Untersuchungen von Akamai ergaben, dass ein Bedrohungsakteur WordPress-Sites hackt, um einen neuartigen PayPal-Phishing-Betrug auszuführen.
Einen ausgefeilten, neuen PayPal-Phishing-Betrug entdeckten aktuell Sicherheitsforscher von Akamai. Im Rahmen diesen Angriffs verschaffen sich Hacker in einem ersten Schritt Zugriff zu WordPress Seiten. Durch Injektion mit einem Phishing-Kit landen Kunden, die per PayPal zahlen möchten, statt auf der korrekten PayPal-Login-Site auf einer gefälschten Seite. Einzugeben sind dort eine große Menge persönlicher Daten, darunter behördliche Ausweisdokumente und Fotos. Bei Erfolg wären die Angreifer im Namen der Opfer in der Lage, von Identitätsdiebstahl bis Geldwäsche, so ziemlich alles durchzuführen.
Verletzung von WordPress-Sites mit schwachem Login durch Brute-Force
Sowohl zahlreiche Privatpersonen, als auch Unternehmen setzen auf PayPal als Online-Zahlungslösung auf ihren WordPress-Sites. Für den Angriff nutzen Hacker einen Brute-Force-Angriff darauf. Also eine Methode, die versucht Passwörter oder Schlüssel durch automatisiertes, wahlloses Ausprobieren solange herauszufinden, bis ein Erfolg eintritt. Nach der Kompromittierung installieren die Angreifer ein Dateiverwaltungs-Plug-in, das dann zum Hochladen ihres Phishing-Kits verwendet wird. Dies verwandelt die Website effektiv in ein Tool zum Sammeln von Informationen.
Opfern wird Sicherheit suggeriert
Kunden, die auf einer solchen Website per PayPal bezahlen wollen, müssen dann zuerst ein Captcha eingeben. Danach fordert man sie auf, ihre Login-Daten, also ihre E-Mail-Adresse nebst Passwort, einzugeben. Allerdings begnügen sich die Hacker hier nicht mit diesen bisher erlangten Angaben. Der Betrug endet folglich nicht an dieser Stelle.
Im nächsten Schritt versuchen die Hacker, Vertrauen aufzubauen. Mit einem eingestreuten Hinweis machen sie auf ungewöhnliche Aktivitäten aufmerksam. Darum fordern sie die User auf, bestimmte Sicherheitskontrollen zusätzlich zu passieren. Man vermittelt den Opfern so das Gefühl, sich in einem legitimen Szenario zu befinden.
PayPal-Phishing-Kit führt zum vollständigen ID-Diebstahl
Danach ist für die Betrüger der Weg frei zu einer schamlosen Abfrage persönlicher Daten. Infolge fordert man den Kunden auf, ihre Kreditkarteninformationen, Sozialversicherungsnummern, die vollständige Wohnadresse, amtliche Ausweise (wie Pässe und Führerscheine) und sogar ein Foto von sich anzugeben. Unter dem Vorwand des Konto-Schutzes verlangen die Betrüger dann auch noch, einen externen E-Mail-Account zu verknüpfen. Damit gibt das Opfer praktisch seine komplette Identität preis. Auch eine Konteneröffnung mit den abgegriffenen Daten wäre den Betrügern nun möglich.
Um eine Erkennung zu vermeiden, ist das Phishing-Kit so konzipiert, dass es die IP-Adressen der Besucher mit Querverweisen zu bestimmten Domains verknüpft, um sicherzustellen, dass sie nicht von Cybersicherheitsfirmen stammen.
PayPal-Hacker sind auf Honeypot von Akamai hereingefallen
In dem Blogbeitrag enthüllen die Sicherheitsforscher von Akamai, dass sie das Phishing-Kit zum ersten Mal bemerkten, nachdem es auf einem ihrer WordPress-Honeypots aufgetaucht war. Die Forscher wollten ihren extra eingerichteten Honeypot dazu verwenden, um Hacking und andere böswillige Aktivitäten zu untersuchen.
In einem Fazit geben die Sicherheitsforscher von Akamai an:
„Betrachtet man dieses Kit aus der Perspektive eines Außenstehenden, mag es offensichtlich erscheinen, dass es nicht legitim ist. Wenn Sie in letzter Zeit auf der Website von PayPal waren, wissen Sie, dass dies keine echte Seite ist: PayPal verlinkt direkt sowohl zu Kreditkarten- als auch zu Bankinformationen, erlaubt ein einmaliges Passwort für die Anmeldung und würde niemals nach Ihrer Geldautomaten-PIN fragen . Das Social-Engineering-Element macht dieses Kit jedoch erfolgreich.
Heutzutage beurteilen Menschen Marken und Unternehmen nach ihren Sicherheitsmaßnahmen. Es ist nicht nur üblich, Ihre Identität auf vielfältige Weise zu überprüfen, sondern es ist auch eine Erwartung, wenn Sie sich auf Websites mit hochsensiblen Informationen anmelden, wie z. B. Finanz- oder Gesundheitsunternehmen.“
„Mit fortschreitenden Sicherheitsmaßnahmen stellen sich auch die Angreifer darauf ein. Ebenso wie die Menge an persönlichen Informationen, die sie sammeln können. Mit immer mehr Berichterstattung über Sicherheit in den Medien und am Arbeitsplatz sind sich die Menschen bewusster als je zuvor, was den Einsatz für Kriminelle, die nach irgendeiner Art von Belohnung suchen, erhöht.“