Hacker nutzen Post-COVID-Rückkehr in Büros aus

Cyber Security News

Gefälschte CIO-“Pandemie-Richtlinien”-E-Mails werden zum Stehlen von Anmeldedaten verwendet.

Mit der Aufhebung der COVID-19-Beschränkungen und der Rückkehr der Mitarbeiter in die Büros verschärfen Bedrohungsakteure ihre Spear-Phishing-Methoden. Die neueste Masche besteht darin, die Empfänger mit E-Mails zu überhäufen, die angeblich von ihren CIOs stammen und die Mitarbeiter zur Rückkehr ins Büro auffordern.

Die E-Mails erläutern die Protokolle des Unternehmens für die Zeit nach der Pandemie und versuchen gleichzeitig, Unternehmens- und persönliche Anmeldedaten zu stehlen. “Der Hauptteil der E-Mail scheint von einer Quelle innerhalb des Unternehmens gesendet worden zu sein, wobei das Firmenlogo in der Kopfzeile erscheint und die Unterschrift des CIOs gefälscht ist”, so Cofense in einem Bericht vom Donnerstag.

Der gefälschte Newsletter erklärt, dass die Rückkehr zur Arbeit die Mitarbeiter dazu zwingt, neue Vorsichtsmaßnahmen in Bezug auf die Pandemie zu treffen, so die Forscher.

COVID-Betrug zielt auf Anmeldeinformationen ab

In der gefälschten CIO-E-Mail werden die Opfer aufgefordert, einen Link zu einer gefälschten Microsoft SharePoint-Seite mit zwei Dokumenten im Firmen-Logo zu erstellen, die beide neue Geschäftsabläufe beschreiben. In diesem Schritt wird das Opfer nicht zur Eingabe von Anmeldedaten aufgefordert.

“Anstatt einfach umzuleiten [victims] auf eine Anmeldeseite umzuleiten, verleiht dieser zusätzliche Schritt dem Angriff mehr Tiefe und erweckt den Eindruck, dass es sich um tatsächliche Dokumente aus dem Unternehmen handelt”, heißt es in dem Bericht.

Wenn ein Opfer jedoch beschließt, mit einem der Dokumente zu interagieren (darauf zu klicken), wird ein Anmeldefenster angezeigt, in dem der Empfänger aufgefordert wird, seine Anmeldedaten einzugeben, um auf die Dateien zuzugreifen.

“Dies ist ungewöhnlich für die meisten Microsoft-Phishing-Seiten, bei denen die Taktik, den Microsoft-Anmeldebildschirm zu fälschen, ein Authentifizierungsfenster öffnet”, so der Bericht. “Indem die Dateien den Anschein erwecken, echt zu sein, und nicht auf eine andere Anmeldeseite umgeleitet werden, ist der Benutzer möglicherweise eher bereit, seine Anmeldedaten anzugeben, um die Updates anzuzeigen.”

Eine andere Variante der Taktik zeigt mehrmals die Meldung “Ihr Konto oder Kennwort ist falsch” an, bevor das Opfer auf eine authentische Microsoft-Seite weitergeleitet wird, so dass es denkt, es habe erfolgreich auf die Dateien zugegriffen.

Ausnutzung von COVID-19

Nachdem nun mehr als die Hälfte der US-Erwachsenen mindestens eine Impfung erhalten hat, kehren auch mehr Mitarbeiter an ihren Arbeitsplatz zurück. Die Personalberatung Mercer berichtet, dass 61 Prozent der Arbeitgeber in Unternehmen hoffen, bis zum Ende des dritten Quartals 2021 die Hälfte oder mehr ihrer Belegschaft wieder im Büro zu haben. Die Vorreiterfirmen Microsoft und Google beispielsweise haben bereits damit begonnen, ihre Bürozellen wieder mit Mitarbeitern vor Ort zu besetzen.

Dies ist sicherlich nicht das erste Mal, dass Angreifer COVID-19 zu ihrem Vorteil nutzen.

Impfstoff-bezogene Spear-Phishing-Angriffe stiegen zwischen Oktober 2020 und Januar 2021 um 26 Prozent an – genau zu dem Zeitpunkt, als die lebensrettenden Medikamente auf den Markt gebracht wurden. Gesundheitsorganisationen und Krankenhäuser wurden besonders ins Visier genommen, da sie unter der Last der Pandemie erdrückt wurden. Zwischen Januar 2020 und September 2020 waren 10 Prozent aller Organisationen, die von Ransomware betroffen waren, Krankenhäuser oder medizinische Einrichtungen.

Erst letzten Monat, als die Regierungen Hilfszahlungen für die Pandemie auslieferten, nutzten Angreifer gefälschte US-Hilfszahlungen, um Dridex-Malware auszuliefern.

“COVID-19 hat uns ein Fenster gegeben, wie Hacker menschliche Schwachstellen während einer Krise ausnutzen können, wobei Angriffe im Zusammenhang mit dem Gesundheitswesen und Pandemien im Jahr 2020 vorherrschen”, schrieb Sivan Tehila von Perimeter 81 kürzlich für Threatpost.

Cyberkriminelle leben von Veränderungen und werden dadurch nur noch ermutigt, neue Cybercrime-Angriffe zu starten, um trendige Nachrichtenereignisse auszunutzen, sagte sie.

Besuchen Sie Threatpost für “A Walk On The Dark Side: A Pipeline Cyber Crisis Simulation”- eine interaktive LIVE-Demo am Mi, 9. Juni um 2:00 PM EDT. Finden Sie heraus, ob Sie die Werkzeuge und Fähigkeiten haben, um einen Angriff auf Ihr Unternehmen im Stil der Colonial Pipeline zu verhindern. Fragen und LIVE-Beteiligung des Publikums sind erwünscht. Nehmen Sie an der Diskussion teil und registrieren Sie sich HIER kostenlos.

Einige Teile dieses Artikels stammen aus:
threatpost.com