"TurkeyBombing" Phishing-Betrug

Wir leben in prekären und beispiellosen Zeiten, in denen unser tägliches Leben infolge der globalen Pandemie verändert wurde. Große Teile der Menschen waren gezwungen, zahlreiche Aspekte ihrer üblichen Aktivitäten in den Online-Bereich zu verlagern, was eine bedeutende Chance für Cyberkriminelle darstellt. Zu Beginn des Jahres 2020 haben Infosec-Forscher bereits mehrere Fälle aufgedeckt, in denen Bedrohungsakteure die Zoom-Videokommunikationsplattform nutzten, um Online-Besprechungen in beiden Arbeitsumgebungen sowie Personen, die mit ihren Familien und Verwandten in Verbindung stehen, zu stören.

Eine weitaus unheimlichere Kampagne wurde jedoch um Thanksgiving entfesselt und konnte noch eine Weile fortgesetzt werden. Als TurkeyBombing bezeichnet, zielte es auf Millionen potenzieller Opfer ab, von denen Tausende bereits auf die Taktik hereingefallen sind. Das Ziel der Cyberkriminellen ist es, die Microsoft-Anmeldeinformationen ahnungsloser Zoom-Benutzer zu erhalten, die die Plattform möglicherweise über das lange Thanksgiving-Wochenende verwendet haben.

Hacker nutzen Thanksgiving, um Phishing-Angriffe durchzuführen

Der Angriff beginnt damit, dass die Hacker unzählige Phishing-E-Mails verbreiten. In den irreführenden E-Mails heißt es, dass der Zielbenutzer eine Videokonferenzeinladung erhalten hat und einen Link enthält, der den Benutzer zur Telefonkonferenz führen soll. Stattdessen leitet der beschädigte Link zu einer gefälschten Microsoft-Anmeldeseite weiter, die auf Appspot.com gehostet wird. Dies ist eine legitime Domäne, die Softwareentwickler häufig zum Hosten von Webanwendungen in einem von Google verwalteten Rechenzentrum verwenden.

Die Anmeldeseite ist jedoch alles andere als legitim, da sie alle vom Opfer eingegebenen Anmeldeinformationen sammelt. Um die Wahrscheinlichkeit, dass Benutzer bemerken, dass etwas nicht stimmt, weiter zu verringern, füllt die gefälschte Anmeldeseite das Feld vor, in dem nach einer E-Mail-Adresse mit der E-Mail des Benutzers gefragt wird. Anschließend werden Sie nach den Anmeldeinformationen eines zugeordneten Microsoft-Kontos gefragt. Auf der Zielseite werden nicht nur alle diese Anmeldeinformationen erfasst, sondern auch die IP-Adresse und die Geolokalisierung des Opfers. Wenn die Hacker die Anmeldeinformationen eines privilegierten Microsoft-Kontos erhalten, versuchen sie, über eine IMAP-Anmeldeinformation (Internet Message Access Protocol) darauf zuzugreifen.

Bisher wurde bestätigt, dass es den Cyberkriminellen gelungen ist, über 3600 eindeutige E-Mail-Adressen von Opfern zu erhalten. Da Millionen von Menschen am Thanksgiving-Wochenende versuchen, ihre Lieben zu sehen, was zu mehreren Millionen Videoanrufen führt, könnte die tatsächliche Anzahl kompromittierter Konten viel größer sein.