Phishing-Angriffe nutzen kostenlose Kalender-App aus, um Kontodaten zu stehlen

Phishing-Angriffe nutzen kostenlose Kalender-App aus, um Kontodaten zu stehlen

Eine Kampagne zum Sammeln von Anmeldedaten, die von INKY Ende Februar entdeckt wurde, versuchte, ihre Opfer zu Calendly zu locken, einer legitimen und kostenlosen Online-Kalender-App.

Cyberkriminelle, die sich auf Phishing-Angriffe spezialisiert haben, verweisen so oft wie möglich auf echte Websites. Die Verwendung solcher Websites verleiht dem Betrug einen Anschein von Legitimität und erhöht die Wahrscheinlichkeit, dass die Empfänger getäuscht werden. In einem am Donnerstag veröffentlichten Bericht beschreibt der E-Mail-Sicherheitsanbieter INKY eine kürzlich durchgeführte Phishing-Kampagne, bei der die Kalender-App Calendly genutzt wurde, um sensible Kontodaten von ahnungslosen Opfern abzugreifen.

Die von INKY Ende Februar entdeckten Täter fügten bösartige Links in die über Calendly versandten Einladungen zu Veranstaltungen ein. Ein Grund dafür, dass die Kriminellen Calendly gewählt haben, könnte sein, dass die Website es Benutzern ermöglicht, kostenlose Konten einzurichten, ohne Kreditkarten- oder Zahlungsinformationen einzugeben. Ein weiterer möglicher Grund ist, dass die Benutzer die Einladungsseiten von Calendly anpassen können, so dass die Betrüger bösartige Links in diese einfügen können.

Zum Auftakt der Kampagne verschickten die Angreifer Phishing-E-Mails von verschiedenen gekaperten Konten aus. Etwa 64 INKY-Kunden überprüften ihren Posteingang und fanden diese E-Mails mit der Meldung "neue Dokumente erhalten" und einem Link, über den sie angeblich diese Dokumente einsehen konnten. Ein Klick auf den Link führte den Empfänger dann zu einer Veranstaltungseinladung auf Calendly.

Die Veranstaltungseinladung enthielt einen Link mit der Bezeichnung "Preview Document". Und genau hier wurde der Betrug gefährlich. Ein Klick auf diesen Link hätte den Benutzer auf eine Webseite geführt, die wie eine Microsoft-Website aussah, aber in Wirklichkeit dazu diente, Anmeldeinformationen für Microsoft-Konten zu stehlen.

Die Forscher von INKY haben den Köder geschluckt, auf den Link geklickt und einen falschen Benutzernamen und ein falsches Passwort auf der Phishing-Website eingegeben. Der erste Versuch löste eine Fehlermeldung über ein ungültiges Kennwort aus. Dies ist eine bekannte Taktik, bei der dem Benutzer mitgeteilt wird, dass seine Anmeldedaten ungültig sind, diese aber tatsächlich hinter den Kulissen abgefangen werden. Ein zweiter Versuch, die Anmeldedaten einzugeben, löste nicht dieselbe Fehlermeldung aus, sondern leitete den Benutzer einfach auf die in seiner E-Mail-Adresse angegebene Website seines Unternehmens zurück.

Als Reaktion auf die Ergebnisse von INKY hat Calendly eine Erklärung an TechRepublic geschickt, in der erklärt wird, wie seine App angegriffen wurde und welche Sicherheitsmethoden es verwendet, um bestimmte Arten von Angriffen zu vereiteln.

"Sicherheit hat bei Calendly höchste Priorität", sagte ein Calendly-Sprecher. "Ähnlich wie andere große Technologieanbieter verfügen wir über ein umfangreiches Netzwerk von Tools und Systemen, wie z. B. eine Web Application Firewall der nächsten Generation, die Verfolgung von betrügerischen IP-Adressen und Warnungen vor anomalen Verkehrsmustern. Außerdem empfehlen wir unseren Kunden, sich mit einem Passwortmanager und einer Zwei-Faktor-Authentifizierung zusätzlich zu schützen. In diesem Fall wurde ein bösartiger Link in eine angepasste Buchungsseite eingefügt. Phishing-Angriffe verstoßen gegen unsere Nutzungsbedingungen, und Konten werden sofort gekündigt, wenn sie entdeckt oder gemeldet werden. Wir haben ein engagiertes Team, das unsere Sicherheitstechniken ständig verbessert, und wir werden sie weiter verfeinern und wachsam bleiben, um unsere Nutzer zu schützen und solche Angriffe zu bekämpfen."

Für diese Kampagne setzten die Angreifer eine Vielzahl von hinterhältigen Taktiken ein:

· Nachahmung einer Marke. Das Imitieren einer Marke wie Microsoft schafft Vertrautheit.

· Abfangen von Anmeldeinformationen. Die Opfer glauben, dass sie sich bei einer legitimen Website anmelden, geben aber in Wirklichkeit ihre Anmeldedaten an die Angreifer weiter.

· Kompromittierte E-Mail-Konten. Die Angreifer nutzen und missbrauchen legitime E-Mail-Konten, um sich an den Sicherheitsgateways vorbeizuschleichen.

· Dynamische Weiterleitung. Die Betrüger verwenden die eigene E-Mail-Adresse des Opfers, um es auf die Website ihres Unternehmens umzuleiten.

Empfehlungen zur Verhinderung eines Angriffs

Damit Sie sich und Ihr Unternehmen vor dieser Art von Phishing-Angriffen schützen können, gibt INKY die folgenden Tipps:

· Prüfen Sie immer die E-Mail-Adresse und den Anzeigenamen des Absenders. Bei dem von INKY beschriebenen Angriff gab die E-Mail vor, von Microsoft gesendet zu werden, kam aber von einer Nicht-Microsoft-Domäne.

· Bewegen Sie den Mauszeiger immer über einen Link, um dessen tatsächliches Ziel zu sehen. Obwohl calendly.com eine legitime und sichere Website ist, würden Sie normalerweise nicht dorthin gehen, um eine Microsoft-Benachrichtigung anzuzeigen.

·  Eine Möglichkeit, sich gegen das Auslesen von Anmeldeinformationen zu schützen, ist die Verwendung eines Passwort-Managers. Solche Tools vergleichen automatisch die URL einer Website mit der in ihrer Datenbank gespeicherten URL. Wenn die beiden nicht übereinstimmen, gibt der Passwort-Manager die Anmeldedaten nicht ein. In diesem Fall hätte die URL der Phishing-Website, die sich als Microsoft ausgab, nicht mit der URL übereingestimmt, die im Kennwortmanager für Microsoft gespeichert war.

Quelle: https://www.techrepublic.com/article/phishing-exploits-calendar-app/