Cyberbedrohungen
Bedrohungen zielen auf Email- und Video App-Nutzer
Trend Micro Cloud App Security zeigt eine Zunahme bei Phishing-Angriffen auf Remote Worker
Einsichten und Analyse von Paul Christian Pajares
Es gibt bereits mehrere Bedrohungen, die Tools missbrauchen, die in Home Office-Umgebungen eingesetzt werden. Cyberkriminelle nutzen etwa Credential Phishing-Websites, um Benutzer dazu zu verleiten, ihre Credentials in gefälschte Anmeldeseiten von Email- und Collaboration-Plattformen oder Videokonferenzanwendungen einzugeben. Diese Bedrohungen sind nicht neu, aber der Bedarf an besseren Lösungen steigt derzeit aufgrund der Erfahrungen und der aktuellen Situation. Der 2019 Cloud App Security Report von Trend Micro nennt für 2019 einen Anstieg von 35% bei Credential Phishing-Angriffen mit unbekannten Phishing Links im Vergleich zu 2018. Dies lässt sich als Hinweis darauf interpretieren, dass Bedrohungsakteure ständig neue Phishing-Links produzieren, um der Erkennung durch Sicherheitssoftware zu entgehen.
Credential Phishing-Angriffe, die von Trend Micro™ Cloud App Security™ entdeckt und geblockt wurden, nahmen ebenfalls um 59% zu — von 1,5 Millionen in der zweiten Jahreshälfte 2018 auf 2,4 Millionen in der ersten Jahreshälfte 2019. Die Sicherheitsforscher analysierten einige der Tools, die viele Unternehmen für Home Office-Umgebungen verwenden: Outlook im Web (früher bekannt als Outlook Web Access) und andere Office 365-Anwendungen wie SharePoint sowie die Videokonferenzanwendungen WebEx und Zoom.
Phishing-Kampagnen mit Outlook im Web und Office 365 als Köder
Credential Phishing, das sich dieser Köder bedient, traf mehrere Länder. Daten aus dem Smart Protection Network von Trend Micro weisen von Januar 2020 bis zum 27. April über 50.000 Phishing-Erkennungen aus, wobei die Bedrohungen Nutzer in den Vereinigten Staaten, Deutschland, Kanada, Taiwan, Japan, Australien, Hongkong und anderen Ländern betreffen.
Viele Nutzer greifen Online auf Dateien zu und arbeiten über Office 365 zusammen. Cyberkriminelle fälschen damit verbundene Websites und nutzen sie als Köder für Phishing-Kampagnen. Daten aus der Infrastruktur des Trend Micro Smart Protection Networks zufolge hat sich Anzahl der einzigartigen Phishing-Links, die im Zusammenhang mit Office 365 im Jahr 2019 geblockt wurden, im Vergleich zu 2018 mehr als verdoppelt. Außerdem zielten diese Bedrohungen nicht nur auf Benutzer, sondern auch auf diejenigen, die über Admin-Konten verfügen.
Phishing-Kampagnen und andere Bedrohungen mit WebEx und Zoom als Köder
Bedrohungsakteure setzen Phishing-Kampagnen auf, die Videokonferenz-Apps wie WebEx und Zoom als Köder verwenden. Zudem missbrauchen auch andere Bedrohungen wie Adware, Cryptocurrency Miners und sonstige Malware sowie Betrugsversuche diese Apps als Köder. Daten aus dem Trend Micro Smart Protection Network ergaben zwischen Januar und dem 27. April 2020 schätzungsweise 4.000 Erkennungen von Bedrohungen, die auf Zoom- und WebEx-Benutzer abzielen.
Home Office-Setups setzen Videokonferenzen für die Kommunikation ein, und Cyberkriminelle machen sich dies zunutze, indem sie versuchen, sich über Phishing-Seiten Zugangsdaten zu beschaffen. Andere Bedrohungen, die diese Anwendungen als Köder benutzen, sind bösartige Domänen und gefälschte Anwendungen.
Bedrohungsakteure kompromittieren entweder legitime Websites oder erstellen bösartige Domänen, um Phishing-Seiten zu hosten. Die Sicherheitsforscher von Trend Micro verfolgten die IP-Hosting-Standorte der Quellen dieser Domänen zurück und stellten fest, dass die Vereinigten Staaten mit 833 die höchste einzigartige IP-Zahl aufweisen. Weit abgeschlagen liegen die Niederlande mit 78 und Deutschland mit 44.
Empfehlungen
Eine der Möglichkeiten, über die Cyberkriminelle Credential Phishing-Seiten verbreiten, ist Email. Nachfolgend einige bewährte Methoden zur Abwehr dieser Bedrohung:
- Niemals Links in Emails anklicken, die aus nicht vertrauenswürdigen Quellen stammen.
- Prüfen der in Emails eingebetteten URLs, indem der Mauszeiger darüber geführt wird. Es könnte sich zeigen, dass es sich um eine andere als die sichtbare URL handelt.
- Auf grammatische und Rechtschreibfehler prüfen, ein häufiges Zeichen dafür, dass die Mail keine vertrauenswürdige Quelle hat.
- Selbst wenn eine Seite wie eine legitime Anmeldeseite aussieht, sollte die URL geprüft werden, um ihre Legitimität zu bestätigen.
- Sensible persönliche Informationen auf keinen Fall Online teilen.
Auch ist der Einsatz von Sicherheitslösungen für Email und Collaboration als Schutz vor Credential Phishing sehr zu empfehlen.
Indicators of Compromise für Angriffe mit Office 365, WebEx, Zoom und Outlook über das Web beinhaltet der Originalbeitrag.