Sicherheitsforscher von ThreatLabZ beobachteten eine Zunahme der Nutzung von Voicemail als Aufhänger für Social-Engineering-Angriffe. Durch die in der Zscaler-Cloud gesammelten Informationen entdeckten sie mehrere neu registrierte Domänen, die über 200 verschiedene VoIP- und Voicemail-Nachrichten als Köder für ihre Phishing-Kampagnen zum Diebstahl von Berechtigungsnachweisen verwenden.
Die aufgedeckte Social-Engineering-Kampagne ist speziell darauf ausgerichtet, Endbenutzer in großen Unternehmen zu erreichen. Die Verwendung von Voicemail, die in einer E-Mail-Nachricht zugestellt wird, und Phishing-Seiten, die Unternehmensanwendungen wie Office 365 und Outlook fälschen, signalisieren die Motive der Angreifer.
Gelingt es den Angreifern, die Zugangsdaten eines Benutzers zu erhalten, können sie auf vertrauliche Daten aus dem Unternehmen zugreifen und diese möglicherweise verkaufen oder für Lösegeldforderungen einsetzen. Erbeutete Unternehmensinformationen werden darüber hinaus genutzt, um gezielte Angriffe zu starten und somit noch besser im Netzwerk Fuß fassen und dem Unternehmen großen Schaden und potenzielle Verluste zufügen zu können.
Die Angriffe werden per E-Mail mit einem HTML-Anhang verbreitet, der JavaScript-Code enthält, um Benutzer auf die Phishing-Website mit Zugangsdaten umzuleiten. Der Inhalt der E-Mail ist so gestaltet, dass er eine systemgenerierte Voicemail-Benachrichtigung imitiert, die den Benutzer zum Öffnen des Anhangs verleitet, da er auf die aufgezeichnete Sprachnachricht zugreifen möchte.
Bei einigen Varianten der Phishing-Seiten wurde beobachtet, dass die endgültige Landingpage ein externes JavaScript verwendete, um die Credential-Phishing-Seite im Browser anzuzeigen. In einer der Kampagnen im Zusammenhang mit Voicemail nutzten Angreifer sogar Googles reCAPTCHA auf der Zielseite, um sich der automatischen URL-Analyse zu entziehen.
Fazit
Die Angreifer setzten gut durchdachte Social-Engineering-Techniken ein und kombinierten sie mit Ausweichtaktiken, die darauf abzielen, automatisierte URL-Analyselösungen zu umgehen, um einen besseren Erfolg beim Erreichen der Benutzer und beim Diebstahl ihrer Zugangsdaten zu erzielen.
Als Vorsichtsmaßnahme empfiehlt das ThreatLabZ-Team, keine Anhänge in E-Mails zu öffnen, die von nicht vertrauenswürdigen oder unbekannten Quellen stammen. Als bewährte Vorgehensweise sollten Benutzer im Allgemeinen die URL in der Adressleiste des Browsers überprüfen, bevor sie Anmeldedaten eingeben.