2184818

Phishing-Angriff mit Bestell-Mail

22.03.2016 | 17:08 Uhr |

Online-Kriminelle zielen bei Phishing-Attacken nicht nur auf Privatanwender und ihre Bankkonten. Sie greifen auch gezielt Unternehmen an, um etwa an Anmeldedaten der Benutzer zu gelangen, wie ein aktuelles Beispiel zeigt.

Phishing-Angriffe auf Unternehmen sind für Online-Kriminelle sehr lukrativ. Sie müssen zwar ein wenig mehr Aufwand betreiben, um Erfolg zu haben, können jedoch interessante Beute machen. Sie könnten etwa Anmeldedaten abgreifen, um im lokalen Netzwerk geistiges Eigentum zu stehlen. Der Bochumer Antivirushersteller G Data berichtet in seinem Blog über ein Beispiel für eine Phishing-Mail, die als vorgebliche Bestellung herein kommt und sich als geschütztes Excel-Online-Dokument tarnt.

Die vorgebliche Bestell-Mail enthält eine HTML-Datei, die mit Base64 kodiert ist. Während ein Menschen nur kryptischen Zeichensalat erkennt, stellt ein Browser die Seite problemlos dar. Die Web-Seite erscheint als Excel-Online-Dokument, doch handelt es sich dabei nur um ein Bild, das von einem Server in Hongkong nachgeladen wird. In roter Schrift wird das potenzielle Opfer darauf hingewiesen, dass es sich um ein vertrauliches Dokument handele. So soll die geforderte Anmeldung plausibel erscheinen. Das Formular soll durch ein ebenfalls nachgeladenes Hintergrundbild an Microsoft Office Online erinnern.

Phishing: vorgebliche Bestell-Mail
Vergrößern Phishing: vorgebliche Bestell-Mail

Dem aufmerksamen Anwender sollten allerdings einige Hinweise auf die Fälschung auffallen. So passt in der Regel die Sprache in den als Screenshot kopierten Excel-2013-Dialogen (Englisch) meist nicht zu der des Benutzersystems. Zudem gibt es Fehler im HTML-Gerüst der Seite, die den Eindruck einer Excel-Tabelle stören. Auch würde eine echte Excel Online-Tabelle auf Microsofts Plattform Windows Live im Look der neuesten Office-Version 2016 dargestellt, nicht in dem der Version 2013.

Welche Anmeldedaten das Opfer in das Formular einträgt, bleibt ihm ein wenig selbst überlassen. Irgendein Benutzername, der durch ein enthaltenes „@“ als Mail-Adresse gelten darf, genügt – das zugehörige Passwort muss natürlich auch noch sein. Die Täter nehmen offenbar, was sie bekommen können.

Nach der Eingabe der Anmeldedaten sollte laut Schaltfläche ein Download erfolgen. Stattdessen erscheint nach Übertragung der Anmeldedaten an den Server in Hongkong eine Fehlermeldung („Login Error“). Diese stammt von einem gehackten Server in London. Sie sieht eher lieblos zusammengeschustert aus. Offenbar haben die Angreifer bereits die Lust verloren, sind mit den zuvor abgegriffenen Anmeldedaten zufrieden.

Die Täter können die erbeuteten Anmeldedaten im Untergrund weiterverkaufen oder selbst versuchen, damit im Unternehmen Beute zu machen. Sie könnten vertrauliche Daten stehlen, Schädlinge einschleusen oder das Mail-System für ihre Zwecke missbrauchen. Für Unternehmen ist es deshalb wichtig, nicht nur auf technische Schutzmaßnahmen wie Spam-Filter und Antivirus-Software zu setzen, sondern auch regelmäßig die Anwender zu schulen, damit sie aufmerksam bleiben und nicht auf so genanntes Social Engineering hereinfallen.

0 Kommentare zu diesem Artikel
2184818