Die Sicherheitsforscher von Check Point haben eine Phishing-Kampagne aufgedeckt, die Tausende von Kennwörtern verschiedener E-Mail-Adressen stahl. Hauptsächlich war Outlook über Office 365 betroffen. Diese Zugangsdaten wurden in Webpages gespeichert, die von Google indexiert werden. So waren die gestohlenen Passwörter auch über die Google-Suche auffindbar.
Das war ein gefundenes Fressen für andere listige Kriminelle. Laut dem Verizon’s Data Breach Investigation Report 2020 machen Phishing, Diebstahl von Zugangsdaten und Business E-Mail Compromise (BEC) als Angriffswege mittlerweile 67 Prozent aller erfolgreichen Datenlecks aus.
Im August 2020 begann die Kampagne: Phishing-Mails tarnten sich als Benachrichtigung von Xerox-Scannern und forderten die Adressaten auf, eine angehängte html-Datei zu öffnen. Diese war so präpariert, dass sie die Microsoft Office 365 Advanced Threat Protection (ATP) umgehen konnte.
Danach wurden die Angestellten auf eine gefälschte und personalisierte Phishing-Seite geleitet, wo sie sich anmelden sollten – wie sonst auch bei Outlook 365. Die Zugangsdaten von über 1000 Angestellten wurden auf diese Weise gestohlen. Sie waren eigentlich auf ebenfalls infizierten Servern in einer Text-Datei gespeichert worden, welche jedoch von der Google-Suche erfasst und indexiert wurden.
Daher konnten die Kennwörter plötzlich frei über die Google-Suche gefunden und in noch größerem Ausmaß missbraucht werden. Hauptsächlich traf es Unternehmen der Branchen Energie und Bau. Dahinter kamen Informationstechnologie und Gesundheitswesen.
Christine Schönig, Regional Director Security Engineering CER, bei Check Point fasst die Nachforschung zusammen: „Bei gestohlenen Passwörtern denkt man natürlich zuerst an einen Verkauf im Darknet. In diesem Fall aber hatte jeder versierte Internet-Nutzer, und somit also die gesamte Öffentlichkeit, ungewollt Zugriff auf die gestohlenen Informationen.
„Eigentlich bestand die Strategie der Angreifer darin, die Daten über infizierte Server auf speziellen, von ihnen erstellten Webseiten zu speichern. Nach Ablauf der Phishing-Kampagne sollten diese entsprechenden Webseiten dann nach den infizierten Server durchsucht werden, um in Ruhe die Anmeldedaten zu sammeln. Die Angreifer vergaßen jedoch, das nicht nur sie die Server erfassen können, sondern ebenso die Google-Suche.“