Phishing-Angriff zielt auf DocuSign- und SharePoint-Benutzer

  • DocuSign Hauptquartier. (Coolcaesar ist lizenziert unter CC BY-SA 4.0)

    Forscher berichteten am Freitag, dass Cyberkriminelle legitime Korrespondenz imitieren, um beliebte Cloud-Anwendungen DocuSign und SharePoint aktiv in Phishing-Angriffen anzugreifen, die darauf abzielen, die Anmeldedaten der Benutzer zu stehlen.

    In einem Blog des Bitdefender Antispam Lab sagten die Forscher, dass die meisten der E-Mails COVID-19 verwenden, um Benutzer dazu zu verleiten, auf ein gefälschtes Dokument zu klicken. Zum Beispiel wird die E-Mail den Benutzer auffordern, einen “Covid-19-Hilfsfonds, wie vom Vorstand genehmigt” zu überprüfen.

    Das Bitdefender-Team sagte, der Phishing-Angriff wurde am 24. Juni entdeckt und scheint aus den Vereinigten Staaten zu stammen. Die Forscher sagten, dass 33% der gefälschten E-Mails Benutzer in den Vereinigten Staaten erreichten; 26% in Irland; 14% in Korea; 12% in Schweden; 5% in Dänemark; und 1% in Finnland, Großbritannien und Indien.

    Obwohl es keine narrensicheren Kontrollen gibt, sagte A.J. King, Chief Information Security Officer bei BreachQuest, dass sichere E-Mail-Gateways, Multi-Faktor-Authentifizierung und Domain-based Message Authentication, Reporting and Conformance (DMARC) ganz oben auf der Liste zur Verhinderung dieser Angriffe stehen.

    King fügte hinzu, dass all diese Kontrollen von Zeit zu Zeit versagen werden, so dass Sicherheitsteams in Schulungen zum Sicherheitsbewusstsein investieren müssen, damit Benutzer die Zeichen eines Phish schnell erkennen können. Er sagte auch, dass Unternehmen einen “Report Phish”-Button in den E-Mail-Client des Unternehmens einbauen sollten, damit Benutzer eine fragwürdige E-Mail einfach melden können. Sicherheitsteams können die Schaltfläche” in die sichere E-Mail-Gateway-Lösung des Unternehmens integrieren, so dass diese eine Sandbox-Analyse der E-Mail durchführen, die E-Mail automatisch blockieren und aus der restlichen Umgebung entfernen kann, wenn sie als bösartig eingestuft wird, und das Sicherheitsteam des Unternehmens benachrichtigen kann.

    “Unternehmen sollten auch über ein Security-Operations-Team verfügen, das entsprechend ausgerüstet ist, um Protokolle auf Warnungen zu überwachen, die sich auf unmögliche geografische Reisen, Log-ins von einem neuen Standort oder verdächtige Benutzeraktivitäten beziehen”, so King. “Sie können schnell Notfallmaßnahmen ergreifen, um die Anmeldedaten kompromittierter Benutzer zu widerrufen, Token zurückzusetzen und nach Anzeichen für weitere Kompromittierungen zu suchen.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com