 auch für die zweite Hälfte bestätigt. Kürzlich entdeckten die Sicherheitsforscher eine Phishing-Technik, die eine Kombination aus Phishing-Mail und betrügerischen Seiten nutzt. Die Kombination beinhaltet eine genaue URL, nämlich die Phishing-Seite, und deren Domäne, eine Scam-Website.

Der Prozess startet mit einer Phishing-Mail:

Bild 1. Die eingesetzte Phishing E-Mail

Ein Klick auf „Release All/Block All“ führt den Nutzer auf eine völlig andere Website, die in keiner Beziehung zur E-Mail steht und ein gefälschtes Login-Fenster für ein Mail-System zeigt. Dies ist zwar eine übliche Taktik bei Phishing, doch den Unterschied macht aus, dass die Domäne selbst zugänglich ist und eine Unternehmensseite darstellt.

Bild 2. Die wiseinvestors[.]pro-Unternehmensseite

Mithilfe folgender Faktoren konnten die Sicherheitsforscher erkennen, dass es sich um eine gefälschte Firma handelt:

    • Domänenname. Der Domänenname „WiseInvestors“ unterscheidet sich von dem Markennamen der Firma auf dem Bildschirm, der „Pearl“ lautet. Der Grund: Pearl ist ein WordPress Theme und kein legitimer Service.
    • Ungewöhnliche TLD (Top Level Domain). Die Verwendung von .pro ist unüblich für eine TLD. Anders als .com, .net oder .ph sind nicht übliche TLDs normalerweise billig zu haben, und daher für Cyberkriminelle attraktiv.
    • Template-Text. Reste von Template-Text, ähnlich dem „Lorem Ipsum“-Wortblock, sind auf der Website noch vorhanden (siehe Bild 3).
    • Domänenregistrierung. Laut „whois“ ist die Domäne weniger als ein Jahr alt, was dem Alter der meisten bösartigen Domänen entspricht.

Bild 3. Der Text der Website wirkt unfertig

Bild 4. Whois-Daten zu wiseinvestors[.]pro

Cyberkriminelle können mit dieser Phishing-Technik eine Erkennung in Echtzeit vermeiden, da die Domain weiter untersucht werden muss, was Anti-Spam und Funktionen gängiger Sicherheitssoftware zum Blockieren bösartiger URLs übersehen können. Selbst wenn die Phishing-Mail vereitelt wird, bleibt die Phishing-Domain unentdeckt, sodass Cyberkriminelle weitere Phishing-URLs erstellen können, die auf dieser Domain gehostet werden. Es gab in den vergangenen Monaten auch weitere Beispiele dieser kombinierten Phishing-/Scam-Technik, so etwa folgende:

Bild 5. Gefälschte Benachrichtigung über das E-Mail-Konto-Passwort dient als Phishing-Mail. Wenn das Opfer auf „Passwort behalten“ klickt, wird es auf eine andere Seite umgeleitet.

Empfehlungen

Nutzer können solche Angriffe vermeiden, indem sie ein paar Best Practices befolgen, bevor sie auf einen Link in einer E-Mail klicken:

  • Überprüfen Sie den Inhalt der E-Mail genau. Untersuchen Sie, ob die Informationen, wie z. B. die E-Mail-Adresse, der Nachrichtentext oder die Links, wirklich konsistent sind.
  • Wenn Sie auf den Link aus einer E-Mail klicken, prüfen Sie die Website. Auch wenn sie scheinbar nicht bösartige Inhalte auf ihrer Startseite anzeigt, bedeutet das nicht, dass die Website nicht bösartig ist. Verräterische Zeichen sind Template-Texte innerhalb der Website.
  • Wenn Sie etwas auf Ihrem Arbeitscomputer finden, alarmieren Sie sofort Ihre Sicherheits- und IT-Abteilung, damit diese weitere Untersuchungen vornehmen kann.

Befolgen Unternehmen die folgenden Security Best Practices können sie ähnliche erfolgreiche Phishing-Kampagnen verhindern:

Ein mehrschichtiger Security-Ansatz empfiehlt sich zum Schutz aller möglicher Bedrohungseintrittspunkte. Lösungen wie Trend Micro™ Email Security, die fortschrittliches Machine Learning und dynamische Sandbox-Analysen verwenden, können dazu beitragen, E-Mail-Bedrohungen zu stoppen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.