Phishing-E-Mail-Kit, das Nordamerikaner während der Feiertage ins Visier nimmt!

Forscher von Akamai haben ein fortschrittliches Phishing-Kit entdeckt, das nordamerikanische Kunden während der Feiertage anlockt, indem es sie mit Feiertagsangeboten ködert.

Laut den Analysten von Akamai laufen die Angriffe seit Mitte September, konzentrieren sich auf Halloween und den Feiertag der Arbeit und haben den gesamten Oktober über angedauert.

Außerdem verwendet das Phishing-Kit einen Umgehungsansatz und nutzt Systeme, um Nicht-Ziele von seinen Phishing-Seiten fernzuhalten.

Was noch interessanter ist, ist, dass das Kit ein tokenbasiertes System verwendet, das sicherstellt, dass jedes Ziel auf eine neue Phishing-Seiten-URL umgeleitet wird. Darüber hinaus besteht die Grundidee hinter diesen Phishing-E-Mails für potenzielle Opfer darin, die Chance zu gewinnen, ein Geschenk von einer vertrauenswürdigen Marke zu erhalten.

Die Links in der Phishing-E-Mail zeigen keine Warnzeichen, da sie über mehrere Weiterleitungen zu den Phishing-Websites führen, und gleichzeitig verbergen URL-Shortener die meisten URLs.

Darüber hinaus nutzen die Täter Cloud-Dienste, d.h. Google, Amazons AWS und Microsofts Azure, und verwenden deren Namen, um Schutzsysteme zu umgehen.

Außerdem gewinnt jeder, der die Phishing-Website besucht, den versprochenen Preis, nachdem er eine kurze Umfrage abgeschlossen hat, und auch der fünfminütige Timer sorgt dafür, dass die Teilnehmer der kurzen Umfrage ein Gefühl der Dringlichkeit verspüren.

Lesen: Mirai RapperBot-Malware greift Online-Spieleserver mit DDoS an

Einige der Marken, die die Angreifer imitieren, sind Delta Airlines, das Sportartikelunternehmen Dick’s, Tumi (das Gepäck herstellt) und die Großhandelsclubs Costco und Sam’s Club. Um den Phishing-Angriff erfolgreicher zu gestalten, verwendeten die Angreifer gefälschte Personenbewertungen, die die erhaltenen Preise zur Schau stellten.

Um den Phishing-Angriff erfolgreicher zu gestalten, verwendeten die Angreifer gefälschte Personenbewertungen, die die erhaltenen Preise zur Schau stellten.

Nun, nachdem die Opfer den Preis gewonnen haben, werden sie aufgefordert, die Versandkosten zu bezahlen, und dafür müssen sie natürlich ihre Kartendaten eingeben. Es gibt jedoch keine Preise, die versendet werden, sondern vielmehr werden die Zahlungsdaten von den böswilligen Akteuren gestohlen.

Laut der Sicherheitsfirma Akamai stammen etwa 89 % der Nutzer, die diese Phishing-Domains besuchen, aus den Vereinigten Staaten und Kanada. Außerdem leitet die Phishing-Domain die Nutzer basierend auf ihrem Standort auf eine andere Phishing-Website um, die die dort verfügbare lokale Marke imitiert.

Jede der Phishing-E-Mails enthält einen anderen Link zu einer Landingpage mit einem Anker; für diejenigen, die es nicht wissen, ist ein Anker ein Link, der den Benutzer zu einem bestimmten Teil der verlinkten Seite umleitet. Im Rahmen dieses Phishing-Angriffs besteht der Anker-Tag jedoch aus einem Token, das von JavaScript auf der Phishing-Landingpage verwendet wird, um die URL wiederherzustellen, auf die das Ziel umgeleitet wird.

Lesen: Russland mit Liebe Hacktivisten greifen ukrainische Organisationen mit Somnia-Ransomware an

Akamai erwähnt, dass die Werte nach dem HTML-Anker nicht als HTTP-Parameter betrachtet werden und nicht an die Server gesendet werden, dennoch ist dieser Wert weiterhin durch den JavaScript-Code zugänglich, der im Browser des Opfers ausgeführt wird.

Was die Situation des Phishing-Betrugs betrifft, könnten die Werte, die nach dem HTML-Anker platziert sind, von den Sicherheitssystemen, die überprüfen, ob diese böswillig sind oder nicht, ignoriert oder übersehen werden. Ebenso wird der Wert auch von dem Verkehrsinstrument zur Inspektion übersehen.

Inspektionswerkzeuge und Sicherheitssysteme übersehen dieses Token, sodass dies keine Risiken für den Angreifer schafft; stattdessen hilft es, Forscher, Analysten, unerwünschten Verkehr und zufällige Personen von der Phishing-Landingpage fernzuhalten.

So können die Tokens neben der Ausschluss von Nicht-Zielen auch verwendet werden, um Opfer, Angriffsleistung usw. zu verfolgen.

Daher macht die Verwendung aller bekannten Methoden und die Vermeidung von Entdeckungen es zu einer mächtigen Bedrohung für Nordamerikaner und Kanadier!

Lesen: Qualcomm kündigt Snapdragon 8 Gen 2 Flagship SoC an