Neuer Phishing-Angriff enthüllte Zugangsdaten durch Google-Suche

Phishing-Angriff Google Featured

Mit jedem Tag, Monat und Jahr wird deutlich, dass Cyberangriffe nicht verschwinden werden. Jedes Unternehmen, jede Person oder Branche kann jederzeit angegriffen werden. Der neueste Fall ist ein Phishing-Betrug, der große Industrien wie den Bau angegriffen und Zugangsdaten über die Google-Suche enthüllt hat.

Phishing-Betrug über Google enthüllt

Check Point Research hat die Welt durch einen Blogeintrag darüber informiert, dass gestohlene Zugangsdaten aus großen Industrien auf kompromittierten WordPress-Domains veröffentlicht wurden. Dies wurde dann im öffentlichsten Forum überhaupt entdeckt: der Google-Suche.

Alles begann mit E-Mails, die die Namen oder Titel von Mitarbeitern in der Betreffzeile betrügerischer E-Mails enthielten. Die Mitarbeiter stammten aus Branchen, die Bauwesen, IT, Gesundheitswesen, Immobilien und Fertigung umfassen. Diese E-Mails ahmten Xerox/Xeros-Benachrichtigungen nach, die von einem Linux-Server stammten und auf Microsoft Azure gehostet wurden. Auch Spam wurde über E-Mail-Konten gesendet, die zuvor kompromittiert worden waren, was den Nachrichten Glaubwürdigkeit verlieh.

Phishing-Betrug Google-Suche

HTML-Dateien, die eingebetteten JavaScript-Code enthielten, waren an die E-Mails angehängt. Diese hatten nur ein Ziel: verdeckte Hintergrundprüfungen von Passwörtern. Wenn die Eingabe von Zugangsdaten erkannt wurde, wurden sie gesammelt, während die Nutzer auf Anmeldeseiten geleitet wurden.

„Obwohl diese Infektionskette einfach erscheinen mag, umging sie erfolgreich die Microsoft Office 365 Advanced Threat Protection (ATP) Filterung und stahl über tausend Zugangsdaten von Unternehmensmitarbeitern“, so Check Point.

Die in diesem Cyberangriff entführten Websites wurden auf dem WordPress-CMS erstellt. Check Point erklärte, dass diese Domains als „Drop-Zone-Server“ verwendet wurden, um die gestohlenen Zugangsdaten zu verarbeiten.

Nachdem die Zugangsdaten an die Drop-Zone-Server gesendet wurden, wurden sie in Dateien gespeichert, die dann von Google indexiert und öffentlich gemacht wurden. Sie waren für jedermann über eine Google-Suche verfügbar. Die Server wurden jedoch nur etwa zwei Monate lang verwendet und waren mit .XYZ-Domains verknüpft.

Phishing-Betrug Google-Anmeldung

„Angreifer ziehen es normalerweise vor, kompromittierte Server zu nutzen, anstatt ihre eigene Infrastruktur zu verwenden, aufgrund des guten Rufes der bestehenden Websites“, erklärte Check Point. „Je bekannter der Ruf ist, desto höher sind die Chancen, dass die E-Mail nicht von Sicherheitsanbietern blockiert wird.“

Eine Warnung für die Zukunft

Die entdeckten Beweise zeigen, dass dieser spezielle Phishing-Betrug schon eine Weile vorhanden gewesen sein könnte. Eine E-Mail aus dem letzten August wurde mit dem kürzlich entdeckten Betrug verglichen, und sie hatten dieselbe JavaScript-Codierung.

Das alles zeigt nur, dass wir niemals unsere Wachsamkeit aufgeben dürfen. Große Industrien und jede Person oder jedes Unternehmen kann betroffen sein, und es kann solche Tech-Giganten wie Google und WordPress betreffen. Nichts ist im Internet wirklich sicher. Seien Sie stets wachsam und achten Sie auf Ihre Informationen.

Lesen Sie weiter, um zu erfahren, wie der Trend zum Homeoffice zu einem Anstieg von Cyberangriffen und gefälschten Kollaborationsanwendungen geführt hat.