Der Sicherheitsanbieter Avanan ist aktuell auf eine neue Phishing-Methode gestoßen, einer Kombination gefaxter und gemailter PDFs mit Captcha
Das Sicherheitsunternehmen Avanan veröffentlichte am Donnerstag seine neueste Analyse einer Phishing-Technik. Der Angriff basiert auf einer Kombination, von Fax kopierten und per E-Mail verschickten PDF-Dateien, mit einem Captcha. Diese Methode baut auf die Vertrautheit der User mit Captcha-Lösungen, um wirksam zu täuschen. Betrüger zielen darauf ab, sensible Daten abzugreifen.
Während wohl die meisten User denken, sichere E-Mail-Gateways (SEGs) würden verhindern, dass Phishing-E-Mails die Posteingänge der Benutzer erreichen, passen sich indessen Bedrohungsakteure schnell an und ändern ihre Taktiken. Sogar den Sicherheitsteams sind sie dabei oftmals einen Schritt voraus. Sie starten zunehmend ausgeklügeltere Angriffe und optimieren ihre Nachrichten, um Phishing-E-Mails dennoch in Posteingänge zu schleusen.
Sicherheitsunternehmen Avanan deckt neue Phishing-Methode auf
Avanan, die einen KI-basierten Schutz-Dienst anbieten, hält für di eneue Methode ein Beispiel bereit. Das Unternehmen klärt darüber auf, dass die Opfer, sobald sie das beigefügte Dokument öffnen, ein Link auf eine Seite weiterleitet, die Googles reCaptcha verwendet. Sobald sie das Rätsel lösen, wartet eine Seite, die sich als OneDrive-Cloudspeicherdienst ausgibt, mit einer Eingabe von Anmeldeinformationen für das Microsoft-Kontos auf. Die eingegebenen Daten gehen sofort an Betrüger, die sie für ihre Zwecke ausnutzen.
In der Regel sollte das Sicherheitssystem PDF-Dateien mit Links auf fragwürdige Websites sofort als Phishing-Angriff erkennen und aussortieren. Da sich der OneDrive-Klon hier jedoch hinter einem nicht aufgelösten Captcha verbirgt, ist der böswillige Zweck nicht klar – und Google wird allgemein vertraut. Unsichere Inhalte verbergen Betrüger so vor automatisierten Scans.
Ein automatisierter Scanner müsste die URL aus dem PDF herausfiltern, abrufen und dann das Captcha lösen, um weiterzukommen, stößt aber genau da an seine Grenzen. User hingegen sind Captcha-Abfragen gewohnt und vergessen aufgrund dieser Routine und ihrer Vertrautheit mit dem Google-Dienst möglicherweise, sich die URL genauer anzusehen.
Captchas sind den meisten Internetnutzern als Herausforderungen bekannt, mit denen bestätigt wird, dass sie ein Mensch sind. Bei den Turing-Test-Rätseln geht es normalerweise darum, alle Fotos in einem Raster anzuklicken, die ein bestimmtes Objekt enthalten, oder ein Wort einzugeben, das als verschwommener oder verzerrter Text dargestellt wird. Die Idee dahinter ist, Bots auf E-Commerce- und Online-Account-Sites auszusortieren. Hier hingegen erfüllen sie ihren Zweck für Betrüger.
Angriffs-Methode nicht auf den ersten Blick als Phishing erkennbar
Bereits ab Februar beobachteten die Forscher von Avanan die Technik in Verbindung mit einer kompromittierten Domain einer Universität. Betrüger schlagen somit aus dieser vertrauenswürdigen Domain Kapital in Form von Anmeldeinformationen.
Laut Jeremy Fuchs, einem Cybersicherheitsanalysten bei Avanan, erhielten die Opfer von der kompromittierten Universitätsdomain eine E-Mail. Die darin enthaltene, angehängte PDF-Datei gab vor, ein Faxdokument zu sein. Fuchs warnt in einer Recherche:
„Für den Endbenutzer erscheint dies nicht wie Phishing, sondern eher wie ein Ärgernis. Wenn man bedenkt, wie oft der durchschnittliche Benutzer eine Captcha-Aufforderung ausfüllt, ist das nicht ungewöhnlich. Passwortgeschützte PDF-Dokumente sind es auch nicht. Außerdem wird das PDF auf einer überzeugend gefälschten OneDrive-Seite gehostet, was einen weiteren legitimen Anstrich verleiht.“
Befolgung von Layer-8-Maßnahmen sind hier zielführend
Fuchs rät, übliche Layer-8-Maßnahmen zu befolgen. Demgemäß solle man mit Captcha-Formularen verknüpfte URLs mehr Aufmerksamkeit schenken. Des Weiteren sollte man sich erkundigen, ob die angehängten PDF-Dateien passwortgeschützt sind. Ferner ist angeraten, nach potenziellen Warnsignalen, wie vermeintlichen Faxanhängen suchen, die von Personen stammen, die bekanntermaßen von zu Hause aus arbeiten.
Tarnkappe.info