Novo ataque de phishing exposto a credenciais de login por meio da Pesquisa Google

Neuer Phishing-Angriff enthüllte Anmeldeinformationen über die Google-Suche

Mit jedem Tag, Monat und Jahr, das vergeht, ist klar, dass Cyberangriffe einfach nicht verschwinden. Jedes Unternehmen, jede Person oder Branche kann jederzeit angegriffen werden. Das neueste ist ein Phishing-Betrug, der wichtige Branchen wie das Baugewerbe angegriffen und Anmeldeinformationen über die Google-Suche offengelegt hat.

Phishing-Betrug über Google aufgedeckt

Check Point Research hat die Welt durch einen Blog-Beitrag darauf aufmerksam gemacht gestohlene Anmeldeinformationen aus wichtigen Branchen wurden veröffentlicht auf kompromittierten WordPress-Domains. Es wurde dann im öffentlichsten Forum entdeckt: Google-Suche.

Alles begann mit E-Mails, die Mitarbeiternamen oder -titel in der Betreffzeile betrügerischer E-Mails enthielten. Die Mitarbeiter kamen aus Branchen wie Bauwesen, IT, Gesundheitswesen, Immobilien und Fertigung. Diese E-Mails ahmten Xerox / Xeros-Benachrichtigungen nach, die von einem Linux-Server stammten und auf Microsoft Azure gehostet wurden. Spam wurde auch über E-Mail-Konten gesendet, die zuvor kompromittiert worden waren, wodurch die Nachrichten legitimiert wurden.

HTML-Dateien mit eingebettetem JavaScript-Code wurden an die E-Mails angehängt. Diese hatten nur ein Ziel: verdeckte Hintergrundüberprüfungen von Passwörtern. Wenn die Eingabe von Anmeldeinformationen erkannt wurde, wurden diese gesammelt, und Benutzer wurden zu Anmeldeseiten geleitet.

“Obwohl diese Infektionskette einfach klingt, hat sie die ATP-Filterung (Microsoft Office 365 Advanced Threat Protection) erfolgreich umgangen und über tausend Anmeldeinformationen von Unternehmensmitarbeitern gestohlen”, so Check Point.

Die in diesem Cyberangriff enthaltenen entführten Websites wurden auf dem WordPress-CMS erstellt. Check Point erklärte, dass diese Domänen als “Drop-Zone-Server” verwendet wurden, um die gestohlenen Anmeldeinformationen zu verarbeiten.

Nachdem die Anmeldeinformationen an die Drop-Zone-Server gesendet wurden, wurden sie in Dateien gespeichert, die dann von Google indiziert und öffentlich gemacht wurden. Sie standen jedem über eine Suche bei Google zur Verfügung. Die Server wurden jedoch nur etwa zwei Monate lang in Verbindung mit .XYZ-Domänen verwendet.

Phishing-Betrug Google Login

“Angreifer bevorzugen aufgrund des bekannten Rufs der vorhandenen Websites normalerweise die Verwendung kompromittierter Server anstelle ihrer eigenen Infrastruktur”, erklärte Check Point. “Je bekannter ein Ruf ist, desto höher ist die Wahrscheinlichkeit, dass die E-Mail nicht von Sicherheitsanbietern blockiert wird.”

Eine Warnung für die Zukunft

Entdeckte Beweise zeigen, dass es diesen speziellen Phishing-Betrug möglicherweise schon seit einiger Zeit gibt. Eine E-Mail vom letzten August wurde mit dem kürzlich entdeckten Betrug verglichen und hatte dieselbe JavaScript-Codierung.

Das alles zeigt nur, dass wir unsere Wache einfach nicht enttäuschen können. Wichtige Branchen und Einzelpersonen oder Unternehmen können betroffen sein, und es können Technologiegiganten wie Google und WordPress beteiligt sein. Nichts ist jemals sicher, wenn es um das Internet geht. Seien Sie sich immer Ihrer Informationen bewusst und kümmern Sie sich um sie.

Lesen Sie weiter, um zu erfahren, wie der Work-from-Home-Trend zu einer Zunahme von Cyberangriffen und gefälschten Apps für die Zusammenarbeit geführt hat.

Scroll to Top