Wie Phishing-Betrüger Office 365 nutzen, um Versicherungsunternehmen anzugreifen

Nachrichten

Unsere Sicherheitsanalysten bei PowerDMARC haben eine neue Welle von Phishing-E-Mails entdeckt, die auf führende Versicherungsunternehmen im Nahen Osten abzielen.

von Ahona Rudra

Lesezeit: 4 min
Wie Phishing-Betrüger Office 365 nutzen, um Versicherungsunternehmen anzugreifen
Inhaltsverzeichnis-

E-Mails sind für Cyberkriminelle oft die erste Wahl, wenn sie einen Angriff starten, weil sie so leicht auszunutzen sind. Im Gegensatz zu Brute-Force-Angriffen, die viel Rechenleistung erfordern, oder ausgefeilteren Methoden, die ein hohes Maß an Geschicklichkeit voraussetzen, kann Domain-Spoofing so einfach sein wie das Schreiben einer E-Mail, die vorgibt, jemand anderes zu sein. In vielen Fällen handelt es sich bei dieser "anderen Person" um eine große Software-Serviceplattform, auf die sich die Menschen bei der Ausübung ihrer Arbeit verlassen.

Genau das geschah zwischen dem 15. und 30. April 2020, als unsere Sicherheitsanalysten von PowerDMARC eine neue Welle von Phishing-E-Mails entdeckten, die auf führende Versicherungsunternehmen im Nahen Osten abzielten. Dieser Angriff war nur einer von vielen anderen, die in der jüngsten Zeit während der Covid-19-Krise vermehrt auftraten. Bereits im Februar 2020 ging ein anderer großer Phishing-Betrug so weit, dass er sich als Weltgesundheitsorganisation ausgab und E-Mails an Tausende von Menschen mit der Bitte um Spenden für die Coronavirus-Hilfe verschickte.

 

Wichtigste Erkenntnisse

  1. E-Mail-Spoofing ist eine leicht auszunutzende Methode für Cyberkriminelle, die oft auf vertrauenswürdige Organisationen abzielt.
  2. In jüngster Zeit haben sich Phishing-Angriffe als seriöse Dienste ausgegeben und das Vertrauen der Nutzer in diese Plattformen ausgenutzt.
  3. Phishing-E-Mails können routinemäßig und legitim erscheinen, so dass es für die Benutzer schwierig ist, sie als Betrug zu erkennen.
  4. Domänenbasierte Authentifizierungsmechanismen wie DMARC sind für den Schutz vor E-Mail-Spoofing und Phishing-Angriffen unerlässlich.
  5. Unternehmen müssen der E-Mail-Sicherheit Priorität einräumen, um das Vertrauen zu erhalten und ihren Ruf vor Cyber-Bedrohungen zu schützen.

In dieser jüngsten Serie von Vorfällen erhielten Benutzer des Office 365-Dienstes von Microsoft scheinbar routinemäßige Update-E-Mails zum Status ihrer Benutzerkonten. Diese E-Mails kamen von den Domänen der jeweiligen Unternehmen und forderten die Benutzer auf, ihre Kennwörter zurückzusetzen oder auf Links zu klicken, um ausstehende Benachrichtigungen anzuzeigen.

Wir haben eine Liste mit einigen der E-Mail-Titel zusammengestellt, die nach unserer Beobachtung verwendet wurden:

  • Ungewöhnliche Anmeldeaktivität bei Microsoft-Konto
  • Sie haben (3) Nachrichten auf Ihrem e-Mail [email protected]* Portal zur Zustellung anstehen!
  • user@domain Sie haben ausstehende Microsoft Office UNSYNC-Meldungen
  • Reaktivierungs-Sammelbenachrichtigung für [email protected]

Vereinfachen Sie die Sicherheit mit PowerDMARC!

15-Tage-TestDemo buchen

*Kontodaten zum Schutz der Privatsphäre der Benutzer geändert

Sie können sich auch ein Beispiel für einen Mail-Header ansehen, der in einer gefälschten E-Mail an ein Versicherungsunternehmen verwendet wurde:

Empfangen: von [malicious_ip] (helo= bösartige_domain)

id 1jK7RC-000uju-6x

für [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signatur: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Empfangen: von [xxxx] (port=58502 helo=xxxxx)

von bösartige_domäne mit esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

Von: "Microsoft Account Team" 

An: [email protected]

Betreff: Microsoft Office-Benachrichtigung für [email protected] am 4/1/2020 23:46

Datum: 2 Apr 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Inhalt-Typ: text/html;

charset="utf-8″

Inhalt-Transfer-Encoding: quoted-printable

X-AntiAbuse: Dieser Header wurde hinzugefügt, um Missbrauch zu verfolgen, bitte fügen Sie ihn jedem Missbrauchsbericht bei

X-AntiAbuse: Primärer Hostname - bösartige_domain

X-AntiAbuse: Original Domain - domain.com

X-AntiAbuse: Absender/Anrufer UID/GID - [47 12] / [47 12]

X-AntiAbuse: Absender Adresse Domäne - domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: admin@malicious_domain

X-Authentifizierter Absender: malicious_domain: admin@malicious_domain

X-Quelle: 

X-Quelle-Args: 

X-Source-Dir: 

Received-SPF: fail ( Domain von domain.com benennt nicht bösartige_ip_Adresse als erlaubten Absender) client-ip= malicious_ip_address ; envelope-from=[email protected]; helo=bösartige_domain;

X-SPF-Result: Domain von domain.com benennt nicht bösartige_IP_Adresse als erlaubten Absender

X-Absender-Warnung: Reverse-DNS-Lookup fehlgeschlagen für bösartige_ip_Adresse (fehlgeschlagen)

X-DKIM-Status: keine / / domain.de / / /

X-DKIM-Status: pass / / bösartige_domain / bösartige_domain / / Standard

 

Unser Security Operation Center verfolgte die E-Mail-Links zu Phishing-URLs, die auf Microsoft Office 365-Benutzer abzielten. Die URLs leiteten zu kompromittierten Websites an verschiedenen Standorten auf der ganzen Welt um.

Wenn man sich diese E-Mail-Titel ansieht, ist es unmöglich zu erkennen, dass sie von jemandem gesendet wurden, der die Domäne Ihres Unternehmens gefälscht hat. Wir sind an einen ständigen Strom von arbeitsoder kontobezogenen E-Mails gewöhnt, die uns auffordern, uns bei verschiedenen Online-Diensten wie Office 365 anzumelden. Domain-Spoofing macht sich das zunutze, indem es gefälschte, bösartige E-Mails ununterscheidbar von echten E-Mails macht. Es gibt praktisch keine Möglichkeit, ohne eine gründliche Analyse der E-Mail zu erkennen, ob sie von einer vertrauenswürdigen Quelle stammt. Und bei Dutzenden von E-Mails, die täglich eingehen, hat niemand die Zeit, jede einzelne sorgfältig zu prüfen. Die einzige Lösung wäre der Einsatz eines Authentifizierungsmechanismus, der alle E-Mails, die von Ihrer Domain aus gesendet werden, überprüft und nur diejenigen blockiert, die von jemandem gesendet wurden, der sie unberechtigt verschickt hat.

Dieser Authentifizierungsmechanismus heißt DMARC. Und als einer der weltweit führenden Anbieter von E-Mail-Sicherheitslösungen haben wir von PowerDMARC es uns zur Aufgabe gemacht, Ihnen die Bedeutung des Schutzes der Domain Ihres Unternehmens näher zu bringen. Nicht nur für Sie selbst, sondern für alle, die sich darauf verlassen, dass Sie ihnen sichere und zuverlässige E-Mails in ihrem Posteingang zukommen lassen - und zwar jedes Mal.

Über die Risiken des Spoofing können Sie hier lesen: https://powerdmarc.com/stop-email-spoofing/

Erfahren Sie hier, wie Sie Ihre Domain vor Spoofing schützen und Ihre Marke stärken können: https://powerdmarc.com/what-is-dmarc/

Neueste Beiträge von Ahona Rudra (alle anzeigen)
PowerDMARC kooperiert mit CyberSecOn, startet neue Aktivitäten in Australien, New...cyberseconAli SaqibPowerDMARC begrüßt Dr. Saqib Ali als neues Beiratsmitglied