Ein Blick hinter die Kulissen der Betrugskampagne

Beginnen wir mit einem kurzen Überblick über die Nachricht, die wir erhalten haben

Dank der richtigen Filtereinstellungen wurde sie sofort in den Spam-Ordner verschoben. Allerdings sind diese Einstellungen nicht bei allen Systemen aktiviert oder korrekt konfiguriert. Nehmen wir also an, dass sie – wie bei 60 % der Unternehmens-E-Mail-Postfächer – auch bei uns nicht vorhanden sind.

Was wir beobachten können:
1. Eine Handlungsaufforderung. „Maßnahmen erforderlich“
2. Manipulation der „Wichtigkeit“. „Wichtige Nachrichten verzögert“
3. Manipulation des Absenders. Der Absender ist gleichzeitig der Empfänger

Der Absender wird mithilfe einer eigens erstellten SMTP-Nachricht gefälscht. Die E-Mail wurde zudem über einen Proxy-Server geleitet und nutzte kompromittierte Anmeldedaten einer pakistanischen Bildungseinrichtung, wie aus den Rohdaten der E-Mail-Header ersichtlich ist:

Received: from mail.nilop.edu.pk (unknown [182.176.176.99]) (using TLSv1.2 with cipher
Received: from [147.189.172.248] (unknown [147.189.172.248]) (using TLSv1.2 with cipher

0. Erste Ansicht

Öffnen wir den Link aus der Nachricht. Warnung: Öffnen Sie keine verdächtigen Links auf Ihren Geräten – sie könnten einen Virus enthalten.

Scam "Mail Portal" — Betrugsmasche „Mail-Portal“

Der Link hatte das folgende Format: https://****.gitlab.io/#clients@pwn-all.net

Warum taucht „GitLab“ im Link auf?

Weil der Angreifer die Möglichkeit von GitLab genutzt hat, statische Websites zu hosten. Das Hosting an sich ist nichts Ungewöhnliches, aber das mit der Domain „gitlab.io“ verbundene Vertrauen trägt dazu bei, den Vertrauensfaktor der Domain zu erhöhen und die Filter einiger Systeme zu umgehen.

Schritt 1. Schauen wir uns das einmal an

Schauen wir uns einmal an, was passiert, wenn wir auf diesen Link klicken, und warum wir die Startseite unserer Website sehen (wenn auch etwas verzerrt).

Fake mail portal displaying the spoofed company homepage in the background

Wir sehen, dass der Angreifer legitime Dienste nutzt, um:
Google & ClearBit: das Favicon
abzurufen; Thum: einen 1200 Pixel breiten Screenshot der Website abzurufen

Dies dient in erster Linie dazu, das Vertrauen des durchschnittlichen Nutzers in eine gefälschte Website zu stärken – damit er ein bekanntes Logo und eine vertraute Unternehmenswebsite im Hintergrund sieht.

Schritt 2. Datenübermittlung

Nehmen wir an, wir sind ein gewöhnlicher Nutzer, der nicht aufgepasst und seine Daten eingegeben hat. Was passiert als Nächstes?

Outbound network requests triggered after the victim submits their credentials

Hier sehen wir bereits Verweise auf Dienste von Drittanbietern wie:
1. ipinfo – zum Erfassen von Informationen über die IP-Adresse des Nutzers, insbesondere: Land, Region, Organisation, ungefähre Lage, Zeitzone und Postleitzahl. Höchstwahrscheinlich dient dies dazu, zu ermitteln, welche Proxys oder VPNs für nachfolgende Anmeldungen verwendet werden sollen, oder um eine E-Mail für eine weitere Social-Engineering-Taktik vorzubereiten.
2. Google DNS – um den MX-Eintrag abzurufen, der angibt, wo sich der Zugangspunkt zum Postfach befindet. Vermutlich, um eine Verifizierung über SMTP
zu versuchen. 3. Die Anfrage wird tatsächlich an den Webserver des Angreifers gesendet, nicht an einen Proxy.

Was ist also in der Nutzlast für seinen Server enthalten?

Data payload sent from the phishing page to the attacker's server

Im Grunde handelt es sich um den Standardsatz. Aber … die Antwort des Servers war nicht standardmäßig.

Die Antwort enthielt den Pfad zu dem Ort, an dem die Daten gespeichert wurden. Das mag wie ein Scherz wirken, ist es aber nicht.

Schritt 3. Im Inneren

Inside the attacker's collected-data store showing the operator's own test entries

Die erstaunliche Dummheit des Angreifers und das unglaubliche Glück der Forscher. Hier fällt sofort auf, dass es sich offenbar um Tests handelt, die der Angreifer selbst mit einer IP-Adresse aus Zypern durchgeführt hat. Außerdem sehen wir seine Zeitzone, die für eine zypriotische IP-Adresse untypisch ist – nämlich die westafrikanische Standardzeit. Dies könnte hypothetisch auf den tatsächlichen Standort des Spammers hindeuten.

Log entry showing a Cyprus IP address paired with a West Africa time zone

Und, nun ja, ich schätze, wir hatten Glück. Nach der Überprüfung seiner Protokolle gelang es uns, eine wiederkehrende IP-Adresse aus Lagos, Nigeria, zu identifizieren.

Log entry revealing a recurring IP address from Lagos, Nigeria

Und wir sahen erneut eine IP-Adresse aus Nigeria; an dieser Stelle können wir wohl mit Sicherheit sagen, dass es sich um einen Test des Spammers selbst handelte.

Leider sind mehrere Personen auf diesen Trick hereingefallen, darunter ein Mitarbeiter einer Bank, einer Bibliothek, einer Immobilienagentur und andere. Der Spammer hat vermutlich seine Protokolle gelöscht. Die Opfer und Hosting-Anbieter wurden bereits benachrichtigt.

Damit Sie nicht auf diesen Betrug hereinfallen, bieten wir unsere Unternehmenslösungen in Form von Plugins für Ihre E-Mail-Clients und Dienste zur Überwachung von Datenlecks für geschäftliche Nutzer an. Es gibt auch eine Lösung für Privatpersonen, die den Schwerpunkt auf Vertraulichkeit und Datenschutz legt, wenn diese nach ihren Daten in Datenlecks von Datendieben, kompromittierten Websites oder Beiträgen im Dark Web, auf Telegram oder Discord in mehr als 600 Quellen suchen. Klicken Sie auf den Link, um mehr über DarkWeb Monitor zu erfahren.

Schritt 4. Empfehlung

Um zu verhindern, dass ähnliche Phishing-E-Mails in die Postfächer der Nutzer gelangen, sollten Sie auf SMTP-Gateway-Ebene eine strenge Überprüfung der Absenderauthentifizierung durchsetzen.

Empfohlene Maßnahmen:

Veröffentlichen und pflegen Sie einen strengen SPF-Eintrag, der mit -all.
Signieren Sie alle ausgehenden E-Mails mit DKIM.
Setzen Sie DMARC mit einer Ablehnungsrichtlinie durch