Nicht identifizierte Bedrohungsakteure nutzen legitime Dienste wie PayPal oder Google Workspace, um Phishing-E-Mails zu versenden und praktisch alle heute verfügbaren E-Mail-Sicherheitslösungen zu umgehen.
Ein Bericht des Cybersicherheitsforschers Avanan hat detailliert beschrieben, wie Hacker es geschafft haben, diese Dienste zu zwingen, Phishing-E-Mails in ihrem Namen zu versenden und so E-Mail-Sicherheitslösungen auszutricksen.
Für Kriminelle besteht das Problem bei Phishing-E-Mails darin, dass die Domänen, von denen sie gesendet werden, die Betreffzeilen der E-Mail sowie der Inhalt von E-Mail-Sicherheitsprodukten gescannt werden und es oft nicht in den Posteingang des Opfers schaffen. Wenn diese E-Mail jedoch von Google kommt, hat das Sicherheitsprodukt keine andere Wahl, als sie durchzulassen.
Gefälschte Rechnungen
Wenn nun ein Angreifer eine bösartige Google Docs-Datei mit einem Link zu einer Phishing-Site erstellt und einfach das Opfer darin markiert, sendet Google die Benachrichtigung, ohne Alarm auszulösen. Dieses Dokument kann alles sein, von einer gefälschten Rechnung bis hin zu einer gefälschten Benachrichtigung über die Verlängerung eines Dienstes. Der gemeinsame Nenner all dieser E-Mails ist in der Regel, dass etwas dringend angegangen werden muss, sonst verliert das Opfer Geld.
Das gleiche ist mit PayPal. Ein Angreifer kann eine gefälschte Rechnung mit einem Link zur Phishing-Website in der Rechnungsbeschreibung erstellen und diese einfach per PayPal an das Opfer senden.
Neben diesen beiden Unternehmen haben sich auch Bedrohungsakteure imitiert (öffnet in neuem Tab) SharePoint, FedEx, Intuit, iCloud und andere, behaupten die Forscher.
Meistens suchen Hacker beim Phishing nach Anmeldeinformationen für sensible Systeme, die sie später verwenden können, um gefährlichere Malware zu verteilen (z. B. um eine Ransomware-Operation auszuführen). In anderen Fällen würden sie nach Zahlungsinformationen suchen, um sie entweder auf dem Schwarzmarkt zu verkaufen oder um illegale Aktivitäten zu finanzieren (wie zum Beispiel DDoS-as-a-Service).