Phishing: neue Angriffs-Methode kombiniert Fax und Captcha

Phishing: neue Angriffs-Methode kombiniert Fax und Captcha

Der Sicherheitsanbieter Avanan ist aktuell auf eine neue Phishing-Methode gestoßen, einer Kombination gefaxter und gemailter PDFs mit Captcha

Das Sicherheitsunternehmen Avanan veröffentlichte am Donnerstag seine neueste Analyse einer Phishing-Technik. Der Angriff basiert auf einer Kombination, von Fax kopierten und per E-Mail verschickten PDF-Dateien, mit einem Captcha. Diese Methode baut auf die Vertrautheit der User mit Captcha-Lösungen, um wirksam zu täuschen. Betrüger zielen darauf ab, sensible Daten abzugreifen.

Während wohl die meisten User denken, sichere E-Mail-Gateways (SEGs) würden verhindern, dass Phishing-E-Mails die Posteingänge der Benutzer erreichen, passen sich indessen Bedrohungsakteure schnell an und ändern ihre Taktiken. Sogar den Sicherheitsteams sind sie dabei oftmals einen Schritt voraus. Sie starten zunehmend ausgeklügeltere Angriffe und optimieren ihre Nachrichten, um Phishing-E-Mails dennoch in Posteingänge zu schleusen.

phishing

Sicherheitsunternehmen Avanan deckt neue Phishing-Methode auf

Avanan, die einen KI-basierten Schutz-Dienst anbieten, hält für di eneue Methode ein Beispiel bereit. Das Unternehmen klärt darüber auf, dass die Opfer, sobald sie das beigefügte Dokument öffnen, ein Link auf eine Seite weiterleitet, die Googles reCaptcha verwendet. Sobald sie das Rätsel lösen, wartet eine Seite, die sich als OneDrive-Cloudspeicherdienst ausgibt, mit einer Eingabe von Anmeldeinformationen für das Microsoft-Kontos auf. Die eingegebenen Daten gehen sofort an Betrüger, die sie für ihre Zwecke ausnutzen.

Windows Error Reporting

In der Regel sollte das Sicherheitssystem PDF-Dateien mit Links auf fragwürdige Websites sofort als Phishing-Angriff erkennen und aussortieren. Da sich der OneDrive-Klon hier jedoch hinter einem nicht aufgelösten Captcha verbirgt, ist der böswillige Zweck nicht klar – und Google wird allgemein vertraut. Unsichere Inhalte verbergen Betrüger so vor automatisierten Scans.

Ein automatisierter Scanner müsste die URL aus dem PDF herausfiltern, abrufen und dann das Captcha lösen, um weiterzukommen, stößt aber genau da an seine Grenzen. User hingegen sind Captcha-Abfragen gewohnt und vergessen aufgrund dieser Routine und ihrer Vertrautheit mit dem Google-Dienst möglicherweise, sich die URL genauer anzusehen.

Captchas sind den meisten Internetnutzern als Herausforderungen bekannt, mit denen bestätigt wird, dass sie ein Mensch sind. Bei den Turing-Test-Rätseln geht es normalerweise darum, alle Fotos in einem Raster anzuklicken, die ein bestimmtes Objekt enthalten, oder ein Wort einzugeben, das als verschwommener oder verzerrter Text dargestellt wird. Die Idee dahinter ist, Bots auf E-Commerce- und Online-Account-Sites auszusortieren. Hier hingegen erfüllen sie ihren Zweck für Betrüger.

Phishing

Angriffs-Methode nicht auf den ersten Blick als Phishing erkennbar

Bereits ab Februar beobachteten die Forscher von Avanan die Technik in Verbindung mit einer kompromittierten Domain einer Universität. Betrüger schlagen somit aus dieser vertrauenswürdigen Domain Kapital in Form von Anmeldeinformationen.

Laut Jeremy Fuchs, einem Cybersicherheitsanalysten bei Avanan, erhielten die Opfer von der kompromittierten Universitätsdomain eine E-Mail. Die darin enthaltene, angehängte PDF-Datei gab vor, ein Faxdokument zu sein. Fuchs warnt in einer Recherche:

„Für den Endbenutzer erscheint dies nicht wie Phishing, sondern eher wie ein Ärgernis. Wenn man bedenkt, wie oft der durchschnittliche Benutzer eine Captcha-Aufforderung ausfüllt, ist das nicht ungewöhnlich. Passwortgeschützte PDF-Dokumente sind es auch nicht. Außerdem wird das PDF auf einer überzeugend gefälschten OneDrive-Seite gehostet, was einen weiteren legitimen Anstrich verleiht.“

Befolgung von Layer-8-Maßnahmen sind hier zielführend

Fuchs rät, übliche Layer-8-Maßnahmen zu befolgen. Demgemäß solle man mit Captcha-Formularen verknüpfte URLs mehr Aufmerksamkeit schenken. Des Weiteren sollte man sich erkundigen, ob die angehängten PDF-Dateien passwortgeschützt sind. Ferner ist angeraten, nach potenziellen Warnsignalen, wie vermeintlichen Faxanhängen suchen, die von Personen stammen, die bekanntermaßen von zu Hause aus arbeiten.

Tarnkappe.info

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.