Billige Schüsse: Impf-Phishing-Betrügereien zielen auf Mitarbeiter, die ins Büro zurückkehren wollen

Cyber Security News

Eine Ampulle mit dem Impfstoff COVID-19 von Pfizer-BioNTech wird im Walter Reed National Military Medical Center gehandhabt. (U.S. Verteidigungsministerium, CC BY 2.0, via Wikimedia Commons. DOD photo by Lisa Ferdinando.)

Wenn Millionen von Menschen die Ärmel hochkrempeln und ihre COVID-19-Impfung erhalten, müssen Unternehmensleiter oder Personalabteilungen Mitteilungen an die Mitarbeiter herausgeben, die sich auf die Impfungen und die Aussicht auf die Rückkehr in eine physische Büroumgebung beziehen.

Dies eröffnet einen neuen Blickwinkel für Phishing-Betrüger, die E-Mails versenden, die als von der Firma ausgegebene Informationen erscheinen und sich auf Impfstoffe und COVID-19-Richtlinien beziehen. In der Tat warnten die Forscher von INKY in einem Blogbeitrag am Montag, dass im späten Winter eine “breite Schicht” ihrer Geschäftskunden Phishing-E-Mails mit COVID-bezogenen Verlockungen und Inhalten erhielt, die von einigen der neuesten Entwicklungen der Pandemie inspiriert waren.

INKY sagte gegenüber SC Media, dass Arbeitgeber und Arbeitnehmer gleichermaßen wachsam sein sollten und ein Auge auf gefälschte Unternehmensanweisungen in Bezug auf Back-to-Work-Richtlinien haben sollten, da die Mitarbeiter eifrig ihre Impfungen erhalten und möglicherweise zu ihren alten Routinen zurückkehren.

Darüber hinaus könnte die Verwendung dynamischer Algorithmen durch die Betrüger dazu führen, dass einige dieser Social-Engineering-Schemata so aussehen, als wären sie für den Empfänger bestimmt: “Sie extrahieren Merkmale (Name, Domänenname) aus der E-Mail-Adresse eines Empfängers und verwenden sie, um personalisierte Phishing-E-Mails zu erstellen”, sagte Bukar Alibe, Datenanalyst bei INKY, in einem Interview mit SC Media. Zum Beispiel kann eine E-Mail, die an [email protected] könnte wie folgt aussehen: “Hallo Roger, bitte lesen Sie die neue Anleitung von Example zur Rückkehr an den Arbeitsplatz. Mit freundlichen Grüßen, Beispiel Personalabteilung.”

Tatsächlich verwendet ein neues Phishing-Kit, LogoKit, “die gleiche Taktik, um das Logo eines Unternehmens aus der Favicon-Datenbank von Google abzurufen, um personalisierte Phishing-Seiten in Echtzeit zu erstellen, die sich an jedes Opfer anpassen”, fügte Alibe hinzu.

Ein kürzlich beobachtetes Phishing-Beispiel, das diese dynamische Algorithmus-Technik verwendete, war eine E-Mail, die scheinbar eine Umfrage der Personalabteilung des Zielunternehmens enthielt, in der die Mitarbeiter nach ihrer Bereitschaft gefragt wurden, einen der COVID-19-Impfstoffe zu erhalten, damit das Unternehmen die Impfung der Mitarbeiter in einer nahe gelegenen Klinik arrangieren konnte.

“Da wir beginnen, mit dem Gesundheitsministerium zusammenzuarbeiten, um Impfmöglichkeiten für die Mitarbeiter zu erhalten, bitten wir alle Mitarbeiter, an einer einfachen Umfrage teilzunehmen, um uns mitzuteilen, ob Sie daran interessiert sind, einen Impfstoff zu erhalten, wenn er für uns verfügbar wird”, hieß es in der Phishing-E-Mail. Die E-Mail enthielt auch einen Link, der auf den ersten Blick zu einer Survey Monkey-URL zu führen scheint, in Wirklichkeit aber erstellt wurde, um die Opfer zu einer Website zum Sammeln von Anmeldeinformationen auf einer gekaperten Domain zu leiten.

Ein weiteres Phishing-Beispiel bestand aus einer gefälschten Nachricht vom CEO eines anvisierten Unternehmens, in der die Mitarbeiter aufgefordert wurden, auf einen Link zu einem Online-Dokument zu klicken, in dem die neuesten COVID-19-Vorsichtsmaßnahmen beschrieben wurden, während in einer dritten E-Mail die Mitarbeiter gewarnt wurden, dass zwei ihrer Kollegen mit dem Coronavirus infiziert waren, und sie angewiesen wurden, ein COVID-19-Compliance-Formular auszufüllen.

Der gefälschte CEO-Phish enthielt einen Link, der die offenen Weiterleitungsfunktionen von Google ausnutzte, um die Empfänger auf eine Malware-Injektionsseite oder eine Website zum Sammeln von Anmeldeinformationen zu schicken, so der Blog-Post. “Selbst wenn der Empfänger die URL genau untersuchen würde, würde er nur eine gut aussehende Google-Weiterleitung sehen”, heißt es in dem Beitrag. Der Phish zum Thema Compliance bettete einen legitimen Link ein, der zu einer SharePoint-Website führte, die kompromittiert und zum Abfangen von Anmeldeinformationen missbraucht wurde.

Sherrod DeGrippo, Senior Director of Threat Research and Detection bei Proofpoint, sagte, dass sie zwar noch keine signifikanten Mengen an E-Mail-Bedrohungsaktivitäten mit Return-to-Work-Themen gesehen hat, aber “wir haben Hinweise auf den Impfstoff in bösartigem Social Engineering gesehen, ebenso wie das COVID-19-Entlastungsgesetz, das kürzlich von der Biden-Regierung verabschiedet wurde. Impfstoff- und Steuerköder, die die IRS ausnutzen, sind derzeit sehr verbreitet, darunter auch einige, die kombiniert sind.”

Wie immer werden Betrüger die neuesten Schlagzeilen, Krisen und Nachrichtentrends ausnutzen, um E-Mail-Empfänger zum Öffnen von Anhängen oder zum Klicken auf bösartige Links zu verleiten. Die internationale Verteilung von lebensrettenden Impfstoffen und das Versprechen einer eher traditionellen Arbeitserfahrung für einige, würden sich sicherlich als ausbeutbare Themen qualifizieren.

Tatsächlich hat das Internet Crime Complaint Center des FBI genau an diesem Tag im letzten Jahr eine öffentliche Bekanntmachung herausgegeben, in der die Bürger gewarnt wurden, sich vor Phishing-Betrügereien in Bezug auf Spenden für wohltätige Zwecke, finanzielle Unterstützung, Rückerstattungen von Fluglinien und gefälschte Impfstoffe, Heilmittel und Testkits in Acht zu nehmen. Natürlich war zu dieser Zeit noch kein Impfstoff verfügbar, so dass solche Verlockungen nicht annähernd so glaubwürdig waren. Jetzt gibt es allein in den USA drei Impfstoffe, und ein vierter ist wahrscheinlich auf dem Weg.

“Wir haben gesehen, wie sich das mit Verlockungen wie Impfstoffangeboten, Stimulus-Checks, Fernarbeitsprotokollen und einer Kombination aus vielen verschiedenen Themen abspielt”, so DeGrippo. “Es gibt sicherlich ein großes Segment von Arbeitnehmern, die darauf bedacht sind, ins Büro zurückzukehren, und bei Nachrichten über die Wiedereröffnung bestimmter Unternehmen haben die Mitarbeiter möglicherweise die Erwartung, dass sie eine E-Mail von ihrer Personalabteilung mit weiteren Informationen erhalten. Wie schon in der Vergangenheit haben Bedrohungsakteure sowohl ein relevantes Problem als auch eine anfällige Zielgruppe für ein Problem identifiziert, das sie durch eine gut gestaltete Social-Engineering-E-Mail leicht ausnutzen können.”

Andere aktuelle Forschungsberichte haben die Warnungen von INKY aufgegriffen. So berichtete das GreatHorn Threat Intelligence Team letzte Woche von einer “signifikanten Zunahme der Verwendung des Wortes ‘Impfstoff’ in Phishing-Angriffen, im Vergleich zu der Häufigkeit, mit der der Begriff in authentischen E-Mails verwendet wird.”

[Blocked Image: https://www.scmagazine.com/wp-content/uploads/2021/03/percentage-of-all-vaccine-related-emails-1280x760-1-1024x608.png]Ein Liniendiagramm von GreatHorn, das den prozentualen Anteil von E-Mails mit dem Thema “Impfstoff” – sowohl authentische als auch richtlinienwidrige – vom 1. Oktober 2020 bis zum 3. März 2021 darstellt. (Bild mit freundlicher Genehmigung von GreatHorn).

In der Zwischenzeit sagte Mimecast in seinem neuen globalen Bericht The Year of Social Distancing, dass es fast sicher ist, dass Bedrohungsakteure weiterhin “die unsichere Arbeitssituation ausnutzen werden”, mit einem Fokus “sowohl auf Remote-Mitarbeiter als auch auf diejenigen, die ins Büro zurückkehren, was eine ganze Reihe neuer Social-Engineering-Möglichkeiten schafft.”

“Die Rückkehr ins Büro ist eine wichtige Gelegenheit, um Kommunikation rund um fehlerhafte neue Praktiken oder Verfahren einzuschleusen und zu versuchen, die Unsicherheit oder Verwirrung einzelner Personen in Bezug auf neue oder aufkommende Hygienemaßnahmen, auf COVID ausgerichtete Sicherheitsmaßnahmen usw. auszunutzen”, sagte Carl Wearn, Leiter des Bereichs e-Crime bei Mimecast, in einem Interview mit SC Media.

Und am 19. März informierte Vade Secure SC Media per E-Mail, dass es in den letzten drei Tagen etwa 1 Million Phishing-E-Mails im Zusammenhang mit den Impfstoffen von Moderna und Pfizer entdeckt hatte.

Um die Wahrscheinlichkeit zu verringern, dass Mitarbeiter auf solche Tricks hereinfallen, empfahl DeGrippo den Unternehmen, “die Mitarbeiter über bösartige E-Mails zu informieren, in denen Details zu den Richtlinien für die Rückkehr an den Arbeitsplatz enthalten sind, was sie in zukünftigen legitimen Mitteilungen erwarten sollten und wie sie Nachrichten verifizieren können. Weisen Sie die Benutzer an, sich an ihre IT-Sicherheitsabteilung zu wenden, bevor sie eine verdächtige E-Mail anklicken oder öffnen. Selbst wenn Ihr Unternehmen noch keinen Plan für die Rückkehr an den Arbeitsplatz aufgestellt hat, sollten Sie dies Ihren Mitarbeitern mitteilen. Beugen Sie jeglichen Zweifeln oder Unsicherheiten vor, die sie dazu verleiten könnten, einer bösartigen E-Mail zu glauben.”

“Stellen Sie außerdem sicher, dass bei jeder Änderung von Abläufen oder der Einführung neuer Abläufe ein vertrauenswürdiger und etablierter Kanal genutzt wird, um diese Änderungen zu kommunizieren”, empfiehlt Wearn. “Ein direkter Ansprechpartner, der dem Mitarbeiter bekannt ist, sollte auch kontaktiert werden können, um neue Prozesse oder Verfahren als echt zu verifizieren, am besten durch persönlichen Kontakt. E-Mail allein sollte nicht als vertrauenswürdiges Kommunikationsmittel akzeptiert werden, ohne dass andere Mittel zur Verifizierung vorhanden sind.”

“Das Bewusstsein der Anwender ist ein guter erster Schritt”, stimmte Alibe zu. “Arbeitgeber sollten ihre normalen Kommunikationsmethoden bekannt machen und die Mitarbeiter darin schulen, allen E-Mails zu misstrauen, die von den etablierten Protokollen abweichen.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com